Wie Sie Ihr Unternehmen rechtzeitig auf die Umsetzung der Richtlinie vorbereiten
Im Falle der Umsetzung der NIS-2-Richtlinie lautet die klare Empfehlung unserer Expert*innen an die Betreiber kritischer Infrastrukturen: Be the early bird – auch wenn es schwerfällt.
usd Webinar: NIS-2 - Alles Wissenswerte zur Vorbereitung
Erfahren Sie alles Wichtige über die NIS 2-Richtlinie: Wer ist betroffen? Welche Anforderungen gibt es? Wie ist der aktuelle Stand der lokalen Umsetzungen? Unsere Experten gehen mit Ihnen gemeinsam durch die voraussichtliche Timeline und geben Ihnen Tipps, wie Sie sich bereits jetzt vorbereiten können.
Starten Sie frühzeitig mit einer Gap-Analyse in Ihrem Unternehmen– unabhängig davon, ob Sie bereits KRITIS-Audits auf Basis des IT-Sicherheitsgesetzes durchführen lassen oder erst durch NIS-2 in den Geltungsbereich rücken. Mit Hilfe der Gap-Analyse decken Sie konkrete Abweichungen der Sicherheitsorganisation in Ihrem Unternehmen zu den Vorgaben der NIS-2 auf. So können Sie im kommenden Jahr geeignete Implementierungsprojekte planen und umsetzen.
Doch gehen wir zunächst einen Schritt zurück.
Was ist NIS-2?
Die NIS-2-Richtlinie (Network and Information Security 2, NIS-2) beschreibt Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der europäischen Union. Ziel ist es, sicherzustellen, dass Organisationen, die für das reibungslose Funktionieren unserer Gesellschaft wichtig sind, ein hohes Maß an digitaler Sicherheit erreichen.
Damit wachsen die Anforderungen an die Betreiber kritischer Infrastrukturen (KRITIS) weiter. Diese werden in Deutschland durch das BSI-Gesetz dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen.
Mit dem aktuell geltenden IT-Sicherheitsgesetz 2.0 war Deutschland bereits ein Vorreiter unter den Mitgliedsstaaten, indem dort schon ein erweiterter Geltungsbereich sowie Ansätze der nun in der NIS-2 geforderten Vorschriften umgesetzt worden sind. Nun verschärft NIS-2 beispielsweise die Anforderungen an das Cybersicherheits-Risikomanagement und die Meldepflichten für Vorfälle und nimmt zusätzliche Sektoren in die Pflicht.
Erfahren Sie in unserem Beitrag mehr zur NIS-2-Richtlinie: https://www.usd.de/news-kritis-nis-2-richtlinie/
Ab wann ist NIS-2 gültig?
Da es sich bei NIS-2 um eine EU-Richtlinie handelt, die von den einzelnen Mitgliedsstaaten in nationales Recht überführt werden muss, sind die Mitgliedsstaaten für die konkrete Ausgestaltung der gesetzlichen Vorgaben und die Überprüfung ihrer Einhaltung zuständig. Es ist damit zu rechnen, dass Deutschland die Vorschriften der NIS-2 in ein IT-Sicherheitsgesetz 3.0 überführen und das bestehende Informationssicherheitsgesetz erweitern wird. Diese Überführung in nationales Recht muss bis Oktober 2024 abgeschlossen sein.
NIS-2 erweitert Geltungsbereich
Der Geltungsbereich der NIS-2 umfasst 18 Sektoren. Eine Änderung der Schwellenwerte führt zu einer Ausweitung der Anforderungen auf mehr Organisationen.
Einige dieser Sektoren sind in Deutschland durch die bestehende Gesetzgebung bereits vollständig oder teilweise reguliert, andere sind komplett neu:
Wir empfehlen betroffenen Unternehmen, besonders in den Sektoren, die durch die NIS-2-Richtlinie erst neu in den Fokus rücken, bereits einen Blick in die Vorschriften der NIS-2 zu werfen.
Gap-Analyse: Abweichungen ermitteln & Vorbereitungen treffen
Da die Überführung von NIS-2 in nationales Recht erst im Oktober 2024 abgeschlossen sein muss und dann erfahrungsgemäß eine Übergangsfrist eingeräumt wird, mag es für viele betroffene Unternehmen verlockend sein, zunächst abzuwarten und Vorbereitungen auf die lange Bank zu schieben.
Doch die meisten von Ihnen kennen die umfangreichen Implementierungsprojekte zur Harmonisierung mit regulatorischen Anforderungen aus anderen nationalen Branchen- oder Sicherheitsstandards. Dies sind langfristig angelegte Projekte mit umfangreichen personellen und monetären Ressourcen. Diese gilt es vorzubereiten und sorgfältig zu planen.
Nutzen Sie daher die verbleibende Zeit optimal aus. Betrachten Sie gemeinsam mit unseren erfahrenen Berater*innen und Security Auditor*innen bereits jetzt die Anforderungen von NIS-2 und ermitteln Sie Abweichungen in Ihrem Unternehmen. Folgen dann konkrete Anforderungen mit der Veröffentlichung des IT-Sicherheitsgesetzes, haben Sie bereits eine gute Grundlage geschaffen – besonders, wenn Ihr Unternehmen bisher nicht dadurch reguliert wurde.
Ein solcher Check hat noch einen weiteren Vorteil: Selbstverständlich prüfen unsere Auditor*innen die Anforderungen der NIS-2, doch durch die eingehende Prüfung von Prozessen, Technik und Security Awareness Ihrer Mitarbeiter*innen, erhalten Sie gleichzeitig eine sehr gute Einschätzung des Sicherheitsniveaus Ihres Unternehmens.
Seien Sie in diesem Fall der frühe Vogel – für einen Vorsprung in der Vorbereitung und für mehr Sicherheit. Wir unterstützen Sie gern.
