+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Die EU-Richtlinie NIS-2 (Network & Information Security 2) steht vor der Tür und muss bis Mitte Oktober 2024 in deutsches Recht umgesetzt werden. In der Praxis geht man in Deutschland davon aus, dass dieser Termin nicht ganz gehalten werden kann und wir mit einem neuen Gesetz Ende 2024 oder Anfang 2025 rechnen können. Einen Unterschied macht dies für die Unternehmen allerdings nicht wirklich. Sie sollten jetzt beginnen, sich mit der Thematik zu beschäftigen und einen kühlen Kopf zu bewahren.

Dieser Blogbeitrag bietet einen umfassenden Einblick in die Anforderungen der deutschen Auslegung der NIS-2-Richtlinie, ihre Anforderungen und wie Unternehmen sich darauf vorbereiten können.

Was ist NIS-2?

Die NIS-2-Richtlinie ist ein europäisches Gesetz, das darauf abzielt, die Informationssicherheit in Unternehmen zu erhöhen. Anders als viele denken, geht es dabei nicht nur um IT-Sicherheit, sondern um die umfassende Sicherheit aller informationsverarbeitenden Systeme. Ein häufiges Missverständnis und die daraus resultierende Panik in den Unternehmen entsteht oft aufgrund von fehlendem Verständnis der Anforderungen und medienvermittelten Übertreibungen.

Sie möchten über NIS-2 am Ball bleiben?

Tragen Sie sich gleich in unseren Verteiler ein!

Wenn Sie zukünftig ohne Panik aktuell über NIS-2 Anforderungen und Informationssicherheit allgemein informiert bleiben möchten, dann melden Sie sich doch gleich zu unserem Newsletter an.

Wer ist betroffen?

Betroffene Unternehmen
Betroffene Unternehmen von der NIS-2 Richtlinie

Die Richtlinie betrifft vor allem Unternehmen in kritischen Sektoren und mit einer bestimmten Größe und Umsatz. Konkret sind das:

  • Unternehmen mit mehr als 50 bzw. 250 Mitarbeitern
  • Unternehmen mit mehr als 10 Mio. bzw. 50 Mio. Euro Umsatz
  • Betreiber kritischer Infrastrukturen, öffentliche Sektoren, DNS-Anbieter und TLD-Dienstleister

Eine umfangreiche Liste der Sektoren finden Sie in einem weiteren Blog Beitrag zum NIS-2 Umsetzungsgesetz.

Sie sind nicht von der NIS-2 Richtlinie und der länderspezifischen Umsetzung betroffen?

Toll, wir sind nicht von der NIS-2 Richtlinie betroffen
Na, dann brauchen Sie ja keine Cybersecurity machen. Glückwunsch.
Na, dann brauchen Sie ja keine Cybersecurity machen. Glückwunsch.

Ich bleibe dabei: Die NIS-2 Richtlinie verfolgt nicht das Ziel, eine Wand neu anzumalen, nur damit am Ende eine andere Farbe erscheint. Es geht darum, eine sinnvolle Veränderung hervorzurufen. Da kann es schon mal sein, dass eine ganze Wand eingerissen wird – oder wahrscheinlicher – eine zusätzliche Wand eingezogen wird.

Die Verpflichtung, sich mit Informationssicherheit zu beschäftigen, ist in der heutigen Zeit eine Pflicht für Unternehmen im eigenen Interesse.

Es geht nicht um das „ob“, sondern um das „wie“. Beim „wie“ haben Sie allerdings ein großes Spektrum. Wählen Sie mit Bedacht und setzen Sie sinnvoll um, was notwendig ist und Ihr Unternehmen auch tatsächlich weiterbringt.

Mit Sinn und Verstand

NIS2UmsuCG – Das Umsetzungsgesetz

Das NIS2UmsuCG, das Umsetzungsgesetz für die NIS-2-Richtlinie in Deutschland, definiert spezifische Anforderungen und Maßnahmen, die Unternehmen ergreifen müssen. Diese Anforderungen umfassen:

Der Gesetzesentwurf ist lange und hat viele, viele Seiten. Das wichtigste für Unternehmen ist allerdings auf ein paar Seiten zu finden. Der interessanteste Inhalt beginnt demnach in Teil § „Sicherheit in der Informationstechnik von Einrichtungen.“

Konkret finden sich in den Paragraphen §28 – §42 die hauptsächlichen Anforderungen für Unternehmen. Unter anderem geht es dabei um folgende (nicht abschließende Themen):

  1. Risikomanagement: Unternehmen müssen geeignete Maßnahmen zur Minimierung des Risikos ergreifen, um Störungen der Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität ihrer Systeme zu vermeiden.
  2. Technische und organisatorische Maßnahmen (TOMs): Diese Maßnahmen müssen verhältnismäßig und wirksam sein, um Sicherheitsvorfälle zu verhindern und deren Auswirkungen zu minimieren.
  3. Sicherheitsvorfälle und Krisenmanagement: Es müssen Verfahren zur Behandlung von Sicherheitsvorfällen und zur Wiederherstellung nach einem Notfall vorhanden sein.
  4. Lieferkettensicherheit: Sicherheit muss auch in der gesamten Lieferkette gewährleistet sein.
  5. Schulung und Cyberhygiene: Regelmäßige Schulungen und eine gute Cyberhygiene sind essenziell.

Risikomanagement

Der Dreh- und Angelpunkt der Umsetzung ist ein funktionierendes Risikomangement für die Betrachtung der Informationssicherheit.

Wie das funktioniert, haben wir in einem eigenen Artikel zusammengestellt.

Risikomanagement als zentrales Element der NIS-2-Richtlinie

Bei den Risiken geht es darum, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität bei den Unternehmenswerten zu betrachten und mögliche Szenarien zu finden, die diese Werte bedrohen können.

Risikomanagement als zentrales Element der NIS-2-Richtlinie

Gefundene Risiken müssen behandelt werden, um das Risiko zu minimieren oder sogar ganz aus der Welt zu schaffen.

Gängige Standards für die Implementierung eines ISMS geben Ihnen dazu einen Leitfaden.

Nachweispflichten

Wer prüft überhaupt ab, ob die Anforderungen umgesetzt wurden?

Dazu müssen sich die betroffenen Unternehmen erst mal beim Bundesamt registrieren. Sobald ein Unternehmen als betroffen gilt, hat es drei Monate Zeit, sich zu registrieren.

Für Betreiber kritischer Anlagen gelten 3 Jahre ab Inkrafttreten des Gesetzes, um den Nachweis zu erbringen. Dies kann zum Beispiel ein ISMS-Zertifikat oder ein Auditbericht sein.

Für wichtige und sehr wichtige Unternehmen muss kein Nachweis direkt vorgelegt werden. Im Einzelfall kann eine Anordnung erfolgen, dass ein Nachweis erbracht werden muss.

Pragmatischer Umsetzungsleitfaden

  1. Aufatmen und keine Panik: Beginnen Sie frühzeitig mit der Planung und Umsetzung der erforderlichen Maßnahmen.
  2. Implementierung eines ISMS: Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 oder ähnlichen Standards sollte das langfristige Ziel sein.
  3. Selbstbewertung und GAP-Analyse: Nutzen Sie Tools und Leitfäden zur Selbstbewertung, um Lücken in Ihrer Sicherheitsstrategie zu identifizieren und zu schließen.

Nächste Schritte

Wie geht es weiter für Sie mit der Umsetzung der Anforderungen aus der NIS-2 Richtlinie?

  • Ruhe bewahren und klären, ob Ihr Unternehmen betroffen betroffen ist.
  • Eine GAP-Analyse durchführen, um bestehende Sicherheitslücken zu identifizieren.
  • Die Implementierung eines ISMS planen und umsetzen.
  • Frühzeitig mit dem Risikomanagement beginnen, um eine gesteuerte Informationssicherheit zu gewährleisten.

So können wir Sie bei der Umsetzung unterstützen

Sehr gerne unterstützen wir Sie natürlich bei der Umsetzung der ISMS Anforderungen aus der NIS-2 Richtlinie in Ihrem Unternehmen.

Fordern Sie unverbindlich ein Angebot an, sprechen Sie mit uns oder nutzen Sie unser umfangreiches Tool 4Cyber für Ihre integrierte Informationssicherheit.

NIS-2 Richtlinie im Fokus
Pin it!

Fazit

Die NIS-2-Richtlinie bringt zahlreiche Anforderungen mit sich, bietet aber auch die Chance, die Informationssicherheit in Unternehmen nachhaltig zu verbessern. Mit einem strukturierten und pragmatischen Ansatz können Unternehmen die Anforderungen effizient umsetzen und von den langfristigen Vorteilen profitieren.

Nutzen Sie unser kostenloses NIS-2 Self-Assessment Tool, um Ihre aktuellen Sicherheitsmaßnahmen zu bewerten: NIS-2 Self-Assessment.

Unterlagen zum Webinar

Vielen Dank an dieser Stelle für das große Interesse am Webinar vom 11.07.2024, bei dem es genau um diese Themen ging.

Hier können Sie die Unterlagen zum Webinar herunterladen.

Diesen Beitrag teilen