NIS2: Erfüllen Sie alle Sicherheitsanforderungen?
Betroffenheitsanalyse und NIS2 Readiness-Check
- Seien Sie auf der sicheren Seite und erfahren Sie, ob Sie NIS2-pflichtig sind
- Erhalten Sie Klarheit, welche Anforderungen Sie erfüllen müssen
- Klare Umsetzungspläne, damit Sie alle Anforderungen erfüllen
Die NIS2-Richtlinie, die derzeit intensiv diskutiert wird, steht kurz vor ihrem Inkrafttreten. Ihr zentrales Ziel besteht in der Harmonisierung und dem Anstieg der Cybersicherheit innerhalb Europas, um kritische Infrastrukturen sowie wesentliche Wirtschaftssektoren umfassend zu schützen.
An dieser Stelle stellen sich viele die Frage: „Bin ich betroffen?“ Es ist wichtig zu beachten, dass die Betroffenheit in manchen Fällen nicht sofort erkennbar ist, obwohl sie vorliegen kann. Zudem obliegt die Feststellung der Betroffenheit dem Unternehmen selbst. Für Einrichtungen, die von der NIS2-Richtlinie betroffen sind, gilt: Mit dem Inkrafttreten der nationalen Umsetzung der NIS2 gilt diese ohne weitere Umsetzungsfrist.
Gemeinsam mit dem Unternehmen VICCON GmbH bereiten wir Sie auf diese Herausforderungen optimal vor und bietet Lösungen zur Gewährleistung der notwendigen Cybersicherheit und Einhaltung aller NIS2-Anforderungen.
Betroffenheitsanalyse für mehr Klarheit rund um NIS2
Identifizierung, ob Sie gemäß der NIS2-Richtlinie eine kritische Dienstleistung anbieten. Klärung folgender Eigenschaften:
- Betreiber einer kritischen Dienstleistung / Anlage ODER
- Öffentlichen Kommunikationsdiensteanbieter / Kommunikationsnetzeanbieter ODER
- Vertrauensdiensteanbieter ODER
- Domänennamensystem-Diensteanbieter?
Abhängig von der Art der Dienstleistungen können weitere Anforderungen erforderlich sein.
Genaue Analyse, ob die anfallenden Aufgaben innerhalb der NIS2-Richtlinie erfasst sind.
- Tätigkeiten in Anhängen der NIS2 oder NIS2-Umsetzung erfasst?
- Auch geringfügige oder Neben-Tätigkeiten einbeziehen
- Ggf. weitere EU-Richtlinien/-Verordnungen prüfen
Eine Tätigkeit im genannten Sektor bedingt die Betroffenheit des gesamten Unternehmens(verbundes).
Prüfung, ob weitere Richtlinien umzusetzen sind.
- Unternehmen hat nur einen Sitz in Deutschland → Nationales Recht ist zu berücksichtigen
- Muttergesellschaft hat Hauptsitz in Deutschland → Nationales Recht ist zu berücksichtigen
- Unabhängigkeit einzelner Entities wurde nachgewiesen → jeweils nationales Recht des entsprechenden EU-Landes ist zu berücksichtigen
- Genauer Überblick über alle Anforderungen, die Sie erfüllen müssen.
- Identifizierung von Handlungsmaßnahmen zur Erfüllung aller Anforderungen.
Ziel der Betroffenheitsanalyse ist die Klärung, ob Sie NIS2-pflichtig sind. Ergebnisobjekt: Einschätzung der Betroffenheit (ohne Rechtsanspruch).
Der Ablauf der Betroffenheitsanalyse ist wie folgt:
- Dauer: 60 - 90 Minuten
- Ort: Online
- Kosten: 199 €
NIS2 Readiness-Check
- Identifikation der Systeme und Dienste: Erfassung aller Systeme, Dienste und Anwendungen, die für den Betrieb der Organisation kritisch sind.
- Risikobewertung: Analyse der bestehenden Risiken und Bedrohungen, die die Informationssicherheit und die operationale Kontinuität gefährden könnten.
- Sicherheitsrichtlinien: Prüfung der bestehenden Sicherheitsrichtlinien und -verfahren im Hinblick auf ihre Effektivität und Übereinstimmung mit den Anforderungen der NIS2-Richtlinie.
- Technologische Maßnahmen: Evaluierung der eingesetzten Technologien, Tools und Prozesse zur Erkennung, Minderung und Reaktion auf Sicherheitsvorfälle.
- Regulatorische Vorgaben: Identifizierung von spezifischen Anforderungen der NIS2-Richtlinie, die für Ihre Organisation relevant sind, einschließlich Sicherheitsvorkehrungen, Meldepflichten und Berichtspflichten.
- Verpflichtungen gegenüber Dritten: Berücksichtigung der Verpflichtungen gegenüber Partnern, Zulieferern und anderen Stakeholdern, die im Kontext der NIS2-Richtlinie relevant sind.
- Identifikation von Lücken: Dokumentation aller identifizierten Lücken zwischen den aktuellen Sicherheitsmaßnahmen und den Anforderungen der NIS2-Richtlinie.
- Maßnahmen festlegen: Entwicklung spezifischer Maßnahmen, um diese Lücken zu schließen, und setzen von Prioritäten in Bezug auf die Dringlichkeit und den Ressourcenbedarf.
Mit dem NIS2 Readiness-Check prüfen wir mit Ihnen, ob Sie bereits alle Anforderungen erfüllen und identifizieren Lücken. Ergebnisobjekt: Checkliste für Maßnahmen und To-dos.
Die Durchführung ist wie folgt:
- Dauer: 3 - 4 Stunden
- Ort: Vor Ort
- Preis: 499 €
Anforderungen, die Sie erfüllen müssen
Alle Risikomanagement Maßnahmen müssen erfüllt werden. Hier greift der Allgefahren Ansatz und Unternehmen müssen somit ganzheitlich betrachtet werden.
Alle „Betroffenen“ müssen sich innerhalb von 3 Monaten beim BSI melden/registrieren. Zusätzlich muss eine 24/7 Rufnummer angegeben werden. Diese muss rund um die Uhr erreichbar sein und Mitarbeitende müssen im Prozess eingebunden sein und wissen, welche Schritte einzuleiten sind.
An das BSI und für Unternehmen selbst.
- Erstmeldung innerhalb von 24 h (ab Kenntniserlangung)
- Bestätigung innerhalb von 72 h
- Abschlussbericht spät. nach einem Monat
In diesem Bereich müssen alle Lieferanten bewertet werden. Lieferanten, die als kritisch eingestuft sind, müssen zusätzlich gesondert in einer Risiko-Analyse betrachtet werden.
Alle Mitarbeitende sind zu unterweisen sowie über die Maßnahmen und den Prozess einzubeziehen.
- Geschäftsbereiche (Incident Response, Risikomanagement)
- IT-Sicherheit (durch Scope-Erweiterung ALLE IT)
- Geschäftsführung §38 (Haftungsthemen & Risikomanagement)
- Notfallübungen
- Die Behörde behält sich vor, wichtige und besonders wichtige Einrichtungen auch zu prüfen (ex ante)
- Bei Vorfällen oder versäumter Registrierung (ex post)
- Die Geschäftsführung haftet persönlich bzw. mit dem Privatvermögen
NIS2 und ISO27001: Gibt es Unterschiede?
Zwischen der NIS 2 und der Erfüllung der ISO 27001 gibt es Unterschiede. Doch die Erfüllung bzw. Zertifizierung nach der DIN ISO/IEC 27001:2022 bildet bereits eine gute Basis für die Erfüllung der Anforderungen der NIS2-Richtlinie.
DIN ISO/IEC 27001:2022 | NIS 2 Umsetzung (BSIG-E) | ||
---|---|---|---|
BCM | DIN ISO/IEC 27001:2022 IKT-spezifisch | NIS 2 Umsetzung (BSIG-E) Aufrechterhaltung des gesamten Betriebes | |
Supply-Chain-Security | DIN ISO/IEC 27001:2022 Regelmäßige Risikobeurteilung | NIS 2 Umsetzung (BSIG-E) + alle Sicherheitsrelevanten Aspekte berücksichtigen | |
Scope | DIN ISO/IEC 27001:2022 Definierbar | NIS 2 Umsetzung (BSIG-E) Unternehmensweit | |
Kryptografie | DIN ISO/IEC 27001:2022 Anforderungen ähnlich | NIS 2 Umsetzung (BSIG-E) Anforderungen ähnlich | |
Meldevorschriften | DIN ISO/IEC 27001:2022 --- | NIS 2 Umsetzung (BSIG-E) Sehr engmaschig | |
Sanktionsvorschriften | DIN ISO/IEC 27001:2022 --- | NIS 2 Umsetzung (BSIG-E) Sehr scharfe Vorschriften | |
Awareness / Schulungen | DIN ISO/IEC 27001:2022 Entsprechend der Position | NIS 2 Umsetzung (BSIG-E) Insb. Geschäftsführung | |
Risikomanagement | DIN ISO/IEC 27001:2022 Anforderungen ähnlich | NIS 2 Umsetzung (BSIG-E) Anforderungen ähnlich | |
Backup-Management | DIN ISO/IEC 27001:2022 Anforderungen ähnlich | NIS 2 Umsetzung (BSIG-E) Anforderungen ähnlich |
Bei TelemaxX steht IT-Sicherheit an erster Stelle. Unsere Rechenzentren sind DIN EN ISO/IEC 27001:2024 zertifiziert und unsere Colocation Services sind zusätzlich ISAE 3402 Typ 2 zertifiziert. Unser Rechenzentrum IPC 5 ist nach der TÜVIT DIN EN50600 Verfügbarkeitsklasse 3 zertifiziert.
NIS2 - FAQ
Die Betroffenheit liegt vor, wenn Unternehmen über 50 Angestellte haben und einen Jahresumsatz von mindestens 10 Millionen Euro erzielen. Die Unterscheidung zwischen besonders wichtigen und wichtigen Einrichtungen zeigt sich vor allem in den anfallenden Sanktionen. Folgende Sektoren sind betroffen:
Besonders wichtige Einrichtungen | Wichtige Einrichtungen |
Energie | Transport und Verkehr (→ Post- und Kurierdienste) |
Transport und Verkehr | Abfallbewirtschaftung |
Finanzwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
Gesundheit | Produktion, Verarbeitung und Vertrieb von Lebensmitteln |
Wasser | Verarbeitendes Gewerbe/Herstellung von Waren |
Digitale Infrastruktur | Anbieter Digitaler Dienste |
Weltraum | Forschung |
- Erweiterung der betroffenen Institutionen
- „besonders wichtige“, „wichtige“ Einrichtungen und Bundeseinrichtungen
- Verschärfung von Sanktionsvorschriften
- Erhöhte Bußgeldtatbestände
- Meldevorschriften verschärft
- Risikomanagement
- NIS 2 verlangt den Allgefahrenansatz
- Scope
- Beschränkung auf einen definierten Scope entfällt > ganzheitliche Betrachtung des Unternehmens
- Einziger "Ausweg" könnte sein: Wenn Energie-/Telekommunikationssektor teilweise von den Maßnahmen der NIS2-Umsetzung ausgenommen sind und jeweils das EnWG oder TKG gilt, könnte das EnWG oder TKG die Scope-Beschränkung erlauben
- BCM / Notfallmanagement
- Ausweitung auf Prozesse allgemein
- (keine Beschränkung auf IKT-Bereitschaft wie in der ISO)
- Supply-Chain-Security
- ISO sagt: Risikobeurteilungen der Lieferanten erforderlich (in geplanten Abständen oder bei erheblichen Änderungen)
- Allgemeiner Ansatz (auf sicherheitsrelevante Aspekte im Allgemeinen bezogen)
- sicherheitsrelevante Aspekte berücksichtigen
Mit der Erfüllung aller Kriterien der NIS2 erzielen Sie folgende Vorteile:
- Sicherheitsrisiken kennen und verwalten
- Schutz vor Cyberangriffen
- Cybersicherheitsvorfälle erkennen und Handlungsfähigkeit herstellen
- Minimierung der Auswirkungen von Sicherheitsvorfällen
Sind Sie betroffen von der NIS2-Richtlinie sollten Sie sich aktiv mit den Inhalten und Regelungen auseinandersetzen. Dabei sollten auch die aktuellen Sicherheitsmaßnahmen geprüft und Lücken identifiziert werden.
Die NIS2-Richtlinie wurde am 16. November 2022 offiziell angenommen. Die EU-Mitgliedstaaten sind verpflichtet, die Richtlinie innerhalb von 21 Monaten in nationales Recht umzusetzen. Das bedeutet, dass die meisten Bestimmungen der NIS2-Richtlinie voraussichtlich bis zum Oktober 2024 in Kraft treten werden.
Somit wird die Richtlinie in kurzer Zeit gelten.
Gemeinsam mit der VICCON GmbH stehen wir Ihnen beratend zur Seite und klären, ob Sie von der Richtlinie betroffen sind. Im nächsten Schritt können wir im Rahmen eines NIS2 Readyness-Check prüfen, welche Kriterien Sie aktuell erfüllen und Lücken identifizieren, damit Sie alle Anforderungen erfüllen.