NIS-2
Ist Ihr Unternehmen von der EU-Richtlinie betroffen?
Die NIS-2-Richtlinie
Sind wir betroffen? Welche Anforderungen müssen wir umsetzen? Wieviel Zeit bleibt uns dafür?
Die NIS-2-Richtlinie (Network and Information Security 2, NIS-2) sorgt bei vielen Unternehmen im europäischen Raum derzeit für Fragezeichen. Denn mit der neuen Richtlinie rückt die EU neben Kritischen Infrastrukturen weitere "wichtige und besonders wichtige Einrichtungen" in den Fokus ihrer Cyber-Security-Offensive.
Bis Oktober 2024 wird die EU-Richtlinie in nationales Recht überführt sein und ab dann für betroffene Unternehmen bindend. Wir stehen Ihnen bei der Vorbereitung und Umsetzung der Vorgaben mit Rat und Tat zur Seite.
Anforderungen
Betroffene Unternehmen sind durch NIS-2 verpflichtet, ein nachvollziehbares Informationssicherheitsmanagementsystem (ISMS) zu betreiben. Sie müssen darauf basierend geeignete technische, betriebliche und organisatorische Maßnahmen ergreifen, um Cybersicherheitsrisiken zu kontrollieren, Sicherheitsvorfälle zu verhindern und potenzielle Auswirkungen zu minimieren. Die Anforderungen von NIS-2 beziehen sich dabei auf das gesamte Unternehmen, nicht nur auf als kritisch eingestufte Anlagen.
Timeline
Am 27. Dezember 2022 wurde NIS-2 veröffentlicht und trat am 16. Januar 2023 in Kraft. Derzeit überführen die EU-Mitgliedsstaaten die Vorgaben von NIS-2 in nationales Recht. Diese Überführung muss bis Oktober 2024 abgeschlossen sein. Auch wenn davon auszugehen ist, dass danach eine angemessene Übergangsfrist für die Umsetzung eingeräumt wird, empfehlen wir Ihnen dringend, sich frühzeitig vorzubereiten.
Geltungsbereich
Die NIS-2-Richtlinie gilt für Unternehmen ab 50 Mitarbeitenden und einem Umsatz von 10 Mio. Euro in 18 Sektoren, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind. Während einige dieser Sektoren in Deutschland durch die bestehende Gesetzgebung bereits vollständig oder teilweise reguliert sind kommen, andere durch NIS-2 neu hinzu:
So starten Sie in die Vorbereitung
Starten Sie Ihre Vorbereitung auf NIS-2 mit einer Gap-Analyse in Ihrem Unternehmen. Unabhängig davon, ob Sie bereits KRITIS-Audits auf Basis des IT-Sicherheitsgesetzes durchführen lassen oder erst durch NIS-2 in den Geltungsbereich rücken: Mit Hilfe der Gap-Analyse decken Sie konkrete Abweichungen der Sicherheitsorganisation in Ihrem Unternehmen auf. So können Sie rechtzeitig geeignete Implementierungsprojekte planen und umsetzen.
Wir stehen Ihnen zur Seite
Wir lassen Sie nicht allein. Natürlich stehen wir Ihnen im Anschluss an die Gap-Analyse beratend zur Seite und unterstützen Sie bei der Umsetzung der NIS-2-Vorgaben.
Planen sie gerade den Aufbau eines ISMS nach ISO 27001 oder sind Sie bereits dabei? Dann bietet es sich an, die NIS-2 Anforderungen direkt zu berücksichtigen. Wir unterstützen Sie gerne dabei!
Vinzent Ratermann
Spezialist für die IT-Sicherheit Kritischer Infrastrukturen
Ein NIS-2-Umsetzungsprojekt ist in der Regel mit umfangreichen personellen und monetären Ressourcen verbunden. Wir raten Ihnen deshalb: Nutzen Sie die verbleibende Zeit bis Oktober 2024 optimal aus. Betrachten Sie gemeinsam mit unseren erfahrenen Berater*innen und Security Auditor*innen frühzeitig die Anforderungen von NIS-2 und ermitteln Sie Abweichungen in Ihrem Unternehmen.
Mehr Informationen zu NIS-2
NIS-2 und DORA: Warum zwei EU-Rechtsvorschriften für Cybersicherheit
Bereit für NIS-2? Wie Sie Ihr Unternehmen vorbereiten
