NIS-2
Erfolgreich Umsetzen mit KC

NETWORK AND INFORMATION SECURITY 2 (NIS-2) DIRECTIVE

Die NIS-2-Richtlinie, eine maßgebliche EU-Regulierung im Bereich der Cybersicherheit, steht derzeit im Fokus.

Wir sorgen für ein erfolgreiches NIS-2-Umsetzungsprogramm und unterstützen Sie bei der Sicherstellung der Compliance!

Definition

Was ist NIS-2?

Die europäische Wirtschaft ist zunehmend auf funktionierende und widerstandsfähige Infrastrukturen angewiesen, sowohl physisch als auch digital, um Wohlstand und Wachstum zu sichern. Dabei sind Unternehmen durch die Digitalisierung und globale Vernetzung höheren Cybersicherheitsrisiken (z. B. Ransomware-Angriffen) ausgesetzt.

Die NIS-2-Richtlinie (Network and Information Security Directive 2 - (EU) 2022/2555) der Europäischen Union zielt darauf ab, das Cybersicherheitsniveau in der gesamten EU zu vereinheitlichen und zu stärken. In Deutschland wird NIS-2 mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) eingeführt und umgesetzt. Mit der Einführung der NIS-2 strebt die EU an, Angriffe auf Infrastrukturen und die damit verbundenen potenziell katastrophalen Folgen für Unternehmen und deren Mitarbeitende zu verhindern.

Die betroffenen Unternehmen müssen mit in krafttreten des NIS2UmsuCG die Anforderungen der NIS-2-Richtlinie umgesetzt haben.

Anwendungsbereich

Die Betroffenheit der NIS-2-Richtlinie auf ein Unternehmen werden durch den standardisierten EU-Wirtschaftssektor (Branche), die Anzahl der Mitarbeiter und den Umsatz bzw. den Gewinn bestimmt.

Neben kritischen Infrastrukturen (z. B. Energieversorgung, Gesundheitswesen etc.) werden erstmals auch weitere Sektoren in die Pflicht genommen. Dazu gehören insbesondere das verarbeitende Gewerbe, Hersteller von Waren aus Bereichen wie Maschinenbau, Automobilherstellung und Zulieferbetriebe, aber auch die Herstellung und der Vertrieb von Lebensmitteln oder chemischen Stoffen sowie Anbieter von Online- bzw. Cloud-Diensten.

Somit ist jeder relevante Wirtschaftszweig in Deutschland betroffen, sofern er neben der Zugehörigkeit zu einer dieser Branchen mindestens 50 Mitarbeiter beschäftigt oder entweder einen Umsatz oder einen Bilanzgewinn von mindestens 10 Millionen Euro erzielt.

Vorgehen

Was ist zu tun?

Die Geschäftsleitung eines betroffenen Unternehmens ist dafür verantwortlich, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen. Diese Maßnahmen sollen dazu dienen, Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen zu vermeiden. Darüber hinaus sollen sie dazu beitragen, die Auswirkungen von Vorfällen, die einen Einfluss auf die Geschäftstätigkeit haben, so gering wie möglich zu halten.

Die NIS-2 Umsetzung kann von den zuständigen Behörden überprüft werden.

Konsequenzen

Was sind die Konsequenzen bei Nichteinhaltung?

Geschäftsführende oder Vorstandsmitglieder*innen, die ihre Pflichten aus der NIS-2-Richtlinie verletzen, haften dem Unternehmen für den entstandenen Schaden.

Darüber hinaus sieht das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) hohe Strafen für Unternehmen vor, die bei 100.000 Euro beginnen und bis zu 2% des globalen Umsatzes betragen können. Zusätzlich erlaubt das Gesetz Eingriffe in den Geschäftsbetrieb im Fall eines Vorfalls und schreibt vor, dass gegebenenfalls betroffene Kunden informiert werden müssen.

Unser Ansatz

Wo unterstützt die Karer Consulting?

Wir unterstützen potenziell betroffene Unternehmen bei der Positionsbestimmung hinsichtlich der NIS-2-Umsetzung – einerseits mit unserem Assessment, das auf Industriestandards und Best Practices basiert. Andererseits begleiten wir Sie durch die Leitung entsprechender Umsetzungsprojekte in den Themenbereichen der NIS-2:

  • Informationssicherheitsmanagement
  • HR-Security
  • IT-Security
  • Physische Sicherheit von Einrichtungen
  • Maßnahmen zur Cyber-Hygiene
  • Transparenz in der Abhängigkeit von informationstechnischen Systemen
  • Business- und IT-Kontinuität im Katastrophenfall
  • Sicherheit in der Lieferkette / bei Lieferanten
  • Regelmäßige Schulungen von Mitarbeitenden
  • Regelmäßige Schulungen von Führungskräften und der Geschäftsleitung
  • Umsetzung von Anforderungen aus Registrierungs- und Berichtspflichten an das BSI (Bundesamt für Sicherheit in der Informationstechnik)

Wir bereiten Sie optimal auf die Umsetzung vor und begleiten Sie durch den Prozess der Implementierung. Unser NIS-2-Readiness-Approach sieht die folgenden Schritte vor, um Compliance herzustellen:

Schlüsselaspekte

Kreis 1
Management and Policies
  • Policy on the security of network and information systems
  • Risk management policy
  • Effectiveness of cybersecurity (ISMS)
  • Asset management
Kreis 1
Business Continuity
  • Business Continuity
  • Business Impact Analysis
  • Desaster Recovery Plan
Kreis 1
IT Security and Networks
  • Security in Acquisition and Development
  • Cryptography
  • IAM and Access control
Kreis 1
Physical Security
  • Physical Security incl. Datacenter Security
Kreis 1
Incident Management
  • Security Incident Management
Kreis 1
Supply Chain
  • Supply Chain
  • Service Level Management and Agreements
Kreis 1
Personnel Security
  • Human resources security
  • Cyber hygiene

„Künftig werden rund 29.500 Unternehmen zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet sein. Sie gewährleisten die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der Cybernation Deutschland…“
BSI-Präsidentin Claudia Plattner


Gemeinsam sichern wir Ihre digitale Zukunft!