NIS-2: Cybersicherheit verpflichtend für (fast) alle
EU-Richtlinie fordert mittlere und große Unternehmen heraus
+++ 30.000 Unternehmen betroffen +++
+++ Kontrolle und Sanktion durch das BSI +++
Resilienz wird in der europäischen Cybersicherheits-Strategie von 2022 besonders großgeschrieben, und daher wurde die bisherige NIS (Netzwerk- und Informationssicherheitsrichtlinie) angepasst, erweitert und zur NIS-2 fortentwickelt. Das bedeutet, dass sich jetzt viel mehr Unternehmen des Themas annehmen, Risikomanagement betreiben sowie Melde- und Informationspflichten beachten müssen. Neben hohen Bußgeldern droht bei Verstößen die direkte Haftung der Geschäftsleitung.
Verstehen. Reagieren. Handeln.
Die NIS-2-Richtlinie muss eigentlich bis zum 18.10.2024 in deutsches Gesetz umgesetzt werden – diese Frist wird der deutsche Gesetzgeber aber reißen. Die neuesten Pläne (Stand: Oktober 2024) sprechen von März oder April 2025. Die Umsetzung wird mit dem NIS2UmsuCG (Umsetzungs- und Cybersicherheitsstärkungsgesetz) erfolgen, das bislang nur als Regierungsentwurf vorliegt. Es wird dann vor allen Dingen das BSI-Gesetz ergänzen und in Teilen neu fassen.
Zum Tag des Inkrafttretens müssen Betreiber kritischer Anlagen sich bereits beim Bundesamt für Informationssicherheit (BSI) registrieren. Für alle anderen betroffenen Unternehmen – und das sind nach Schätzungen ca. 30.000 in Deutschland – gilt eine 3-monatige Übergangsfrist für die Registrierung. Und auch auf die IT-Dienstleister dieser Unternehmen kommen Änderungen zu, da die Sicherheit auch in der Lieferkette gewährleistet werden muss.
Wir befähigen dich und dein Team, den Überblick über die verschiedenen Regelungen in NIS-2 zu behalten, herauszufinden, ob dein Unternehmen davon überhaupt betroffen ist, und, falls ja, wie die verschiedenen Anforderungen erfolgreich umgesetzt und so die eigene Cybersicherheit erhöht werden können.
Wir begleiten euch bei der Gap-Analyse hinsichtlich der gesetzlich vorgesehenen technischen und organisatorischen Mindestmaßnahmen: Diese sollen darauf abzielen, dass Störungen der Verfügbarkeit, der Integrität und der Vertraulichkeit von Systemen, Komponenten und Prozessen vermieden werden. Und falls sich doch ein Cybersicherheits-Vorfall ereignet haben sollte, sollen dessen Auswirkungen möglichst geringgehalten werden.
Die von der NIS-2-Richtlinie vorgesehenen Mindestmaßnahmen und die weiteren Pflichten wie Melde- und Informationspflichten stellen erhöhte Anforderungen an die Organisation der betroffenen Unternehmen. Wir unterstützen euch bei der Verbesserung eurer bestehenden Governance und bewerten mit euch relevante Rollen und Funktionen.
Um die NIS-2-Richtlinie umsetzen zu können, sind ausreichende Kenntnisse im Bereich der Sicherheit in der Informationstechnik sowohl bei den MitarbeiterInnen als auch und insbesondere bei der Geschäftsleitung erforderlich. Wir helfen euch, euer Know-how in Sachen IT-Security zu verbessern und so auch den rechtlichen Anforderungen gerecht zu werden.
Wir haben Lösungen für dich
Lass uns besprechen, wie wir die NIS-2-Umsetzung in deiner Organisation angehen, auch toolgestützt mit CloudGate.
Die NIS-2-Richtlinie und das Umsetzungsgesetz im Überblick
Mehr Sektoren als vorher fallen unter NIS-2
Dadurch steigt auch die Anzahl der betroffenen Unternehmen.
Die NIS-2-Richlinie listet jetzt
- 11 besonders kritische und
- 7 kritische Sektoren
Auch mittlere Unternehmen sind betroffen
Neben KRITIS-Betreibern müssen Unternehmen schon dann NIS-2 einhalten, wenn sie mehr als
- 50 Mitarbeiter oder
- 10 Mio. Euro Jahresumsatz oder Bilanzsumme haben
Pflichten gelten für alle betroffenen Unternehmen
Risikomanagement mit zahlreichen Mindestmaßnahmen
Nutzung von zertifizierten IT-Produkten und -Diensten
Melde- und Informationspflichten
Das Management ist gefordert
Die Geschäftsleitung trägt die Verantwortung für
- das Risikomanagement
- die Umsetzung der Mindestmaßnahmen
Schulungen in der Cybersicherheit sind daher verpflichtend
Aufsichtsmaßnahmen und Sanktionen
Überwachung bis hin zu Vor-Ort-Prüfungen und Sicherheits-Scans
Möglichkeit verbindlicher Anweisungen der Aufsicht
Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
Warum du dich dringend mit der NIS-2-Richtlinie befassen solltest
-
Umsetzungsfrist in Deutschland voraussichtlich im Frühjahr 2025
Die europäische NIS-2-Richtlinie wurde bereits Ende 2022 veröffentlicht. Darin ist geregelt, dass die Umsetzung in nationales Recht zum September 2024 abgeschlossen sein müsse. Der deutsche Gesetzgeber wird aber voraussichtlich erst im Frühjahr 2025 das dazu entworfene NIS2UmsuCG verabschieden. Die Regelungen gelten dann aber sofort, da eine Übergangsfrist in dem Gesetzesentwurf nicht vorgesehen ist.
-
Neue Anforderungen für ca. 30.000 Unternehmen
KRITIS-Betreiber werden zwar nicht von den Anforderungen überrascht sein, die durch die NIS-2-Richtlinie und das NIS2UmsuCG an sie gestellt werden, doch viele andere Unternehmen, die jetzt neu im Anwendungsbereich liegen, werden sich hier eventuell strecken müssen. Zahlreiche Maßnahmen im Risikomanagement reihen sich an eine mögliche verpflichtende Nutzung von zertifizierten IT-Produkten und -Diensten. Melde- und Informationspflichten mit sehr kurzen Fristen müssen bei einem Cybersicherheits-Vorfall eingehalten werden. Und Auslagerungen können die Meldewege gegebenenfalls zusätzlich verlängern – Verträge mit IT-Providern werden angepasst werden müssen.
-
Geschäftsführung ohne Know-how ist ein No-Go
Die Zeiten, in denen sich die Geschäftsleitung mithilfe von kurzen Berichten des CISO über den Stand der IT-Sicherheit hat aufklären lassen, sind vorbei. NIS-2 sorgt dafür, dass das Know-how auch ganz oben angesiedelt ist – und verpflichtet die Unternehmensführung dazu, die Verantwortung für das Risikomanagement und die Umsetzung der aufgelisteten Cybersicherheits-Maßnahmen zu übernehmen. Kenntnis ist also schon vor Etablierung des Management-Systems und der entsprechenden Maßnahmen erforderlich. Dass auch alle anderen Mitarbeiter über Awareness-Schulungen etc. fit im Thema IT-Sicherheit gemacht werden müssen, versteht sich von selbst.
-
Das BSI kontrolliert – und sanktioniert bei Bedarf
Je nach Kritikalität werden Unternehmen sich auch auf anlasslose Vor-Ort-Prüfungen durch das BSI einstellen müssen. Dabei sind umfangreiche Dokumentationen, Daten, Nachweise und sonstige Dokumente vorzulegen. Verstöße können gegebenenfalls öffentlich bekannt gemacht werden, was für den Ruf abträglich sein könnte. Anweisungen können erteilt, Zertifizierungen zurückgenommen und sogar leitenden Personen ein Tätigkeitsverbot auferlegt werden. Und Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes tun ihr Übriges, um eine Durchsetzung der Pflichten zu gewährleisten.
Auch interessant für dich
DORA-Tool: CloudGate
Kennst du CloudGate, unser RegTech-Tool für Governance, Risk & Compliance? Hier erfährst du mehr und kannst es kostenlos testen.
Aufsichtsmitteilung Cloud-Auslagerungen
Lies nach, welche Neuerungen es gibt und wie du heute schon starten kannst mit der Umsetzung der BaFin-Neuregelungen. Infos hier!
GRC-Seminare
Du willst mit deinem Team Innovationen vorantreiben, wenn es um GRC geht? Dann buche für euch eines unserer Seminare!
Whitepaper: DORA-Informationsregister
Lest im kostenlosen Whitepaper, wie Finanzunternehmen ihre IKT-Drittdienstleister dokumentieren und überwachen sollten. Jetzt downloaden!
Whitepaper: Umsetzungshinweise DORA
Erfahre im kostenlosen Whitepaper alles über die neuesten Hinweise der BaFin zur Umsetzung des Digital Operational Resilience Act. Jetzt downloaden!
Whitepaper: DORA
Lies im kostenlosen Whitepaper alles, was du über den Digital Operational Resilience Act wissen musst. Jetzt downloaden!
Regulatorik
Sebastian Dosch
Enabler und Principal Consultant
Du hast Fragen zu einem Regulatorik-Thema oder zu IT-Verträgen? Sebastian Dosch hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630