NIS2-Richtlinie
Drohen Ihrem Unternehmen hohe Strafen durch die NIS2-Richtlinie? Die neuen EU-Vorgaben zur Cybersicherheit sind weitreichend und betreffen deutlich mehr Unternehmen als bisher. Handeln Sie jetzt, bevor es zu spät ist! CyberKom unterstützt Sie dabei, die NIS2-Anforderungen erfolgreich und effizient umzusetzen.
Was ist die NIS2-Richtlinie und warum ist sie für Sie relevant?
Die NIS2-Richtlinie (Network and Information Systems Directive 2) ist die neue Realität für zahlreiche Unternehmen in der EU. Seit dem 27. Dezember 2022 in Kraft, weitet sie seit Oktober 2024 den Kreis der Betroffenen erheblich aus und verschärft die Sanktionen bei Nichteinhaltung drastisch. Strafen von bis zu 2 % des weltweiten Jahresumsatzes oder 10 Millionen Euro sind möglich – ein Risiko, das kein Unternehmen eingehen sollte. In Deutschland werden schätzungsweise 29.500 Unternehmen von NIS2 betroffen sein.
NIS2 unterscheidet primär zwischen „Essential Entities“ (wesentliche Einrichtungen) und „Important Entities“ (wichtige Einrichtungen), um die Sicherheit kritischer Sektoren zu gewährleisten. Ob Sie direkt betroffen sind oder indirekt über Ihre Lieferkette – jetzt ist die Zeit zu handeln!
Die NIS2-Richtlinie legt EU-weit verbindliche Mindeststandards für die Cybersicherheit fest. Sie ist nicht nur eine regulatorische Anforderung, sondern ein entscheidender Schritt zur Stärkung der digitalen Widerstandsfähigkeit Europas. Für Ihr Unternehmen bedeutet das: Sie müssen proaktiv werden, um Ihre IT- und Netzwerksysteme sowie kritische Dienste umfassend zu schützen.
Wen betrifft die NIS2-Richtlinie?
Die NIS2-Richtlinie zielt hauptsächlich auf mittlere und große Unternehmen in der EU ab, die in einem der 18 regulierten Sektoren tätig sind.
Mittelständische Unternehmen: Ab 50 Beschäftigten ODER über 10 Mio. € Jahresumsatz ODER über 10 Mio. € Jahresbilanzsumme.
Große Unternehmen: Mehr als 250 Beschäftigte ODER über 50 Mio. € Jahresumsatz UND ab 43 Mio. € Jahresbilanzsumme.
Betroffene Unternehmen müssen eine Reihe von technischen, organisatorischen und prozeduralen Maßnahmen umsetzen, um ihre IT- und Netzwerksysteme sowie kritischen Dienste angemessen zu schützen. Die Richtlinie listet mindestens 10 Kernbereiche auf, die im Risikomanagementplan berücksichtigt werden müssen:
Welche Sektoren sind betroffen?
Die Richtlinie unterscheidet zwischen 11 wesentlichen und 7 wichtigen Sektoren:
Wesentliche Sektoren: Unterliegen einer proaktiven und strengeren Aufsicht durch nationale Behörden (in Deutschland das BSI).
Betroffen sind: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienste-Management, Öffentliche Verwaltung, Weltraum.
Wichtige Sektoren: Unterliegen einer reaktiven Aufsicht, oft mit geringerem Strafmaß im Falle eines Verstoßes.
Betroffen sind: Post- und Kurierdienste, Abfallwirtschaft, Chemische Stoffe, Lebensmittel, Verarbeitendes/Herstellendes Gewerbe, Digitale Anbieter, Forschungseinrichtungen.
NIS2-Anforderungen im Überblick:
Die NIS2-Richtlinie ist klar in ihren Erwartungen: Unternehmen müssen umfassende Maßnahmen ergreifen, um ihre digitale Widerstandsfähigkeit zu stärken. Es geht nicht nur darum, Software zu installieren, sondern ein ganzheitliches Sicherheitskonzept zu implementieren. Hier finden Sie eine detaillierte Übersicht der Kernbereiche, die Ihr Unternehmen im Rahmen der NIS2-Anforderungen abdecken muss.
Richtlinien und Policies
Erstellung und Umsetzung von Konzepten und Regeln für Risikobewertung und Informationssicherheit.
Incident Management
Verfahren zur Prävention, Erkennung, Analyse, Eindämmung und Reaktion auf Cyber-Vorfälle. Umfasst auch Meldepflichten an die zuständigen Behörden.
Business Continuity & Krisenmanagement
Implementierung eines Managementansatzes zur Aufrechterhaltung des Geschäftsbetriebs bei Sicherheitsvorfällen, inklusive Backup-Management, Disaster Recovery und Krisenbewältigung.
Sicherheit der Lieferkette
Berücksichtigung von Cybersicherheitsrisiken bei direkten Zulieferern und Dienstleistern.
Messung von Cyber- und Risikomaßnahmen
Festlegung von Vorgaben und Standards zur Bewertung und Messung von Cyber- und Risikomaßnahmen, um die Effektivität der Sicherheitsvorkehrungen sicherzustellen.
IT-Awareness und "Cyber Security Hygiene
Implementierung von Schulungs- und Awareness-Programmen für Mitarbeiter, um das Verständnis für IT-Sicherheit zu fördern und bewährte Sicherheitspraktiken zu etablieren.
Vorgaben für Kryptographie und Verschlüsselung
Definition von Vorschriften und Standards für den Einsatz von Kryptographie und Verschlüsselung, um Daten und Kommunikation zu schützen.
Human Resources Security
Umsetzung von Maßnahmen zur Sicherung des Human Resources-Prozesses, um sicherzustellen, dass nur vertrauenswürdiges Personal Zugriff auf kritische Systeme und Daten hat.
Zugangskontrolle
Entwicklung von Zugangskontrollverfahren und -richtlinien, um unbefugten Zugriff auf kritische Systeme und Informationen zu verhindern.
Asset Management
Realisierung von Echtzeit-Abfrageverfahren für implementierte Systeme, um einen umfassenden Überblick über die IT-Infrastruktur zu gewährleisten.
Einsatz von Multi-Faktor Authentisierung und SSO (MFA)
Umsetzung der Multi-Faktor Authentisierung (MFA) und Single Sign-On (SSO) Lösungen, um den Zugang zu Systemen und Daten zusätzlich zu sichern.
Einsatz sicherer Sprach-, Video- und Textkommunikation
Integration sicherer Kommunikationsmittel, darunter verschlüsselte Sprach-, Video- und Textkommunikation, um Vertraulichkeit und Integrität zu gewährleisten.
Notfall-Kommunikation
Bereitstellung gesicherter Notfall-Kommunikations-Systeme innerhalb der Einrichtung, um eine zuverlässige Kommunikation und Koordination in Krisensituationen sicherzustellen.
„Die NIS2-Richtlinie ist eine Herausforderung, aber auch eine Chance, die Cybersicherheit Ihres Unternehmens auf ein neues Niveau zu heben. Unser Team steht Ihnen jederzeit gerne zur Verfügung, um Ihre Fragen zu beantworten und Sie auf dem Weg zur NIS2-Compliance zu unterstützen.“
Thomas Kress, Geschäftsführer von CyberKom
NIS2 ist mehr als nur ein Produkt oder eine Zertifizierung
Die NIS2-Richtlinie kann nicht einfach durch die Anschaffung eines Produkts oder eine einzelne Zertifizierung wie ISO 27001 (obwohl diese unterstützend wirken kann) erfüllt werden. Der Gesetzgeber erwartet geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen auf dem Stand der Technik.
Die Art der Umsetzung darf das Unternehmen basierend auf seiner Größe, Risikoexposition, den Kosten der Maßnahmen sowie der Eintrittswahrscheinlichkeit und den möglichen Auswirkungen von Sicherheitsvorfällen selbst definieren (Grundsatz der Verhältnismäßigkeit). Dies bedeutet, dass die konkreten Prozesse und Lösungen je nach Unternehmen stark variieren können – von umfassenden SIEM/XDR-Lösungen in Konzernen bis hin zu zentralem Logmanagement und klar definierten Richtlinien im Mittelstand.
Referenzprojekt NIS2
Die Fuhrmann GmbH ist seit ihrer Gründung im Jahr 1978 ein inhabergeführtes Unternehmen. An drei Standorten in Deutschland und Tschechien entwickeln, veredeln und vertreiben über 160 Mitarbeitende hochwertige medizinische Produkte und Dienstleistungen. Als verlässlicher Systempartner unterstützen wir Einkaufsgemeinschaften, Kliniken sowie Einrichtungen der ambulanten Versorgung mit effizienten und wirtschaftlichen Lösungen. Unser Ziel ist es, die bestmögliche Patientenversorgung nachhaltig zu sichern.
Herausforderung des Kunden
Der Kunde stand vor der Herausforderung, die neuen Anforderungen der NIS2-Richtlinie vollständig zu verstehen und umzusetzen. Insbesondere fehlte eine klare Übersicht über bestehende Sicherheitslücken und notwendige Maßnahmen. Gleichzeitig war Zeitdruck vorhanden, da interne Ressourcen begrenzt waren.
Unsere Lösung
Wir führten ein umfassendes NIS2 Audit durch, der sämtliche sicherheitsrelevanten Prozesse und Systeme prüfte. Auf dieser Basis erarbeiteten wir einen maßgeschneiderten Maßnahmenplan. Dieser Plan priorisierte die Handlungsfelder klar und machte die nächsten Schritte für den Kunden sofort umsetzbar.
Mehrwert für den Kunden
Der Kunde erhielt einen transparenten Überblick über seinen aktuellen Sicherheitsstatus. Mit dem Maßnahmenplan konnte er regulatorische Anforderungen gezielt adressieren und Risiken nachhaltig reduzieren. Dadurch gewann er Sicherheit im Hinblick auf Compliance und die zukünftige Auditfähigkeit.
Ihr Weg zur NIS2 Compliance mit CyberKom
Wir bei CyberKom verstehen die Komplexität und die Dringlichkeit der NIS2-Anforderungen. Wir unterstützen Sie umfassend bei der Einhaltung der NIS2-Richtlinie:
Klärung Ihrer NIS2-Betroffenheit
In einem kostenfreien Erstgespräch prüfen wir anhand Ihrer Tätigkeiten und Unternehmensdaten, ob Sie von der NIS2-Richtlinie betroffen sind.
Erste NIS2-Lageeinschätzung und Maßnahmenempfehlung
Anhand eines strukturierten Fragebogens analysieren wir Ihren aktuellen Stand in Bezug auf NIS2 und geben Ihnen eine erste Einschätzung sowie Empfehlungen für die dringendsten Schritte. Dieser Service ist für Sie kostenfrei.
Detaillierte NIS2-Standortbestimmung für umfassende Umsetzung
Wir führen eine tiefgehende Analyse aller relevanten Bereiche (Technik, Personal, Organisation) anhand von über 150 Prüfpunkten durch. Sie erhalten eine detaillierte Gap-Analyse mit konkreten Handlungsempfehlungen und eine Management-Zusammenfassung als Basis für Ihre Umsetzungsplanung.
