unified Logo weiß tkuc group

NIS2 - Die Zeit läuft ab!

Sind Sie betroffen?

Was bedeutet NIS2?

NIS2, Network and Information Systems Directive 2, setzt Mindeststandards für Cybersicherheit in der EU. Seit dem 27. Dezember 2022 in Kraft, betrifft es ab Oktober 2024 Unternehmen ab 50 Mitarbeitern und verschärft Strafen für Nichteinhaltung auf bis zu 2 % des Umsatzes oder 10 Millionen Euro. In Deutschland sind 29.500 Unternehmen betroffen. NIS2 unterteilt sie in „Essential Entities“ und „Important Entities“, um die Sicherheit kritischer Sektoren zu gewährleisten. Bereiten Sie Ihr Unternehmen vor und erfahren Sie, wie NIS2 Ihr Unternehmen betrifft.

Jetzt Check machen!

Was steckt hinter NIS2?

Betroffene Unternehmen

Die Richtlinie unterscheidet zwischen 11 wesentlichen (Essential) und 7 wichtigen (Important) Sektoren.

Wesentlich = unterliegen einer proaktiven Aufsicht durch das BSI Wichtig = geringeres Strafmaß und reaktive Aufsicht durch das BSI


Die Richtlinie richtet sich vor allem an mittlere und große Unternehmen. ​

Mittel: 50-250 Beschäftigte oder über € 10 Mio. Umsatz oder Bilanzsumme​
Groß: mehr als 250 Beschäftigte oder mehr als € 50 Mio. Umsatz und ab € 43 Mio. Bilanz​

Wie erkenne ich, dass ich betroffen bin

Während die Einstufung in manchen Bereichen eindeutig ist, so gibt es in einigen Bereichen viele Unsicherheiten. Dazu zählt vor allen das produzierende Gewerbe. Hier erfolgt die Einstufung anhand des NACE Codes und nur Unternehmen aus den Klassen NACE-C 26, 27, 28, 29, 30 und Medizinprodukte und In-vitro-Diagnostika sind betroffen.

Aber auch wenn Sie nicht unmittelbar betroffen sind, kann es sein, dass ein Kunde oder Partner Sie über die Sicherheit in der Lieferkette mit in die Verantwortung nimmt.​

Was bedeutet es, das die Geschäftsführung in die Pflicht genommen wird.

NIS-2 regelt, dass Geschäftsleitung Maßnahmen billigen und überwachen muss. Zudem müssen Geschäftsführer nachweisen, dass die sich für Cybersicherheit schulen lassen.​

Die Entwürfe in Deutschland sehen derzeit auch eine persönliche Haftung für Bußgelder für Verstöße gegen die NIS-2 vor.

Wer ist betroffen?

Was müssen betroffene Unternehmen erfüllen?

Betroffene Unternehmen in der EU stehen vor der Herausforderung, die Cybersecurity-Maßnahmen gemäß NIS2 umzusetzen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen. 

NIS2-Anforderungen im Überblick:

  • Richtlinien und Policies: Erstellung und Umsetzung von Richtlinien zur Risikobewertung und Informationssicherheit, um potenzielle Bedrohungen zu minimieren.
  • Incident Management: Entwicklung eines umfassenden Ansatzes zur Prävention, Erkennung und Bewältigung von Cyber-Vorfällen.
  • Business Continuity: Implementierung eines Business Continuity Managements (BCM) mit Fokus auf Backup-Management, Disaster Recovery (DR) und Krisenmanagement, um Geschäftsausfälle zu verhindern oder zu minimieren.
  • Supply Chain: Sicherstellung der Sicherheit in der Lieferkette, einschließlich sicherer Entwicklungspraktiken bei Zulieferern.
  • Messung von Cyber- und Risikomaßnahmen: Festlegung von Vorgaben und Standards zur Bewertung und Messung von Cyber- und Risikomaßnahmen, um sicherzustellen, dass die angewandten Sicherheitsvorkehrungen effektiv sind.
  • IT-Awareness und "Cyber Security Hygiene": Implementierung von Schulungs- und Awareness-Programmen für Mitarbeiter, um das Verständnis für IT-Sicherheit zu fördern und bewährte Sicherheitspraktiken zu etablieren.
  • Vorgaben für Kryptographie und Verschlüsselung: Definition von Vorschriften und Standards für den Einsatz von Kryptographie und Verschlüsselung, um Daten und Kommunikation zu schützen.
  • Human Resources Security: Umsetzung von Maßnahmen zur Sicherung des Human Resources-Prozesses, um sicherzustellen, dass nur vertrauenswürdiges Personal Zugriff auf kritische Systeme und Daten hat.
  • Zugangskontrolle: Entwicklung von Zugangskontrollverfahren und -richtlinien, um unbefugten Zugriff auf kritische Systeme und Informationen zu verhindern.
  • Asset Management: Realisierung von Echtzeit-Abfrageverfahren für implementierte Systeme, um einen umfassenden Überblick über die IT-Infrastruktur zu gewährleisten.
  • Einsatz von Multi-Faktor Authentisierung und SSO (MFA): Umsetzung der Multi-Faktor Authentisierung (MFA) und Single Sign-On (SSO) Lösungen, um den Zugang zu Systemen und Daten zusätzlich zu sichern.
  • Einsatz sicherer Sprach-, Video- und Textkommunikation: Integration sicherer Kommunikationsmittel, darunter verschlüsselte Sprach-, Video- und Textkommunikation, um Vertraulichkeit und Integrität zu gewährleisten.
  • Notfall-Kommunikation: Bereitstellung gesicherter Notfall-Kommunikations-Systeme innerhalb der Einrichtung, um eine zuverlässige Kommunikation und Koordination in Krisensituationen sicherzustellen.
Jetzt Check machen!

Jetzt NIS2-Check durchführen!

Bereit für eine gründliche Überprüfung? Mit der Network and Information Security Directive (EU) 2022/2555 (NIS2-Richtlinie) erweitert sich der Kreis der betroffenen Unternehmen und die Cybersicherheitsanforderungen verschärfen sich deutlich. Geschäftsführerverantwortlichkeit ist ein zentrales Thema. Erfahren Sie, wie Sie die NIS2-Richtlinie erfolgreich umsetzen können. Starten Sie Ihren NIS2-Check, um die Einhaltung und Sicherheit Ihres Unternehmens zu gewährleisten.

1

Betroffenheit prüfen

Unterliegend der NIS2-Richtlinie sind Unternehmen, die innerhalb der EU Dienstleistungen anbieten oder tätig sind. Diese Verpflichtung erstreckt sich auf Unternehmen mit über 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanzsumme von über 10 Millionen Euro, die einem der kritischen Sektoren angehören. Erfahren Sie Ihre Relevanz mit unserer Überprüfung.

2

Vorgaben ableiten

Jenseits von angemessener Führung und Schulungen für Sensibilisierung in Sachen Cybersicherheit, legt die NIS2-Richtlinie für Unternehmen klare Vorgaben fest bezüglich Risikomanagement, Sicherheitsvorkehrungen und Bewältigung von Sicherheitsvorfällen. Die notwendigen individuellen Schritte können wir gemeinsam mit den Unternehmen erörtern und definieren.

3

Maßnahmen ergreifen

Im Einklang mit den Vorschriften von NIS2 ist es erforderlich, dass Unternehmen die Implementierung der erforderlichen technischen, organisatorischen und rechtlichen Maßnahmen sicherstellen und überwachen. Im Falle von Verstößen können Führungskräfte individuell für ihre Einhaltung zur Verantwortung gezogen werden.

4

Monitoring und Reporting

Sowohl die rechtliche Landschaft als auch betriebsinterne Abläufe sind ständig im Fluss und können durch veränderte Bedingungen beeinflusst werden. Daher ist es notwendig, dass Unternehmen eine kontinuierliche Überwachung der gesetzlichen Vorschriften sowie ihrer internen Organisationsstrukturen vornehmen und angemessen auf etwaige Anpassungen reagieren.

Machen auch Sie jetzt den Check!

Sie haben noch Fragen?

Unser Team steht Ihnen jederzeit gerne zur Verfügung.

Jetzt Kontakt aufnehmen
unified Logo weiß tkuc group

2024 © TheUnified

Made with ♡ by Innotiv Design