Wir helfen Ihnen die NIS-2-Anforderungen zu erfüllen

damit Sie keine Bußgelder zahlen müssen.

 

 

FAQ und Tipps & Tricks zu NIS-2

FAQ und Tipps & Tricks zu NIS-2

Was steckt hinter NIS-2?

Die NIS-2-Richtlinie (Network and Information Security Directive 2) soll die Cybersicherheit in der EU auf ein neues Level heben. Sie ersetzt die alte NIS-Richtlinie, bringt schärfere Regeln und betrifft viel mehr Unternehmen.

Wer muss sich mit NIS-2 auseinandersetzen?

Kurz gesagt: Unternehmen aus kritischen und wichtigen Sektoren. Das sind u. a. Energie, Verkehr, Gesundheitswesen, Finanzwesen, digitale Infrastruktur und öffentliche Verwaltung. Entscheidend ist meist die Mitarbeiterzahl (mind. 50) oder der Jahresumsatz (mind. 10 Mio. Euro).

Welche Anforderungen stellt NIS-2?
  • Sicherheitsstrategie: IT-Sicherheitskonzept mit Maßnahmen wie Firewalls und Notfallplänen.
  • Meldepflicht: Vorfälle innerhalb von 24 Stunden melden, innerhalb von 72 Stunden dokumentieren.
  • Sichere Lieferketten: Dienstleister müssen Sicherheitsstandards einhalten.
  • Verantwortlichkeit der Geschäftsleitung: Führungsebene kann persönlich haftbar gemacht werden.
Wie ist der Stand der Umsetzung in Deutschland?

Die Umsetzung verzögert sich, eine Verabschiedung wird für Frühjahr 2025 erwartet. Unternehmen sollten sich frühzeitig vorbereiten.

Herausforderungen in der Praxis
  • Mehr Aufwand für Prozesse, Dokumentation und Schulungen
  • Technische Upgrades für veraltete Systeme
  • Fachkräftemangel in der IT-Sicherheit
  • Abgleich mit anderen Regularien wie DSGVO
Welche weiteren Vorschriften spielen mit rein?
  • DSGVO: Datenschutz und Cybersicherheit
  • Cyber Resilience Act (CRA): Sicherheitsanforderungen für Software/Hardware
  • TISAX®: IT-Sicherheit in der Automobilbranche
  • ISO 27001: Standard für IT-Sicherheitsmanagement
Was passiert, wenn man sich nicht daran hält?

Bußgelder bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes, Reputationsschäden und persönliche Haftung.

Wie gehst du am besten vor?
  1. Status-Check: Wo steht dein Unternehmen?
  2. Maßnahmenplan: Sicherheitslücken identifizieren
  3. Mitarbeiter sensibilisieren: Schulungen durchführen
  4. Notfallstrategie: Incident-Response-Plan
  5. Experten an Bord holen: IT-Sicherheitsdienstleister
Nice-to-Know & Tipps und Tricks
  • Passwort-Manager nutzen: Zufällig generierte, lange Passwörter schützen besser als einfache Kombinationen. Ein Passwort-Manager erleichtert die Verwaltung.
  • Multi-Faktor-Authentifizierung aktivieren: Selbst, wenn ein Passwort gestohlen wird, bleibt der Zugriff durch eine zweite Sicherheitsstufe (z. B. SMS-Code oder App) geschützt.
  • Regelmäßige Backups machen: Wichtige Daten sollten täglich oder wöchentlich gesichert und an einem sicheren, offline gespeicherten Ort aufbewahrt werden.
  • Phishing-Tests durchführen: Gefälschte E-Mails sind eine der häufigsten Angriffsformen. Mit internen Phishing-Tests lernen Mitarbeiter, verdächtige Nachrichten zu erkennen.
  • Software-Updates aktivieren: Software-Updates enthalten oft Sicherheits-Patches. Automatische Updates sollten aktiviert sein, um Schwachstellen zu minimieren.
  • Netzwerktrennung einrichten: Kritische Systeme sollten von weniger wichtigen Netzwerken getrennt sein, damit Angreifer nicht direkt auf sensible Bereiche zugreifen können.

 

EU-Vertragsverletzungsverfahren gegen Deutschland: Was Unternehmen zur NIS-2-Umsetzung wissen müssen

Die Europäische Kommission hat Deutschland und 22 weitere EU-Mitgliedsstaaten dazu aufgefordert, über den Stand der Umsetzung der NIS-2-Richtlinie zur Netz- und Informationssicherheit sowie der Richtlinie zur Resilienz kritischer Einrichtungen (KRITIS) zu berichten. 
Ziel beider Richtlinien ist es, Cybersicherheit und Resilienz in zentralen Sektoren zu stärken.

Verzögerungen auf politischer Ebene

Die Umsetzung der NIS2-Richtlinie in nationales Recht hätte bis zum 17. Oktober 2024 erfolgen müssen. Ähnlich verhält es sich mit KRITIS. Allerdings wurden die entsprechenden Gesetzesvorhaben auf nationaler Ebene durch politische Uneinigkeit und interne Blockaden erheblich verzögert. Besonders bei der NIS-2-Umsetzung gab es intensive Diskussionen und Widerstände, die die Verabschiedung der notwendigen Maßnahmen bis zur Frist verhinderten.


Obwohl die Entwürfe für beide Richtlinien mittlerweile auf den Weg gebracht wurden, sind sie noch nicht vollständig durch den Gesetzgebungsprozess gegangen. Dieser Umstand hat dazu geführt, dass die EU-Kommission ein Vertragsverletzungsverfahren eingeleitet hat.


Was bedeutet das für Unternehmen?
Die politische Blockade hat nicht nur das Risiko von Sanktionen gegen Deutschland erhöht, sondern auch die Planungs- und Rechtssicherheit für Unternehmen geschwächt. Gleichzeitig ist davon auszugehen, dass die Vorgaben der Richtlinien – unabhängig von der Verzögerung – bald umgesetzt werden müssen.

 

Responsive Bild mit Lightbox
NIS-2 Branchen


Pflichten und Herausforderungen für Unternehmen im Überblick:


1.    NIS2-Richtlinie:
⇒ Einführung strengerer Cybersicherheitsstandards.
⇒ Verpflichtung zu Risikomanagementmaßnahmen und der Meldung von Sicherheitsvorfällen.


2.    KRITIS:
⇒ Fokus auf physische und organisatorische Widerstandsfähigkeit.
⇒ Durchführung von Risikobewertungen und Einhaltung von Mindeststandards.


Unsere Empfehlungen:
•    Frühzeitige Anpassung: Unternehmen sollten die Anforderungen der Richtlinien bereits jetzt prüfen und entsprechende Maßnahmen vorbereiten.
•    Risikomanagement stärken: Stellen Sie sicher, dass sowohl Cybersicherheits- als auch Resilienzstrategien auf dem neuesten Stand sind.
•    Proaktive Planung: Rechnen Sie mit kurzfristigen rechtlichen Änderungen und bereiten Sie sich organisatorisch auf die Umsetzung vor.


Obwohl die politische Verzögerung bedauerlich ist, sollten Unternehmen dies nicht als Anlass für Abwarten sehen. Die Anpassung an die neuen Standards bietet langfristige Vorteile und minimiert Risiken – sowohl rechtlich als auch operativ.
Analysen: Wir bieten Erstanalysen, um gemeinsam mit Ihnen einen ersten Überblick über Lage und Situation in ihrem Unternehmen zu geben und Sie mit den neuen Anforderungen vertraut zu machen.


Für weitere Informationen oder Unterstützung sind wir nur einen Anruf oder eine E-Mail weit entfernt.

 

 

 

 

NIS-2 als Chance: Wie Unternehmen von der neuen Sicherheitsrichtlinie profitieren können

Die Umsetzung der NIS-2-Richtlinie (Network and Information Systems Directive) bietet Unternehmen zahlreiche Vorteile, die über die bloße Einhaltung gesetzlicher Vorgaben hinausgehen:

  • Verbesserte Schutzmaßnahmen: Die Umsetzung von NIS-2 erfordert, dass Unternehmen ihre IT-Infrastruktur stärken, wodurch das Risiko von Cyberangriffen verringert wird.
  • Früherkennung von Bedrohungen: Durch kontinuierliches Monitoring und verbessertes Risikomanagement können Bedrohungen frühzeitig erkannt und abgewehrt werden.
  • Vertrauenswürdigkeit bei Kunden und Partnern: Ein nachweislich hoher Sicherheitsstandard stärkt das Vertrauen von Kunden und Geschäftspartnern in das Unternehmen.
  • Reputation: Unternehmen, die hohe Sicherheitsstandards einhalten, können sich als sichere und zuverlässige Partner am Markt positionieren.
  • Marktvorteil durch Compliance: Unternehmen, die frühzeitig und vollständig die NIS-2-Richtlinie umsetzen, können dies als Wettbewerbsvorteil nutzen und sich von Mitbewerbern abheben.
  • Angebotsspektrum erweitern: Mit der Einhaltung der NIS-2 können Unternehmen neue Geschäftsfelder erschließen, die hohe Sicherheitsstandards voraussetzen.
  • Effizienzsteigerung: Die Implementierung von Sicherheitsmaßnahmen kann zur Optimierung von IT- und Geschäftsprozessen führen.
  • Risikomanagement: Ein besseres Verständnis und eine strukturierte Herangehensweise an Risikomanagement können insgesamt zu effizienteren Geschäftsabläufen beitragen.
  • Vermeidung von Strafen: Durch die Einhaltung der NIS-2-Richtlinie vermeiden Unternehmen potenzielle Bußgelder und rechtliche Konsequenzen.
  • Finanzielle Stabilität: Verbesserte Sicherheitsmaßnahmen können das Risiko von finanziellen Verlusten durch Cyberangriffe verringern.
  • Technologische Fortschritte: Die Anforderungen der NIS-2 können Unternehmen dazu motivieren, in neue Technologien und Sicherheitslösungen zu investieren.
  • Innovationskultur: Eine stärkere Fokussierung auf Cybersicherheit kann eine Kultur der kontinuierlichen Verbesserung und Innovation fördern.
  • Notfallpläne und -übungen: Durch die NIS-2 werden Unternehmen dazu verpflichtet, Notfallpläne zu entwickeln und regelmäßig zu testen, was die Reaktionsfähigkeit bei Sicherheitsvorfällen verbessert.
  • Wiederherstellungsfähigkeit: Schnelleres und effizienteres Wiederherstellen nach einem Vorfall minimiert Ausfallzeiten und schützt wichtige Geschäftsprozesse.
  • Netzwerke und Partnerschaften: Die NIS-2 fördert den Informationsaustausch zwischen Unternehmen und Behörden, was zu einer besseren Gesamtstrategie zur Bekämpfung von Cyberbedrohungen führt.
  • Branchenübergreifende Zusammenarbeit: Der Austausch von Best Practices und Erfahrungen innerhalb der Branche und darüber hinaus kann zu einer kollektiven Erhöhung der Sicherheitsstandards führen.

 

 

Unser Team für NIS2

Friedrich Gillet

Geschäftsführender Gesellschafter

Sachverständiger und Fachgutachter mit umfangreicher Erfahrung in Prozessverbesserung und Unternehmensberatung

Marc Mietz

Geschäftsführender Gesellschafter

Risikomanager und Experte für Automobilindustrie

David Zinzius

Auditor für Informationssicherheitsmanagement -ISO 27001- zusätzliche Prüfkompetenz nach §8a BSIG und B3S Pharma.

Berater für den Bereich KRITIS.


Alles, was Sie jetzt über NIS-2 wissen müssen

Ein Verstoß gegen die NIS-2-Richtlinie kann zu hohen Geldstrafen führen, explizit ist im aktuellen Referentenentwurf geregelt, dass diese Bußgelder von der Geschäftsleitung selbst zu tragen sind und nicht durch die Unternehmen ersetzt werden dürfen.
Für jede Person in einer Geschäftsführung ist es daher von entscheidender Bedeutung, den Handlungsbedarf zu erkennen und ggf. Maßnahmen zu ergreifen.

Um die Anforderungen der NIS-2 zu erfüllen, ist ein strukturierter Ansatz erforderlich, der sowohl technische als auch organisatorische Maßnahmen umfasst. Damit stellen Sie sicher, dass Ihr Unternehmen den neuen Sicherheitsstandards entspricht und potenzielle Risiken minimiert werden.

Verpassen Sie nicht die Gelegenheit, Ihr Wissen über NIS-2 zu erweitern und sich vor finanziellen Risiken zu schützen. Handeln Sie jetzt, um Ihr Unternehmen zukunftssicher zu machen.
 

NIS-2 Whitepaper zum gratis Download

 

 

Ist Ihr Unternehmen betroffen?


In der NIS2-Richtlinie der EU sind elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren bzw. Branchen gelistet, die von den neuen Regelungen betroffen sind.
 

Wesentliche Einrichtungen (Essential)

  1. Energie (Elektrizität, Fernwärme/-kälte, Erdöl, Erdgas, Wasserstoff)
  2. Verkehr (Straßenverkehr, Luftverkehr, Schienenverkehr, Schifffahrt)
  3. Bankwesen 
  4. Finanzmarktinfrastrukturen 
  5. Gesundheit (Gesundheitsdienstleister, Labore, Pharma, Medizingeräte, Fprschung & Entwicklung)
  6. Trinkwasser 
  7. Abwasser 
  8. Digitale Infrastrukturen
  9. IKT-Dienste (Dienstleistungen im Bereich der Informations- und Kommunikationstechnologie)                                     
  10. öffentliche Verwaltung 
  11. Raumfahrt

Wichtige Einrichtungen (Important)

  1. Post- und Kurierdienste
  2. Abfall 
  3. Chemie (Produktion, Herstellung und Handel)
  4. Lebensmittel/Ernährung (Produktion, Verarbeitung und Vertrieb)
  5. Industrie/Produktion (Medizinprodukte und In-vitro, DV, Elektronik, Optik, elektrische Ausrüstungen, Maschinenbau, Fahrzeugbau und Teile)
  6. Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
  7. Forschung 


In der Übersicht:

Betreiber wesentlicher Dienste (Essential Service Operators):

- mindestens 50 Mitarbeitende und/oder einem Jahresumsatz oder einer Jahresbilanzsumme von mindestens 10 Millionen Euro.

- Branchen: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und -verteilung sowie digitale Infrastruktur.

 

Betreiber Wichtige Dienste (Important Service Operators):

- mindestens 250 Mitarbeitende und/oder einem Jahresumsatz von mindestens 50 Millionen Euro oder einer Jahresbilanzsumme von mindestens 43 Millionen Euro.

- Branchen: Abwasser, öffentlicher Verwaltung, Weltraum, Lebensmittel, Chemikalien, Hersteller von Medizinprodukten, Post- und Kurierdienste, Abfallwirtschaft und Forschung.

 

 

Grundsätzlich gelten große und mittlere Unternehmen als von der NIS-2 erfasst.

Kleinunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro sind normalerweise nicht betroffen.

Allerdings gibt es eine Ausnahme, wenn die Dienste des Unternehmens als besonders kritisch eingestuft werden. Bestimmte Dienste, wie z.B. die von Anbietern öffentlicher elektronischer Kommunikationsnetze oder Vertrauensdienste, unterliegen unabhängig von der Unternehmensgröße immer den Bestimmungen der NIS-2.

 

Maßnahmen zum Risikomanagement

Die NIS-2 verlangt von Unternehmen, dass sie angemessene Risikomanagementmaßnahmen ergreifen, um Sicherheitsvorfälle zu verhindern oder deren Auswirkungen zu minimieren. Diese Maßnahmen müssen technischer, operativer und organisatorischer Natur sein und dem aktuellen Risiko sowie dem Stand der Technik entsprechen. Dabei sind die Kosten, die Unternehmensgröße und die Wahrscheinlichkeit eines Sicherheitsvorfalls zu berücksichtigen.

Ein zentrales Element der NIS-2 sind die zehn spezifischen Mindestmaßnahmen, die Unternehmen erfüllen müssen. Diese umfassen unter anderem

  • Risikoanalysen
  • Backup-Management
  • Notfallwiederherstellung
  • Krisenmanagement
  • Mitarbeiterschulungen in Cybersicherheit
  • Sicherheitsmaßnahmen für die Lieferkette.

Unternehmen müssen ihre Lieferanten hinsichtlich ihrer Cybersicherheitsrisiken bewerten und sicherstellen, dass Vertragsbeziehungen mit Lieferanten vermieden werden, die bedeutende Cybersicherheitsbedenken aufweisen.

Die NIS-2 stellt sicher, dass Unternehmen effektive Strategien entwickeln, um ihre Dienste und die ihrer Kunden vor potenziellen Sicherheitsvorfällen zu schützen. Diese Maßnahmen sind zwar nun gesetzlich verpflichtend, helfen Ihnen aber darüber hinaus das Vertrauen der Kunden zu wahren, den Geschäftsbetrieb zu gewährleisten und den Fortbestand ihres Unternehmens zu sichern.

 

Fahrplan zur Umsetzung der NIS-2-Richtlinie in deutsches Recht

Die finale Gestaltung der deutschen NIS-2-Umsetzung ist noch nicht beschlossen. Der aktuelle Entwurf zeigt leichte Unterschiede bei den betroffenen Sektoren sowie den Unternehmensgrößen und Umsatz-/Bilanzgrenzen. In Deutschland könnten auch kleinere Unternehmen mit weniger als 50 Mitarbeitenden betroffen sein. Ein endgültiger Zeitplan für die Veröffentlichung aller Regelungen steht noch aus. Das deutsche NIS-2-Umsetzungsgesetz soll offiziell am 1. Oktober 2024 in Kraft treten und das bisherige BSIG ablösen. 

 

Beginnen Sie jetzt mit den NIS-2-Vorbereitungen, da die Zeit bereits knapp wird.

 

Wichtige Meilensteine der NIS-2-Richtlinie von der EU bis Deutschland:

  • 27.12.2022: Veröffentlichung der europäischen NIS-2-Richtlinie im EU-Amtsblatt
  • 16.01.2023: Inkrafttreten der europäischen NIS-2-Richtlinie
  • April & Juli 2023: Erster und zweiter deutscher Referentenentwurf der NIS2-Umsetzung
  • 27.09.2023: Dritter deutscher Entwurf (Diskussionspapier für den Dialog mit der Wirtschaft und Verbändeabstimmung)
  • 07.05.2024: Veröffentlichung eines neuen Referentenentwurfs für das NIS2UmsuCG durch das Bundesministerium des Innern und für Heimat (BMI)
  • Noch offen: Erwarteter weiterer Entwurf für das NIS2UmsuCG
  • Noch offen: Verkündung des NIS2UmsuCG (IT-Sicherheitsgesetz 3.0), dem deutschen NIS2-Umsetzungsgesetz
  • 01.10.2024: Geplantes Inkrafttreten des deutschen NIS2UmsuCG
  • Spätestens 17.10.2024 (EU-Deadline): Vollständige Umwandlung der europäischen NIS-2-Richtlinie in deutsches Recht
  • 18.10.2024 (EU-Vorgabe): Das deutsche NIS-2-Umsetzungsgesetz tritt in Kraft - Unternehmen müssen sich an die Vorschriften halten <- diese Vorgabe konnte in Deutschland bis dato nicht eingehalten werden, die Umsetzung in nationales Recht steht bis dato noch aus (Stand Februar 2025)

 

Die Umsetzung von NIS-2 in Deutschland wird voraussichtlich verschoben. Viele Expertinnen und Experten zweifeln am Stichtag im Oktober und vermuten eine Verschiebung auf das Frühjahr 2025 oder später.


- Konkrete Daten zur Umsetzung in nationales Recht waren zum Veröffentlichungszeitpunkt (Januar 2025) nicht verfügbar.
- Der letzte Bearbeitungsstand des Referentenentwurfs zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz bestätigt jedoch die Verschiebung.

Unternehmen, die demnächst als KRITIS-Unternehmen eingestuft werden, haben zwar etwas mehr Zeit, um die NIS-2-Anforderungen umzusetzen. 
Um optimal vorbereitet zu sein, sollten Unternehmen aber nicht auf den finalen deutschen Gesetzestext warten, sondern das Thema jetzt angehen. Denn Security-Maßnahmen einzuführen, kostet Zeit, und auf den letzten Drücker werden meist die Berater-Ressourcen knapp.