Compliance mit der NIS2-Richtlinie
Eine starke Informationssicherheit schützt Unternehmenswerte und Arbeitsplätze. Machen Sie Ihr Unternehmen fit für die europäische NIS2-Richtlinie und das deutsche NIS2-Umsetzungsgesetz.
Zufriedene Kunden der activeMind AG
Ist mein Unternehmen von NIS2 betroffen?
Die NIS2-Richtlinie macht Vorschriften zur Informationssicherheit für als wichtig oder wesentlich eingestufte Organisationen. Dies sind vor allem Unternehmen bestimmter Branchen sowie ab einer definierten Größe (hinsichtlich des Umsatzes und der Zahl der Mitarbeitenden).
Nutzen Sie jetzt unseren einfachen Test, um zu prüfen, ob Ihr Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt!
Was müssen Unternehmen unter NIS2 tun?
Die NIS2-Richtlinie fordert von betroffenen Unternehmen ihre Resilienz gegenüber Cyberbedrohungen zu stärken und die Sicherheit von Infrastrukturen zu verbessern.
Es geht dabei vor allem um Entwicklung und Umsetzung von Sicherheitsmaßnahmen (teilweise gemäß ISO 27001), um die Erfüllung von Registrierungs-, Melde- und Informationspflichten sowie um Schulungen für Mitarbeitende.
Wie kann activeMind Unternehmen bei NIS2 unterstützen?
Die Anforderungen der NIS2-Richtlinie sind komplex und bedürfen an viele Stellen der Auslegung. Für die meisten Unternehmen lohnt es sich daher, Experten hinzuzuziehen, die mit den gesetzlichen Vorgaben und vor allem der praktischen Umsetzung vertraut sind.
Gerne unterstützen wir Sie bei der Vorbereitung auf die NIS2-Richtlinie mit folgenden Schritten:
Analyse der NIS 2-Anforderungen
Gemeinsam identifizieren wir die spezifischen Anforderungen der NIS2-Richtlinie und des deutschen NIS2-Umsetzungsgesetzes (NIS2UmsuCG), die für Ihr Unternehmen relevant sind. Anschließend bewerten wir Ihre aktuellen Sicherheitspraktiken im Hinblick auf diese Anforderungen.
ISMS-Audit
Wir auditieren Ihr Informationssicherheits-Managementsystem (ISMS) oder führen eine Gap-Analyse durch, um Bereiche aufzudecken, in denen Ihr Unternehmen möglicherweise (noch) nicht den NIS2-Vorschriften entspricht.
Entwicklung eines NIS2-Aktionsplans
Wir erstellen einen maßgeschneiderten Aktionsplan, der konkrete und priorisierte Schritte zur Schließung identifizierter Lücken und Stärkung Ihrer Cybersicherheit umfasst.
Implementierungsunterstützung
Bei Bedarf unterstützen unsere Experten bei der Implementierung der erforderlichen technischen und organisatorischen Maßnahmen zur Einhaltung der NIS2-Richtlinie und des NIS2UmsuCG.
Risiko-Management
Wir helfen Ihnen, ein Risiko-Managementsystem in Ihrem Unternehmen zu etablieren bzw. vorhandenes Risikomanagement zu optimieren. Dies umfasst bspw. die Durchführung von Risikoanalysen und deren Behandlung.
Notfall- und Krisenmanagement
Wir helfen bei Entwicklung und Implementierung von Reaktionsplänen für Cybersicherheitsvorfälle, um die Einhaltung der Meldepflichten gemäß NIS2 sicherzustellen und die Auswirkungen von Sicherheitsvorfällen zu minimieren.
Laufende Überwachung und Compliance-Überprüfung
Wir zeigen Ihnen, wie Sie Verfahren für die kontinuierliche Überwachung Ihrer Cybersicherheitslage und regelmäßige Überprüfungen etablieren, um sicherzustellen, dass Ihr Unternehmen dauerhaft den NIS2-Anforderungen entspricht.
Schulung und Bewusstseinsbildung
Wir stellen spezielle Schulungen für Ihr Personal bereit, um das Bewusstsein und das Verständnis für Cybersicherheitsrisiken zu erhöhen und die Best Practices zur Minderung dieser Risiken zu verdeutlichen.
Drei gute Gründe für activeMind als Ihren NIS2-Partner
Erfahrung mit Standards
Die Experten von activeMind bringen jahrelange Erfahrung in der Umsetzung von Informationssicherheits-Normen wie ISO 27001 oder Branchenstandards wie TISAX oder B3S in Unternehmen verschiedenster Branchen mit.
Macher-Mentalität
Wir wissen nicht nur, was das Gesetz vorschreibt – sondern auch, wie Sie das in der Praxis am besten umsetzen. So kommen Sie deutlich schneller ans Ziel.
Echte Befähigung
Wir bringen Ihr Unternehmen auf den aktuellen Stand der Compliance und befähigen Sie dann, Ihre Informationssicherheit dauerhaft zu verbessern. So sind Sie auch für zukünftige Gefahren bestens gewappnet.
Ausgewählte Experten
Unsere Informationssicherheits-Consultants machen Ihr Unternehmen fit für die NIS2-Richtlinie.
Kostenlose Erstberatung
Lassen Sie uns gemeinsam herausfinden, welche Anforderungen der NIS2-Richtlinie Ihr Unternehmen erfüllen muss – und was der beste Weg dorthin ist.
Schreiben Sie uns jetzt und wir melden uns innerhalb von zwei Werktagen mit einem Terminvorschlag für eine erste Auftragsklärung bei Ihnen!
Jeden (Arbeits-)Tag
Häufig gestellte Fragen zu NIS2
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Network-and-Information-Security-Directive bzw. Directive on measures for a high common level of cybersecurity across the Union) ist eine europäische Sicherheitsrichtlinie, die die ursprüngliche NIS-Richtlinie von 2016 ablöst.
Die NIS2-Richtlinie zielt darauf ab, die Resilienz gegenüber Cyberbedrohungen zu stärken und die Sicherheit kritischer Infrastrukturen zu verbessern.
Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Konkret bedeutet dies, dass spätestens ab dem 18. Oktober 2024 betroffene Organisationen in Deutschland durch das nationale Gesetz NIS2UmsuCG verpflichtet sind, die neuen gesetzlichen Bestimmungen zu befolgen.
Wie unterscheiden sich NIS- und NIS2-Richtlinie?
Der Hauptunterschied zwischen der bisherigen NIS-Richtlinie von 2016 und der neuen NIS2-Richtlinie liegt in der Erweiterung des Anwendungsbereichs und der Verschärfung der Sicherheitsanforderungen an Unternehmen.
Die NIS2-Richtlinie erweitert den Geltungsbereich auf zusätzliche Branchen und Sektoren, was bedeutet, dass nun eine größere Bandbreite von Unternehmen von den neuen Vorschriften betroffen ist. Dies umfasst nicht nur Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste, sondern auch Organisationen, die als wichtig oder besonders wichtig für die Wirtschaft eingestuft werden.
Darüber hinaus werden in der NIS2-Richtlinie strengere Standards und Anforderungen an die Cybersicherheit festgelegt. Unternehmen müssen nun noch umfassendere Maßnahmen zur Gewährleistung der Sicherheit ihrer Systeme und Daten implementieren. Dies beinhaltet unter anderem die Entwicklung und Umsetzung eines effektiven Risikomanagementsystems sowie die Meldung von Sicherheitsvorfällen innerhalb vorgegebener Fristen.
Was sind die Hauptanforderungen der NIS2-Richtlinie an betroffene Unternehmen?
Der Geltungsbereich der NIS2-Richtlinie unterscheidet sich erheblich von dem der ursprünglichen NIS-Richtlinie von 2016. Diese Neufassung richtet sich nicht nur an Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste, sondern auch an Organisationen, die als wichtig oder besonders wichtig eingestuft werden.
Wichtige Einrichtungen können beispielsweise Anbieter digitaler Dienste oder Unternehmen mit mindestens 50 Mitarbeitern in Branchen wie Transport, Abfallentsorgung oder Forschung sein.
Besonders wichtige Einrichtungen umfassen Betreiber kritischer Infrastrukturen sowie Unternehmen mit mindestens 250 Mitarbeitern in Sektoren wie Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasserwirtschaft, Informationstechnologie und Telekommunikation.
Darüber hinaus gibt es spezifische Vorschriften, die unabhängig von der Größe für bestimmte Einrichtungen gelten, wie beispielsweise Anbieter öffentlicher elektronischer Kommunikationsnetze.
Machen Sie jetzt unseren Test und erfahren, ob Ihr Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt!
Achtung: Indirekt sind auch kleinere Unternehmen von NIS2 betroffen, die als Dienstleister oder Lieferanten für direkt betroffene Unternehmen tätig sind.
Was sind die Hauptanforderungen der NIS2-Richtlinie an betroffene Unternehmen?
Die NIS2-Richtlinie legt eine Reihe von Kernanforderungen fest, denen betroffene Unternehmen gerecht werden müssen. Dazu gehören Maßnahmen zur Stärkung des Risikomanagements für die Cybersicherheit, einschließlich der Entwicklung und Umsetzung von Sicherheitsmaßnahmen und -protokollen, die u.a. auf international anerkannten Standards wie ISO 27001 basieren.
Des Weiteren sind Registrierungs-, Melde- und Informationspflichten vorgesehen, die sicherstellen sollen, dass Vorfälle zeitnah und transparent gemeldet werden.
Zusätzlich sind Schulungen und Schulungsprogramme für Mitarbeitende erforderlich, um das Bewusstsein für Cybersicherheit zu schärfen und sicherzustellen, dass alle Mitarbeitenden die notwendigen Verfahren und Protokolle verstehen und einhalten können.
Letztendlich liegt die Verantwortung für die Einhaltung dieser Anforderungen bei der Geschäftsführung, die für die Überwachung, Umsetzung und fortlaufende Verbesserung der Cybersicherheitsmaßnahmen im Unternehmen verantwortlich ist.
Was müssen Unternehmen unter NIS2 tun, die bereits die Anforderungen der NIS-Richtlinie erfüllen?
Unternehmen und Organisationen, die bereits unter die Bestimmungen von NIS fallen und nun den Übergang zu NIS2 vollziehen, müssen hinsichtlich ihrer Cybersecurity-Maßnahmen nur geringfügige Änderungen erwarten. Gemäß Artikel 21 der NIS2-Richtlinie bleiben die Anforderungen an Maßnahmen wie Cyber-Risikomanagement, Business Continuity Management, Penetrationstests, Kryptografie, sichere Kommunikation sowie Zugangskontrolle und Authentisierung im Wesentlichen unverändert.
Neu ist jedoch die Forderung, die Sicherheit in der gesamten Lieferkette zu berücksichtigen, eine Bestimmung, die in Deutschland bereits im IT-Sicherheitsgesetz 2.0 verankert ist.
Die Hauptänderungen in NIS2 betreffen jedoch die Sanktionen und Kontrollmaßnahmen:
- Bei Verstößen gegen die Cybersecurity-Maßnahmen oder Meldepflichten drohen nun wesentlich höhere Strafen.
- Zudem sind umfangreiche Überwachungsmaßnahmen vorgesehen, einschließlich nicht anlassbezogener Security Audits und Security Scans durch Behörden oder unabhängige Dritte.
- Bei fortgesetzten Verstößen können Behörden Anweisungen erteilen oder sogar Betriebserlaubnisse entziehen.
- Die Geschäftsleitung kann persönlich haftbar gemacht werden und für Verstöße gegen die Richtlinie zur Rechenschaft gezogen werden.
Können Unternehmen sich nach NIS2 zertifizieren lassen?
Nach NIS2 können Unternehmen keine direkte Zertifizierung erhalten, da NIS2 keine explizite Zertifizierungspflicht vorsieht. Dennoch kann eine anerkannte Zertifizierung wie die ISO 27001 Unternehmen dabei unterstützen, die Anforderungen von NIS2 zu erfüllen, da die beiden Standards viele Ziele teilen.
Die ISO 27001 umfasst einen systematischen Ansatz zur Verwaltung von vertraulichen Informationen, einschließlich der Identifizierung von Risiken, der Implementierung von Kontrollen zur Risikominderung und der regelmäßigen Überprüfung und Verbesserung des ISMS. Die ISO-27001-Zertifizierung kann somit als wertvolles Instrument dienen, um die Anforderungen von NIS2 zu erfüllen und das Sicherheitsniveau eines Unternehmens zu verbessern.
Was müssen Unternehmen unter NIS2 tun, die bereits nach ISO 27001 zertifiziert sind?
Unternehmen, die bereits eine ISO-27001-Zertifizierung oder ein erfolgreiches TISAX-Assessment aufweisen, erfüllen bereits einen erheblichen Teil der Anforderungen der NIS2-Richtlinie. Es ist jedoch zu beachten, dass je nach Umfang der Zertifizierung nach ISO 27001 oder des TISAX-Labels zusätzliche Anforderungen durch NIS2 entstehen können.
Deshalb müssen Unternehmen, die bereits nach ISO 27001 zertifiziert sind, einen zusätzlichen Aufwand betreiben, um sicherzustellen, dass sie den Anforderungen der NIS2-Richtlinie vollständig gerecht werden. Dies erfordert eine gründliche Überprüfung, um sicherzustellen, dass das bestehende Informationssicherheits-Managementsystem (ISMS) den spezifischen Anforderungen der NIS2-Richtlinie entspricht. Potenzielle Diskrepanzen oder Abweichungen sollten sorgfältig identifiziert werden, um eine angemessene Anpassung des ISMS vorzunehmen und die Konformität sicherzustellen. Dies könnte zusätzliche Kontrollen, Richtlinien oder Verfahren umfassen, um sicherzustellen, dass alle relevanten Aspekte der NIS2-Richtlinie berücksichtigt werden.
Wann tritt das NIS2-Umsetzungsgesetz in Deutschland in Kraft?
Das NIS2-Umsetzungsgesetz wird voraussichtlich am 18. Oktober 2024 in Deutschland in Kraft treten. Bis dahin müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Es liegt derzeit ein Diskussionspapier des Bundesministeriums des Innern und für Heimat vor, das die wirtschaftsbezogenen Regelungen zur Umsetzung der NIS2-Richtlinie in Deutschland behandelt.
Welche Konsequenzen drohen bei Nichtbeachtung der NIS2-Richtlinie?
Die Nichteinhaltung der NIS2-Richtlinie kann schwerwiegende Konsequenzen haben, darunter persönliche Haftung für Geschäftsführer und Führungskräfte, erhebliche Geldstrafen sowie die Aussetzung des Geschäftsbetriebs durch die Aufsichtsbehörde.
Bußgelder können bis zu 10 Millionen Euro oder 2% des Gesamtumsatzes (für wesentliche Unternehmen) bzw. bis zu 7 Millionen Euro oder 1,4% des Gesamtumsatzes (für wichtige Unternehmen) betragen.