Compliance mit der NIS2-Richtlinie

Eine starke Informationssicherheit schützt Unternehmenswerte und Arbeitsplätze. Machen Sie Ihr Unternehmen fit für die europäische NIS2-Richtlinie und das deutsche NIS2-Umsetzungsgesetz.

Zufriedene Kunden der activeMind AG

Ist mein Unternehmen von NIS2 betroffen?

Die NIS2-Richtlinie macht Vorschriften zur Informationssicherheit für als wichtig oder wesentlich eingestufte Organisationen. Dies sind vor allem Unternehmen bestimmter Branchen sowie ab einer definierten Größe (hinsichtlich des Umsatzes und der Zahl der Mitarbeitenden).

Nutzen Sie jetzt unseren einfachen Test, um zu prüfen, ob Ihr Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt!

Was müssen Unternehmen unter NIS2 tun?

Die NIS2-Richtlinie fordert von betroffenen Unternehmen ihre Resilienz gegenüber Cyberbedrohungen zu stärken und die Sicherheit von Infrastrukturen zu verbessern.

Es geht dabei vor allem um Entwicklung und Umsetzung von Sicherheitsmaßnahmen (teilweise gemäß ISO 27001), um die Erfüllung von Registrierungs-, Melde- und Informationspflichten sowie um Schulungen für Mitarbeitende.

Wie kann activeMind Unternehmen bei NIS2 unterstützen?

Die Anforderungen der NIS2-Richtlinie sind komplex und bedürfen an viele Stellen der Auslegung. Für die meisten Unternehmen lohnt es sich daher, Experten hinzuzuziehen, die mit den gesetzlichen Vorgaben und vor allem der praktischen Umsetzung vertraut sind.

Gerne unterstützen wir Sie bei der Vorbereitung auf die NIS2-Richtlinie mit folgenden Schritten:

Gemeinsam identifizieren wir die spezifischen Anforderungen der NIS2-Richtlinie und des deutschen NIS2-Umsetzungsgesetzes (NIS2UmsuCG), die für Ihr Unternehmen relevant sind. Anschließend bewerten wir Ihre aktuellen Sicherheitspraktiken im Hinblick auf diese Anforderungen.

Wir auditieren Ihr Informationssicherheits-Managementsystem (ISMS) oder führen eine Gap-Analyse durch, um Bereiche aufzudecken, in denen Ihr Unternehmen möglicherweise (noch) nicht den NIS2-Vorschriften entspricht.

Wir erstellen einen maßgeschneiderten Aktionsplan, der konkrete und priorisierte Schritte zur Schließung identifizierter Lücken und Stärkung Ihrer Cybersicherheit umfasst.

Bei Bedarf unterstützen unsere Experten bei der Implementierung der erforderlichen technischen und organisatorischen Maßnahmen zur Einhaltung der NIS2-Richtlinie und des NIS2UmsuCG.

Wir helfen Ihnen, ein Risiko-Managementsystem in Ihrem Unternehmen zu etablieren bzw. vorhandenes Risikomanagement zu optimieren. Dies umfasst bspw. die Durchführung von Risikoanalysen und deren Behandlung.

Wir helfen bei Entwicklung und Implementierung von Reaktionsplänen für Cybersicherheitsvorfälle, um die Einhaltung der Meldepflichten gemäß NIS2 sicherzustellen und die Auswirkungen von Sicherheitsvorfällen zu minimieren.

Wir zeigen Ihnen, wie Sie Verfahren für die kontinuierliche Überwachung Ihrer Cybersicherheitslage und regelmäßige Überprüfungen etablieren, um sicherzustellen, dass Ihr Unternehmen dauerhaft den NIS2-Anforderungen entspricht.

Wir stellen spezielle Schulungen für Ihr Personal bereit, um das Bewusstsein und das Verständnis für Cybersicherheitsrisiken zu erhöhen und die Best Practices zur Minderung dieser Risiken zu verdeutlichen.

Drei gute Gründe für activeMind als Ihren NIS2-Partner

Erfahrung mit Standards

Die Experten von activeMind bringen jahrelange Erfahrung in der Umsetzung von Informationssicherheits-Normen wie ISO 27001 oder Branchenstandards wie TISAX oder B3S in Unternehmen verschiedenster Branchen mit.

Macher-Mentalität

Wir wissen nicht nur, was das Gesetz vorschreibt – sondern auch, wie Sie das in der Praxis am besten umsetzen. So kommen Sie deutlich schneller ans Ziel.

Echte Befähigung

Wir bringen Ihr Unternehmen auf den aktuellen Stand der Compliance und befähigen Sie dann, Ihre Informationssicherheit dauerhaft zu verbessern. So sind Sie auch für zukünftige Gefahren bestens gewappnet.

Ausgewählte Experten

Unsere Informationssicherheits-Consultants machen Ihr Unternehmen fit für die NIS2-Richtlinie.

Consultant Datenschutz und Informationssicherheit
Partner
Consultant Datenschutz und Informationssicherheit
Senior Associate
Consultant Datenschutz und Informationssicherheit
Manager

Kostenlose Erstberatung

Lassen Sie uns gemeinsam herausfinden, welche Anforderungen der NIS2-Richtlinie Ihr Unternehmen erfüllen muss – und was der beste Weg dorthin ist.

Schreiben Sie uns jetzt und wir melden uns innerhalb von zwei Werktagen mit einem Terminvorschlag für eine erste Auftragsklärung bei Ihnen!

Wir leben Sicherheit.
Jeden (Arbeits-)Tag

Häufig gestellte Fragen zu NIS2

Die NIS2-Richtlinie (Network-and-Information-Security-Directive bzw. Directive on measures for a high common level of cybersecurity across the Union) ist eine europäische Sicherheitsrichtlinie, die die ursprüngliche NIS-Richtlinie von 2016 ablöst.

Die NIS2-Richtlinie zielt darauf ab, die Resilienz gegenüber Cyberbedrohungen zu stärken und die Sicherheit kritischer Infrastrukturen zu verbessern.

Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Konkret bedeutet dies, dass spätestens ab dem 18. Oktober 2024 betroffene Organisationen in Deutschland durch das nationale Gesetz NIS2UmsuCG verpflichtet sind, die neuen gesetzlichen Bestimmungen zu befolgen.

Der Hauptunterschied zwischen der bisherigen NIS-Richtlinie von 2016 und der neuen NIS2-Richtlinie liegt in der Erweiterung des Anwendungsbereichs und der Verschärfung der Sicherheitsanforderungen an Unternehmen.

Die NIS2-Richtlinie erweitert den Geltungsbereich auf zusätzliche Branchen und Sektoren, was bedeutet, dass nun eine größere Bandbreite von Unternehmen von den neuen Vorschriften betroffen ist. Dies umfasst nicht nur Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste, sondern auch Organisationen, die als wichtig oder besonders wichtig für die Wirtschaft eingestuft werden.

Darüber hinaus werden in der NIS2-Richtlinie strengere Standards und Anforderungen an die Cybersicherheit festgelegt. Unternehmen müssen nun noch umfassendere Maßnahmen zur Gewährleistung der Sicherheit ihrer Systeme und Daten implementieren. Dies beinhaltet unter anderem die Entwicklung und Umsetzung eines effektiven Risikomanagementsystems sowie die Meldung von Sicherheitsvorfällen innerhalb vorgegebener Fristen.

Der Geltungsbereich der NIS2-Richtlinie unterscheidet sich erheblich von dem der ursprünglichen NIS-Richtlinie von 2016. Diese Neufassung richtet sich nicht nur an Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste, sondern auch an Organisationen, die als wichtig oder besonders wichtig eingestuft werden.

Wichtige Einrichtungen können beispielsweise Anbieter digitaler Dienste oder Unternehmen mit mindestens 50 Mitarbeitern in Branchen wie Transport, Abfallentsorgung oder Forschung sein.

Besonders wichtige Einrichtungen umfassen Betreiber kritischer Infrastrukturen sowie Unternehmen mit mindestens 250 Mitarbeitern in Sektoren wie Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasserwirtschaft, Informationstechnologie und Telekommunikation.

Darüber hinaus gibt es spezifische Vorschriften, die unabhängig von der Größe für bestimmte Einrichtungen gelten, wie beispielsweise Anbieter öffentlicher elektronischer Kommunikationsnetze.

Machen Sie jetzt unseren Test und erfahren, ob Ihr Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt!

Achtung: Indirekt sind auch kleinere Unternehmen von NIS2 betroffen, die als Dienstleister oder Lieferanten für direkt betroffene Unternehmen tätig sind.

Die NIS2-Richtlinie legt eine Reihe von Kernanforderungen fest, denen betroffene Unternehmen gerecht werden müssen. Dazu gehören Maßnahmen zur Stärkung des Risikomanagements für die Cybersicherheit, einschließlich der Entwicklung und Umsetzung von Sicherheitsmaßnahmen und -protokollen, die u.a. auf international anerkannten Standards wie ISO 27001 basieren.

Des Weiteren sind Registrierungs-, Melde- und Informationspflichten vorgesehen, die sicherstellen sollen, dass Vorfälle zeitnah und transparent gemeldet werden.

Zusätzlich sind Schulungen und Schulungsprogramme für Mitarbeitende erforderlich, um das Bewusstsein für Cybersicherheit zu schärfen und sicherzustellen, dass alle Mitarbeitenden die notwendigen Verfahren und Protokolle verstehen und einhalten können.

Letztendlich liegt die Verantwortung für die Einhaltung dieser Anforderungen bei der Geschäftsführung, die für die Überwachung, Umsetzung und fortlaufende Verbesserung der Cybersicherheitsmaßnahmen im Unternehmen verantwortlich ist.

Unternehmen und Organisationen, die bereits unter die Bestimmungen von NIS fallen und nun den Übergang zu NIS2 vollziehen, müssen hinsichtlich ihrer Cybersecurity-Maßnahmen nur geringfügige Änderungen erwarten. Gemäß Artikel 21 der NIS2-Richtlinie bleiben die Anforderungen an Maßnahmen wie Cyber-Risikomanagement, Business Continuity Management, Penetrationstests, Kryptografie, sichere Kommunikation sowie Zugangskontrolle und Authentisierung im Wesentlichen unverändert.

Neu ist jedoch die Forderung, die Sicherheit in der gesamten Lieferkette zu berücksichtigen, eine Bestimmung, die in Deutschland bereits im IT-Sicherheitsgesetz 2.0 verankert ist.

Die Hauptänderungen in NIS2 betreffen jedoch die Sanktionen und Kontrollmaßnahmen:

  • Bei Verstößen gegen die Cybersecurity-Maßnahmen oder Meldepflichten drohen nun wesentlich höhere Strafen.
  • Zudem sind umfangreiche Überwachungsmaßnahmen vorgesehen, einschließlich nicht anlassbezogener Security Audits und Security Scans durch Behörden oder unabhängige Dritte.
  • Bei fortgesetzten Verstößen können Behörden Anweisungen erteilen oder sogar Betriebserlaubnisse entziehen.
  • Die Geschäftsleitung kann persönlich haftbar gemacht werden und für Verstöße gegen die Richtlinie zur Rechenschaft gezogen werden.

Nach NIS2 können Unternehmen keine direkte Zertifizierung erhalten, da NIS2 keine explizite Zertifizierungspflicht vorsieht. Dennoch kann eine anerkannte Zertifizierung wie die ISO 27001 Unternehmen dabei unterstützen, die Anforderungen von NIS2 zu erfüllen, da die beiden Standards viele Ziele teilen.

Die ISO 27001 umfasst einen systematischen Ansatz zur Verwaltung von vertraulichen Informationen, einschließlich der Identifizierung von Risiken, der Implementierung von Kontrollen zur Risikominderung und der regelmäßigen Überprüfung und Verbesserung des ISMS. Die ISO-27001-Zertifizierung kann somit als wertvolles Instrument dienen, um die Anforderungen von NIS2 zu erfüllen und das Sicherheitsniveau eines Unternehmens zu verbessern.

Unternehmen, die bereits eine ISO-27001-Zertifizierung oder ein erfolgreiches TISAX-Assessment aufweisen, erfüllen bereits einen erheblichen Teil der Anforderungen der NIS2-Richtlinie. Es ist jedoch zu beachten, dass je nach Umfang der Zertifizierung nach ISO 27001 oder des TISAX-Labels zusätzliche Anforderungen durch NIS2 entstehen können.

Deshalb müssen Unternehmen, die bereits nach ISO 27001 zertifiziert sind, einen zusätzlichen Aufwand betreiben, um sicherzustellen, dass sie den Anforderungen der NIS2-Richtlinie vollständig gerecht werden. Dies erfordert eine gründliche Überprüfung, um sicherzustellen, dass das bestehende Informationssicherheits-Managementsystem (ISMS) den spezifischen Anforderungen der NIS2-Richtlinie entspricht. Potenzielle Diskrepanzen oder Abweichungen sollten sorgfältig identifiziert werden, um eine angemessene Anpassung des ISMS vorzunehmen und die Konformität sicherzustellen. Dies könnte zusätzliche Kontrollen, Richtlinien oder Verfahren umfassen, um sicherzustellen, dass alle relevanten Aspekte der NIS2-Richtlinie berücksichtigt werden.

Das NIS2-Umsetzungsgesetz wird voraussichtlich am 18. Oktober 2024 in Deutschland in Kraft treten. Bis dahin müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Es liegt derzeit ein Diskussionspapier des Bundesministeriums des Innern und für Heimat vor, das die wirtschaftsbezogenen Regelungen zur Umsetzung der NIS2-Richtlinie in Deutschland behandelt.

Die Nichteinhaltung der NIS2-Richtlinie kann schwerwiegende Konsequenzen haben, darunter persönliche Haftung für Geschäftsführer und Führungskräfte, erhebliche Geldstrafen sowie die Aussetzung des Geschäftsbetriebs durch die Aufsichtsbehörde.

Bußgelder können bis zu 10 Millionen Euro oder 2% des Gesamtumsatzes (für wesentliche Unternehmen) bzw. bis zu 7 Millionen Euro oder 1,4% des Gesamtumsatzes (für wichtige Unternehmen) betragen.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.