NIS-2: Neues Gesetz zwingt zum Aufrüsten der Cybersicherheit
Sind Sie schon vorbereitet auf das NIS-2-Umsetzungs- & Cybersicherheitsstärkungsgesetz? Oder wissen Sie noch gar nicht, dass vielleicht auch Sie betroffen sind? Vorsicht: Seit NIS-2 haften Geschäftsführer mit ihrem Privatvermögen. Vermeiden Sie gefährliche Sicherheitslücken und unerfreuliche Sanktionen! Mit Cassini Consulting lenken Sie rechtzeitig alles in die richtigen Bahnen:
✔️ Robuste Sicherheitssysteme einrichten
✔️ Angriffe erkennen und schnell handeln
✔️ Prüfungen durch das BSI bestehen & Sanktionen verhindern
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie trat 2023 in Kraft und erweitert den bestehenden Rechtsrahmen zu Fragen der Cybersicherheit im Zeitalter der Digitalisierung. Bis Oktober 2024 müssen alle EU-Mitgliedsstaaten die Richtlinie in nationales Recht überführen. Die deutsche Variante nennt sich NIS-2-Umsetzungs- & Cybersicherheitsstärkungsgesetz.
Warum es jetzt höchste Zeit wird, dass Sie sich mit dem Thema NIS-2 auseinandersetzen:
Mit dem Fortschreiten der Digitalisierung wächst auch das Angriffspotenzial. Die NIS-2-Richtlinie ist der Nachfolger der NIS-Richtlinie und soll das Bestreben nach einem EU-weit einheitlichen Level der Cybersicherheit in allen für wichtig befundenen Einrichtungen ausweiten.
Das Gesetz enthält
- Vorgaben zur Identifizierung und Registrierung betroffener Institutionen,
- die Pflicht zur Meldung von Angriffen und zur Mitteilung an Betroffene
- sowie eine Nachweispflicht umgesetzter Maßnahmen.
Auch auf Überprüfungen durch das BSI (Bundesamtes für Sicherheit in der Informationstechnik) und weitere Institutionen sollten sich Betreiber betroffener Anlagen einstellen, denn das Gesetz beinhaltet die Erweiterung entsprechender Befugnisse.
Besonders hervorzuheben ist, dass sich der Kreis betroffener Unternehmen ab Oktober 2024 durch neue Kriterien erweitert und nun insgesamt 18 Sektoren umfasst.
Wer ist vom neuen NIS2-Gesetz betroffen?
Viele Verantwortliche fragen sich nun, ob sie von den Änderungen betroffen sind. Die schlechte Nachricht: Jedes Unternehmen ist dazu verpflichtet, dies eigenständig zu prüfen. Die gute Nachricht: Die Expertinnen und Experten von Cassini Consulting unterstützen Sie gern dabei!
Ausschlaggebend ist die Zugehörigkeit zu einem der relevanten Sektoren und die gleichzeitige Überschreitung von Schwellwerten hinsichtlich des Umsatzes und der Zahl der Mitarbeitenden.
Außerdem wird unterschieden zwischen wichtigen oder besonders wichtigen Einrichtungen sowie Betreibern kritischer Anlagen. Die Zuordnung zu einer dieser Gruppen entscheidet über das Ausmaß der zu erfüllenden Pflichten (nicht nur gegenüber dem BSI!). Auch das Maß der Beaufsichtigung durch das BSI sowie die Höhe möglicher Sanktionen durch die zuständige Aufsichtsbehörde bei Missachtung und Zuwiderhandlung ergibt sich aus dieser Eingruppierung.
Abgesehen von einigen Sonderregelungen umfasst der Anwendungsbereich des Gesetzes Unternehmen ab 50 Mitarbeitenden mit einem Umsatz von 10 Mio. Euro, sofern sie einem der folgenden Bereiche angehören:
- Abfallwirtschaft
- Bankwesen
- Chemie
- Cloud Computing-Dienste
- Computer und Elektronik
- Digitale Infrastrukturen
- Energie
- Finanzmarkt-Infrastrukturen
- Gesundheitswesen
- Herstellung medizinischer Geräte
- Kraftfahrzeuge
- Lebensmittel
- Maschinen
- Online-Marktplätze
- Online-Suchmaschinen
- Post- und Kurierdienste
- Trinkwasserversorgung und -verteilung
- Verkehrswesen
Was wird von Ihnen verlangt?
Die wichtigste Frage lautet: Welche Anforderungen werden an Sie als Unternehmen gestellt? Wir geben Ihnen einen Überblick und stehen gern für Fragen zur Verfügung:
Identifizierung aller betroffenen Dienstleistungen & Anlagen
Jedes Unternehmen ist dazu verpflichtet, vom neuen Gesetz betroffene Dienstleistungen und Anlagen eigenverantwortlich zu identifizieren.
Registrierung der betroffenen Dienstleistungen & Anlagen
Auch Sie sind von NIS-2 betroffen? Dann gilt es, keine Zeit zu verlieren: Der nächste Schritt ist eine fristgerechte Registrierung betroffener Bereiche und Anlagen beim BSI. Besonders wichtige Einrichtungen haben dazu nur 3 Monate Zeit. Wir empfehlen Ihnen daher, die eigene Betroffenheit zeitnah zu prüfen und eine Registrierung vorzubereiten.
Einrichtung einer Kontaktstelle
Alle Institutionen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik aktuelle Kontaktdaten (E-Mail, öffentliche IP-Adressbereiche und Telefonnummern) zu benennen. Betreiber kritischer Anlagen müssen über diese Kontaktstelle jederzeit erreichbar sein.
Meldepflichten
Bei einem erheblichen Sicherheitsvorfall besteht die Pflicht zur Meldung innerhalb von 24 Stunden nach Kenntniserlangung. Geht die Meldung nicht rechtzeitig beim BSI sowie beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ein, drohen empfindliche Geldstrafen.
Risikomanagement
Das nahende NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz rückt die Verantwortung leitender Personen in den Fokus – nicht zuletzt durch die neue private Haftung. Unternehmen müssen Maßnahmen ergreifen, welche dem Stand der Technik entsprechen und die relevanten europäischen und internationalen Normen berücksichtigen. Wir empfehlen entsprechend, ein Risikomanagement basierend auf den international anerkannten Normen zu implementieren.
Informationspflichten
Bei erheblichen Sicherheitsvorfällen kann das BSI die betroffenen Institutionen anweisen, die Empfänger ihrer Dienste unverzüglich über den Vorfall zu unterrichten. Bei Institutionen aus bestimmten Sektoren schließen diese Informationspflichten auch die Unterrichtung zu Abhilfemaßnahmen für betroffene Empfänger ein.
Nachweispflichten
Sie sind betroffen, haben sich beim BSI registriert und führen ein erfolgreiches Risikomanagement? Dann haben Sie einen Teil des Projektes hinter sich. Was noch fehlt, ist die Erfüllung der Nachweispflichten: Betreiber kritischer Anlagen müssen die Umsetzung geeigneter und wirksamer Maßnahmen zur Schadensprävention gegenüber dem BSI regelmäßig nachweisen. Auch besonders wichtige Einrichtungen müssen auf Verlangen des BSI die Einhaltung der Regelungen von einer unabhängigen Stelle überprüfen lassen.
Systeme zur Angriffserkennung
Betreiber kritischer Anlagen sind bereits seit Mai 2023 verpflichtet, wirksame Systeme zur Angriffserkennung zu nutzen. Die Mindestanforderungen an diese Systeme erhöhen sich jedoch. So ist bereits ab Mai 2025 mindestens ein Reifegrad 4 entsprechend der Orientierungshilfe für Systeme zur Angriffserkennung gefordert.
Unsere Strategie für Ihren sicheren Wechsel
Die durch die NIS-2-Richtlinie geforderten Maßnahmen sind umfangreich und dazu fristgebunden. Verstöße provozieren harte Sanktionen, die sich auch auf das Privatvermögen verantwortlicher Personen erstrecken.
Mit Cassini Consulting betrachten Sie die gesetzlichen Anforderungen nicht als Bedrohung, sondern als Chance. Unsere Expertinnen und Experten begleiten Sie in jeder Phase der Realisierung, angefangen bei der Frage, ob und inwieweit Sie von den geforderten Pflichten betroffen sind. Gemeinsam erfassen wir den Bedarf Ihrer Einrichtung und setzen Schritt für Schritt alle nötigen Maßnahmen um.
Schritt 1: Betroffenheitsanalyse
Wir unterstützen Sie gern bei der Einschätzung, ob auch Ihnen Pflichten aus der NIS-2-Richtlinie entstehen. Zu diesem Zweck führen wir eine umfangreiche Betroffenheitsanalyse durch.
Schritt 2: Umsetzung der Anforderungen
Unsere Expertinnen und Experten helfen Ihnen bei der Einschätzung Ihres aktuellen Reifegrades sowie bei der kontinuierlichen Weiterentwicklung Ihrer Sicherheitssysteme entsprechend der NIS-2-Richtlinie:
- Gap-Analyse
Halten Ihre derzeitigen Systeme jedem Angriff stand und bestehen die Prüfung nach NIS-2? Wir finden jede Lücke. - Aufbau & Weiterentwicklung eines schlanken ISMS
Machen Sie Gebrauch von simplen Verfahren und Regeln, die die Informationssicherheit in Ihrem Unternehmen gewährleisten. - Implementierung von geregelten Entscheidungs- und Meldeprozessen für Cyber Threats
Verhindern Sie Versäumnisse der Meldepflicht und daraus folgende Sanktionen. - Implementierung von Systemen zur Angriffserkennung
Merken Sie frühzeitig, wenn jemand Sie bedroht! So werden Vorfälle zügig gestoppt und Schäden verhindert bzw. reduziert.
Gern unterstützen wir Sie bei der Etablierung der erforderlichen Geschäftsprozesse. Unsere Expertinnen und Experten beraten Sie in einem unverbindlichen Erstgespräch.
Schritt 3: Nachweis der Umsetzung
Die nächste Überprüfung steht an und treibt Ihnen den Angstschweiß auf die Stirn? Cassini Consulting lässt Sie nicht allein: Wir begleiten Sie durch interne und externe Audits und helfen Ihnen, alle Voraussetzungen für das erfolgreiche Bestehen zu erfüllen. So sehen Sie dem Termin entspannt entgegen.
Machen Sie Ihr Business sicher mit Cassini Consulting
Cassini Consulting hat sich seit der Gründung im Jahr 2006 als führender Digitalisierungsberater in Deutschland etabliert. Mit einem deutschlandweiten Netzwerk von über 400 Consultants helfen wir Ihnen, eine Arbeitsumgebung zu schaffen, die Innovation und Wachstum fördert und Sicherheit gewährleistet. Unsere Expertinnen und Experten beraten Sie in IT-Fragen und unterstützen Ihre Mitarbeitenden auf ihrem Weg in die Zukunft.
Als unabhängiges Beratungsunternehmen sind wir nicht an bestimmte Vertriebspartner gebunden und stehen Ihnen mit neutralen Handlungsempfehlungen zur Seite. Unsere Cassinis unterstützen Ihr Unternehmen proaktiv bei der Umsetzung geeigneter Maßnahmen und fügen sich wie ein weiteres Teammitglied in Ihre Abteilungen ein. Profitieren Sie von der jahrelangen Erfahrung unserer Expertinnen und Experten!
Erfahrung im Bereich Security & Privacy
Hands-on Mentalität
Unsere Auszeichnungen und Zertifizierungen
Kontaktformular
An dieser Stelle finden Sie ein Kontakt-Formular. Dieser kann mit wenigen Klicks eingeblendet werden. Stimmen Sie hierfür bitte der Cookie-Kategorie „Marketing“ zu.
