NETWORK AND INFORMATION SECURITY 2 (NIS-2) DIRECTIVE
Die NIS-2-Richtlinie, eine maßgebliche EU-Regulierung im Bereich der Cybersicherheit, steht derzeit im Fokus.
Wir sorgen für ein erfolgreiches NIS-2-Umsetzungsprogramm und unterstützen Sie bei der Sicherstellung der Compliance!
Definition
Was ist NIS-2?
Die europäische Wirtschaft ist zunehmend auf funktionierende und widerstandsfähige Infrastrukturen angewiesen, sowohl physisch als auch digital, um Wohlstand und Wachstum zu sichern. Dabei sind Unternehmen durch die Digitalisierung und globale Vernetzung höheren Cybersicherheitsrisiken (z. B. Ransomware-Angriffen) ausgesetzt.
Die NIS-2-Richtlinie (Network and Information Security Directive 2 - (EU) 2022/2555) der Europäischen Union zielt darauf ab, das Cybersicherheitsniveau in der gesamten EU zu vereinheitlichen und zu stärken. In Deutschland wird NIS-2 mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) eingeführt und umgesetzt. Mit der Einführung der NIS-2 strebt die EU an, Angriffe auf Infrastrukturen und die damit verbundenen potenziell katastrophalen Folgen für Unternehmen und deren Mitarbeitende zu verhindern.
Die betroffenen Unternehmen müssen mit in krafttreten des NIS2UmsuCG die Anforderungen der NIS-2-Richtlinie umgesetzt haben.
Anwendungsbereich
Die Betroffenheit der NIS-2-Richtlinie auf ein Unternehmen werden durch den standardisierten EU-Wirtschaftssektor (Branche), die Anzahl der Mitarbeiter und den Umsatz bzw. den Gewinn bestimmt.
Neben kritischen Infrastrukturen (z. B. Energieversorgung, Gesundheitswesen etc.) werden erstmals auch weitere Sektoren in die Pflicht genommen. Dazu gehören insbesondere das verarbeitende Gewerbe, Hersteller von Waren aus Bereichen wie Maschinenbau, Automobilherstellung und Zulieferbetriebe, aber auch die Herstellung und der Vertrieb von Lebensmitteln oder chemischen Stoffen sowie Anbieter von Online- bzw. Cloud-Diensten.
Somit ist jeder relevante Wirtschaftszweig in Deutschland betroffen, sofern er neben der Zugehörigkeit zu einer dieser Branchen mindestens 50 Mitarbeiter beschäftigt oder entweder einen Umsatz oder einen Bilanzgewinn von mindestens 10 Millionen Euro erzielt.
Vorgehen
Was ist zu tun?
Die Geschäftsleitung eines betroffenen Unternehmens ist dafür verantwortlich, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen. Diese Maßnahmen sollen dazu dienen, Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen zu vermeiden. Darüber hinaus sollen sie dazu beitragen, die Auswirkungen von Vorfällen, die einen Einfluss auf die Geschäftstätigkeit haben, so gering wie möglich zu halten.
Die NIS-2 Umsetzung kann von den zuständigen Behörden überprüft werden.
Konsequenzen
Was sind die Konsequenzen bei Nichteinhaltung?
Geschäftsführende oder Vorstandsmitglieder*innen, die ihre Pflichten aus der NIS-2-Richtlinie verletzen, haften dem Unternehmen für den entstandenen Schaden.
Darüber hinaus sieht das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) hohe Strafen für Unternehmen vor, die bei 100.000 Euro beginnen und bis zu 2% des globalen Umsatzes betragen können. Zusätzlich erlaubt das Gesetz Eingriffe in den Geschäftsbetrieb im Fall eines Vorfalls und schreibt vor, dass gegebenenfalls betroffene Kunden informiert werden müssen.
Unser Ansatz
Wo unterstützt die Karer Consulting?
Wir unterstützen potenziell betroffene Unternehmen bei der Positionsbestimmung hinsichtlich der NIS-2-Umsetzung – einerseits mit unserem Assessment, das auf Industriestandards und Best Practices basiert. Andererseits begleiten wir Sie durch die Leitung entsprechender Umsetzungsprojekte in den Themenbereichen der NIS-2:
- Informationssicherheitsmanagement
- HR-Security
- IT-Security
- Physische Sicherheit von Einrichtungen
- Maßnahmen zur Cyber-Hygiene
- Transparenz in der Abhängigkeit von informationstechnischen Systemen
- Business- und IT-Kontinuität im Katastrophenfall
- Sicherheit in der Lieferkette / bei Lieferanten
- Regelmäßige Schulungen von Mitarbeitenden
- Regelmäßige Schulungen von Führungskräften und der Geschäftsleitung
- Umsetzung von Anforderungen aus Registrierungs- und Berichtspflichten an das BSI (Bundesamt für Sicherheit in der Informationstechnik)
Wir bereiten Sie optimal auf die Umsetzung vor und begleiten Sie durch den Prozess der Implementierung. Unser NIS-2-Readiness-Approach sieht die folgenden Schritte vor, um Compliance herzustellen: