NIS-2: Cybersicherheit verpflichtend für (fast) alle

EU-Richtlinie fordert mittlere und große Unternehmen heraus

+++ Umsetzungsfrist läuft voraussichtlich im März 2025 ab +++

+++ 30.000 Unternehmen betroffen +++

+++ Kontrolle und Sanktion durch das BSI +++

Resilienz wird in der europäischen Cyber­sicher­heits-Stra­tegie von 2022 besonders groß­geschrieben, und daher wurde die bis­herige NIS (Netz­werk- und Infor­mations­sicher­heits­richtlinie) angepasst, erwei­tert und zur NIS-2 fort­entwickelt. Das bedeutet, dass sich jetzt viel mehr Unter­nehmen des The­mas annehmen, Risiko­management betreiben sowie Melde- und Informations­pflichten beachten müssen. Neben hohen Buß­geldern droht bei Ver­stößen die direkte Haf­tung der Geschäfts­leitung.

Mehr erfahren

Verstehen. Reagieren. Handeln.

Die NIS-2-Richtlinie muss eigentlich bis zum 18.10.2024 in deutsches Gesetz umgesetzt werden – diese Frist wird der deutsche Gesetzgeber aber reißen. Die neuesten Pläne (Stand: Oktober 2024) sprechen von März oder April 2025. Die Umsetzung wird mit dem NIS2UmsuCG (Umsetzungs- und Cybersicherheitsstärkungsgesetz) erfolgen, das bislang nur als Regierungsentwurf vorliegt. Es wird dann vor allen Dingen das BSI-Gesetz ergänzen und in Teilen neu fassen.
Zum Tag des Inkrafttretens müssen Betreiber kritischer Anlagen sich bereits beim Bundesamt für Informationssicherheit (BSI) registrieren. Für alle anderen betroffenen Unternehmen – und das sind nach Schätzungen ca. 30.000 in Deutschland – gilt eine 3-monatige Übergangsfrist für die Registrierung. Und auch auf die IT-Dienstleister dieser Unternehmen kommen Änderungen zu, da die Sicherheit auch in der Lieferkette gewährleistet werden muss.
Wir befähigen dich und dein Team, den Überblick über die verschiedenen Regelungen in NIS-2 zu behalten, herauszufinden, ob dein Unternehmen davon überhaupt betroffen ist, und, falls ja, wie die verschiedenen Anforderungen erfolgreich umgesetzt und so die eigene Cybersicherheit erhöht werden können.

Gestaltung von NIS-2-Compliance

Wir begleiten euch bei der Gap-Analyse hinsichtlich der gesetzlich vorgesehenen technischen und organisatorischen Mindestmaßnahmen: Diese sollen darauf abzielen, dass Störungen der Verfügbarkeit, der Integrität und der Vertraulichkeit von Systemen, Komponenten und Prozessen vermieden werden. Und falls sich doch ein Cybersicherheits-Vorfall ereignet haben sollte, sollen dessen Auswirkungen möglichst geringgehalten werden.

Aufbau einer NIS2-Governance

Die von der NIS-2-Richtlinie vorgesehenen Mindestmaßnahmen und die weiteren Pflichten wie Melde- und Informationspflichten stellen erhöhte Anforderungen an die Organisation der betroffenen Unternehmen. Wir unterstützen euch bei der Verbesserung eurer bestehenden Governance und bewerten mit euch relevante Rollen und Funktionen.

Aufbau von Kenntnissen in der IT-Sicherheit

Um die NIS-2-Richtlinie umsetzen zu können, sind ausreichende Kenntnisse im Bereich der Sicherheit in der Informationstechnik sowohl bei den MitarbeiterInnen als auch und insbesondere bei der Geschäftsleitung erforderlich. Wir helfen euch, euer Know-how in Sachen IT-Security zu verbessern und so auch den rechtlichen Anforderungen gerecht zu werden.

Wir haben Lösungen für dich

Lass uns besprechen, wie wir die NIS-2-Umsetzung in deiner Organisation angehen, auch toolgestützt mit CloudGate.

Die NIS-2-Richtlinie und das Umsetzungsgesetz im Überblick

Icon Sektoren

Mehr Sektoren als vorher fallen unter NIS-2

Dadurch steigt auch die Anzahl der betroffenen Unternehmen.
Die NIS-2-Richlinie listet jetzt
- 11 besonders kritische und
- 7 kritische Sektoren

Icon MitarbeiterInnen

Auch mittlere Unternehmen sind betroffen

Neben KRITIS-Betreibern müssen Unternehmen schon dann NIS-2 einhalten, wenn sie mehr als
- 50 Mitarbeiter oder
- 10 Mio. Euro Jahresumsatz oder Bilanzsumme haben

 

Icon Paragraph

Pflichten gelten für alle betroffenen Unternehmen

​Risikomanagement mit zahlreichen Mindestmaßnahmen

Nutzung von zertifizierten IT-Produkten und -Diensten

Melde- und Informationspflichten

Icon König Schach

Das Management ist gefordert

Die Geschäftsleitung trägt die Verantwortung für
- das Risikomanagement
- die Umsetzung der Mindestmaßnahmen

Schulungen in der Cybersicherheit sind daher verpflichtend

 

Icon Euro

Aufsichts­maß­nahmen und Sank­tio­nen

Überwachung bis hin zu Vor-Ort-Prüfungen und Sicherheits-Scans

Möglichkeit verbindlicher Anweisungen der Aufsicht

Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes

Warum du dich dringend mit der NIS-2-Richtlinie befassen solltest

1. Umsetzungsfrist in Deutschland voraussichtlich im Frühjahr 2025

2. Neue Anforderungen für ca. 30.000 Unternehmen

3. Geschäftsführung ohne Know-how ist ein No-Go

4. Das BSI kontrolliert – und sanktioniert bei Bedarf

  • NIS-2-Umsetzungsfrist

    Umsetzungsfrist in Deutschland voraussichtlich im Frühjahr 2025

    Die europäische NIS-2-Richtlinie wurde bereits Ende 2022 veröffentlicht. Darin ist geregelt, dass die Umsetzung in nationales Recht zum September 2024 abgeschlossen sein müsse. Der deutsche Gesetzgeber wird aber voraussichtlich erst im Frühjahr 2025 das dazu entworfene NIS2UmsuCG verabschieden. Die Regelungen gelten dann aber sofort, da eine Übergangsfrist in dem Gesetzesentwurf nicht vorgesehen ist.

  • Anforderungen NIS-2

    Neue Anforderungen für ca. 30.000 Unternehmen

    KRITIS-Betreiber werden zwar nicht von den Anfor­derungen überrascht sein, die durch die NIS-2-Richtlinie und das NIS2UmsuCG an sie gestellt werden, doch viele andere Unter­nehmen, die jetzt neu im An­wen­dungs­be­reich lie­gen, wer­den sich hier even­tuell strecken müs­sen. Zahl­reiche Maß­nahmen im Risiko­manage­ment reihen sich an eine mögliche verpflich­tende Nutzung von zerti­fizierten IT-Pro­duk­ten und -Diensten. Melde- und Infor­mations­pflichten mit sehr kurzen Fristen müssen bei einem Cyber­sicher­heits-Vorfall eingehalten werden. Und Aus­lage­run­gen können die Melde­wege gege­benen­falls zusätz­lich ver­längern – Ver­träge mit IT-Provi­dern werden ange­passt wer­den müssen.

  • Geschäftsführung NIS-2-KnowHow

    Geschäftsführung ohne Know-how ist ein No-Go

    Die Zeiten, in denen sich die Geschäfts­lei­tung mit­hilfe von kurzen Berich­ten des CISO über den Stand der IT-Sicher­heit hat auf­klären lassen, sind vorbei. NIS-2 sorgt da­für, dass das Know-how auch ganz oben an­ges­iedelt ist – und ver­pflich­tet die Un­ter­neh­mens­füh­rung dazu, die Ver­ant­wortung für das Risiko­manage­ment und die Um­set­zung der auf­ge­lis­teten Cyber­sicher­heits-Maß­nahmen zu über­nehmen. Kenntnis ist also schon vor Etab­lierung des Manage­ment-Systems und der ent­spre­chenden Maß­nahmen erfor­derlich. Dass auch alle an­deren Mit­ar­beiter über Aware­ness-Schu­lungen etc. fit im Thema IT-Si­cher­heit ge­macht wer­den müssen, ver­steht sich von selbst.

  • Kontrolle und Sanktionen NIS-2

    Das BSI kontrolliert – und sanktioniert bei Bedarf

    Je nach Kri­ti­kalität werden Un­ter­nehmen sich auch auf anlass­lose Vor-Ort-Prü­fungen durch das BSI ein­stel­len müssen. Da­bei sind um­fang­reiche Do­ku­menta­tionen, Da­ten, Nach­weise und sons­tige Do­kum­ente vorzul­egen. Ver­stöße können gegebenen­falls öf­fen­tlich be­kannt ge­macht werden, was für den Ruf ab­träg­lich sein könnte. An­wei­sun­gen kön­nen er­teilt, Zerti­fi­zie­rungen zu­rück­genommen und so­gar lei­tenden Per­sonen ein Tä­tig­keits­verbot auf­erlegt werden. Und Buß­gelder von bis zu 10 Mio. Euro oder 2 % des welt­weiten Jahres­um­satzes tun ihr Übri­ges, um eine Durch­set­zung der Pflich­ten zu gewähr­leisten.

Auch interessant für dich

DORA-Tool: CloudGate

Kennst du CloudGate, unser RegTech-Tool für Governance, Risk & Compliance? Hier erfährst du mehr und kannst es kostenlos testen.

Aufsichtsmitteilung Cloud-Auslagerungen

Lies nach, welche Neuerungen es gibt und wie du heute schon starten kannst mit der Umsetzung der BaFin-Neuregelungen. Infos hier!

GRC-Seminare

Du willst mit deinem Team Innovationen vorantreiben, wenn es um GRC geht? Dann buche für euch eines unserer Seminare!

Whitepaper: DORA-Informationsregister

Lest im kostenlosen Whitepaper, wie Finanzunternehmen ihre IKT-Drittdienstleister dokumentieren und überwachen sollten. Jetzt downloaden!

Whitepaper: Umsetzungshinweise DORA

Erfahre im kostenlosen Whitepaper alles über die neuesten Hinweise der BaFin zur Umsetzung des Digital Operational Resilience Act. Jetzt downloaden!

Whitepaper: DORA

Lies im kostenlosen Whitepaper alles, was du über den Digital Operational Resilience Act wissen musst. Jetzt downloaden!

Dein Experte für
Regulatorik

Sebastian Dosch
Enabler und Principal Consultant

Du hast Fragen zu einem Regulatorik-Thema oder zu IT-Verträgen? Sebastian Dosch hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt    Profil ansehen

×

NIS-2

Die europäische Netzwerk- und Informationssicherheits-Richtlinie* wurde Ende 2022 in ihrer zweiten Version veröffentlicht und soll in ganz Europa ein einheitliches, gemeinsames IT-Sicherheitsniveau fördern. Und das über den bisherigen, in Deutschland mit dem für die Kritischen Infrastrukturen (KRITIS) zu umschreibenden Anwendungsbereich hinaus.

Als Richtlinie muss NIS-2 eigentlich bis zum 18.10.2024 in deutsches Gesetz umgesetzt werden – diese Frist wird der deutsche Gesetzgeber aber reißen. Die neuesten Pläne (Stand: Oktober 2024) sprechen von März oder April 2025. 

Der Kreis der betroffenen Unternehmen (und damit auch deren Lieferanten und Dienstleister) ist stark gewachsen und richtet sich grundsätzlich nach der Branche und der Unternehmensgröße.

Die normierten Pflichten reichen von der "Cyberhygiene", also technischen Maßnahmen zur Erhöhung der Cybersicherheit, über ein Risikomanagement, Schulungsmaßnahmen, Melde- und Informationspflichten bis hin zum Vorhalt von Plänen zur Vorbeugung, aber auch zur angemessenen Reaktion auf Notfälle.

*Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates v. 14.12.2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der VO (EU) Nr. 910/2014 und der RL (EU) 2018/1972 sowie zur Aufhebung der RL (EU) 2016/1148 (NIS-2-Richtlinie)
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555.

×

Quick Links

Hier findest Du die Textversionen

-    der NIS-2-Richtlinie
-    des NIS2UmsuCG (mit Informationen zum aktuellen Stand des Gesetzgebungsverfahrens)

 

×

Anwendungsbereich

Euer Unternehmen ist betroffen, wenn es als eine der in der Richtlinie definierten Einrichtungen gilt (z.B. Kreditinstitute, Elektrizitätsunternehmen oder Gesundheitsdienstleister) und der so genannte Size-Cap greift, also die im Umsetzungsgesetz bestimmten Größenschwellen für Mitarbeiter und Umsatz erreicht werden.

Auch unabhängig von der Größe einer Einrichtung gelten z.B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen, Vertrauens- oder DNS-Diensteanbieter als solche Einrichtungen. Und es gibt noch mehr Sonderfälle.

Der derzeitige Entwurf des NIS2UmsuCG zur Umsetzung der NIS-2-Richtlinie in deutsches Recht unterscheidet zusätzlich noch nach wichtigen und besonders wichtigen Einrichtungen, so dass letztlich nur eine Kombination dieser Eigenschaften zu einer eindeutigen Bestimmung des Anwendungsbereichs führen kann. Und für anderweitig bereits regulierte Unternehmen, wie z.B. einige Banken und Versicherungen, gibt es im deutschen Umsetzungsgesetz weitere Ausnahmeregelungen (Stand August 2024).

 

Bist du unsicher, ob euer Unternehmen vom Gesetzentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betroffen ist?
Die NIS-2-Betroffenheitsprüfung des BSI bietet in wenigen Schritten dafür eine erste Orientierung: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html

×

Mindestmaßnahmen

Der Entwurf des § 30 Abs. 2 BSI-Gesetz sieht folgende auf die Sicherheit in der Informationstechnik abzielenden Risikomanagementmaßnahmen vor:

  • Konzepte für
    • Risikoanalyse und
    • Sicherheit in der Informationstechnik
    • Bewertung der Wirksamkeit von Risikomanagementmaßnahmen in diesem Bereich (mit entsprechenden Verfahren)
    • Einsatz von Kryptografie und Verschlüsselung (mit entsprechenden Verfahren)
    • Zugriffskontrolle
    • Anlagenmanagement
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs durch
    • Backup-Management,
    • Wiederherstellung,
    • Krisenmanagement
  • Sicherheit der Lieferkette (mit Auswirkungen auf IT-Drittanbieter)
  • Sicherheitsmaßnahmen und Schwachstellenmanagement im Lifecycle informationstechnischer Systeme, Komponenten und Prozesse
  • Cyberhygiene und Schulungen
  • Sicherheit des Personals
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung,
  • gesicherte Sprach-, Video- und Textkommunikation
  • gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
×

Rollen und Funktionen

Bestes Beispiel hierfür ist das Incident-Response-Management: Dieses muss nicht nur präventiv bei der Erkennung und Verhinderung von Sicherheitsvorfällen tätig sein, sondern auch über ein Portfolio angemessener Notfallmaßnahmen verfügen. Die Prozesse für den Umgang mit IT-Security-Vorfällen müssen "hieb- und stichfest" sein, getestet und immer aktuell gehalten werden.

Auch die Melde- und Informationspflichten, die für den Fall von erheblichen IT-Sicherheitsvorfällen gelten, bedürfen erhöhter Aufmerksamkeit. Stufenweise mit immer weiter steigenden Anforderungen an den Inhalt müssen Meldungen gemacht werden – zunächst spätestens 24 Stunden, nachdem das Unternehmen Kenntnis von dem Vorfall erhalten hat, dann wieder nach spätestens 72 Stunden und als Abschlussmeldung nach 1 Monat. Zwischenmeldungen können vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ebenfalls noch angefordert werden.

Ohne entsprechende Organisation, ohne die erforderlichen Rollen und auch ohne ein entsprechend aufgestelltes IT-Provider Management sind derartige Anforderungen nicht zu erfüllen.