Zum Hauptinhalt springen Skip to page footer

NIS2: Erfüllen Sie alle Sicherheitsanforderungen?

Betroffenheitsanalyse und NIS2 Readiness-Check

  • Seien Sie auf der sicheren Seite und erfahren Sie, ob Sie NIS2-pflichtig sind
  • Erhalten Sie Klarheit, welche Anforderungen Sie erfüllen müssen
  • Klare Umsetzungspläne, damit Sie alle Anforderungen erfüllen 
Analyse sichern und NIS2 erfüllen

Die NIS2-Richtlinie, die derzeit intensiv diskutiert wird, steht kurz vor ihrem Inkrafttreten. Ihr zentrales Ziel besteht in der Harmonisierung und dem Anstieg der Cybersicherheit innerhalb Europas, um kritische Infrastrukturen sowie wesentliche Wirtschaftssektoren umfassend zu schützen.

An dieser Stelle stellen sich viele die Frage: „Bin ich betroffen?“ Es ist wichtig zu beachten, dass die Betroffenheit in manchen Fällen nicht sofort erkennbar ist, obwohl sie vorliegen kann. Zudem obliegt die Feststellung der Betroffenheit dem Unternehmen selbst. Für Einrichtungen, die von der NIS2-Richtlinie betroffen sind, gilt: Mit dem Inkrafttreten der nationalen Umsetzung der NIS2 gilt diese ohne weitere Umsetzungsfrist.

Gemeinsam mit dem Unternehmen VICCON GmbH bereiten wir Sie auf diese Herausforderungen optimal vor und bietet Lösungen zur Gewährleistung der notwendigen Cybersicherheit und Einhaltung aller NIS2-Anforderungen.

Betroffenheitsanalyse für mehr Klarheit rund um NIS2

Identifizierung, ob Sie gemäß der NIS2-Richtlinie eine kritische Dienstleistung anbieten. Klärung folgender Eigenschaften:

  • Betreiber einer kritischen Dienstleistung / Anlage ODER
  • Öffentlichen Kommunikationsdiensteanbieter / Kommunikationsnetzeanbieter ODER
  • Vertrauensdiensteanbieter ODER
  • Domänennamensystem-Diensteanbieter?

Abhängig von der Art der Dienstleistungen können weitere Anforderungen erforderlich sein.

Genaue Analyse, ob die anfallenden Aufgaben innerhalb der NIS2-Richtlinie erfasst sind.

  • Tätigkeiten in Anhängen der NIS2 oder NIS2-Umsetzung erfasst?
  • Auch geringfügige oder Neben-Tätigkeiten einbeziehen
  • Ggf. weitere EU-Richtlinien/-Verordnungen prüfen

Eine Tätigkeit im genannten Sektor bedingt die Betroffenheit des gesamten Unternehmens(verbundes).

Prüfung, ob weitere Richtlinien umzusetzen sind. 

  • Unternehmen hat nur einen Sitz in Deutschland → Nationales Recht ist zu berücksichtigen 
  • Muttergesellschaft hat Hauptsitz in Deutschland → Nationales Recht ist zu berücksichtigen
  • Unabhängigkeit einzelner Entities wurde nachgewiesen → jeweils nationales Recht des entsprechenden EU-Landes ist zu berücksichtigen 

  • Genauer Überblick über alle Anforderungen, die Sie erfüllen müssen. 
  • Identifizierung von Handlungsmaßnahmen zur Erfüllung aller Anforderungen.

Ziel der Betroffenheitsanalyse ist die Klärung, ob Sie NIS2-pflichtig sind. Ergebnisobjekt: Einschätzung der Betroffenheit (ohne Rechtsanspruch).

Der Ablauf der Betroffenheitsanalyse ist wie folgt:

  • Dauer: 60 - 90 Minuten
  • Ort: Online
  • Kosten: 199 €

NIS2 Readiness-Check

  • Identifikation der Systeme und Dienste: Erfassung aller Systeme, Dienste und Anwendungen, die für den Betrieb der Organisation kritisch sind.
  • Risikobewertung: Analyse der bestehenden Risiken und Bedrohungen, die die Informationssicherheit und die operationale Kontinuität gefährden könnten.

  • Sicherheitsrichtlinien: Prüfung der bestehenden Sicherheitsrichtlinien und -verfahren im Hinblick auf ihre Effektivität und Übereinstimmung mit den Anforderungen der NIS2-Richtlinie.
  • Technologische Maßnahmen: Evaluierung der eingesetzten Technologien, Tools und Prozesse zur Erkennung, Minderung und Reaktion auf Sicherheitsvorfälle.

  • Regulatorische Vorgaben: Identifizierung von spezifischen Anforderungen der NIS2-Richtlinie, die für Ihre Organisation relevant sind, einschließlich Sicherheitsvorkehrungen, Meldepflichten und Berichtspflichten.
  • Verpflichtungen gegenüber Dritten: Berücksichtigung der Verpflichtungen gegenüber Partnern, Zulieferern und anderen Stakeholdern, die im Kontext der NIS2-Richtlinie relevant sind.

  • Identifikation von Lücken: Dokumentation aller identifizierten Lücken zwischen den aktuellen Sicherheitsmaßnahmen und den Anforderungen der NIS2-Richtlinie.
  • Maßnahmen festlegen: Entwicklung spezifischer Maßnahmen, um diese Lücken zu schließen, und setzen von Prioritäten in Bezug auf die Dringlichkeit und den Ressourcenbedarf.

Mit dem NIS2 Readiness-Check prüfen wir mit Ihnen, ob Sie bereits alle Anforderungen erfüllen und identifizieren Lücken. Ergebnisobjekt: Checkliste für Maßnahmen und To-dos.

Die Durchführung ist wie folgt:

  • Dauer: 3 - 4 Stunden 
  • Ort: Vor Ort 
  • Preis: 499 €

 

Anforderungen, die Sie erfüllen müssen

Alle Risikomanagement Maßnahmen müssen erfüllt werden. Hier greift der Allgefahren Ansatz und Unternehmen müssen somit ganzheitlich betrachtet werden.

Alle „Betroffenen“ müssen sich innerhalb von 3 Monaten beim BSI melden/registrieren. Zusätzlich muss eine 24/7 Rufnummer angegeben werden. Diese muss rund um die Uhr erreichbar sein und Mitarbeitende müssen im Prozess eingebunden sein und wissen, welche Schritte einzuleiten sind.

An das BSI und für Unternehmen selbst. 

  • Erstmeldung innerhalb von 24 h (ab Kenntniserlangung)
  • Bestätigung innerhalb von 72 h
  • Abschlussbericht spät. nach einem Monat

In diesem Bereich müssen alle Lieferanten bewertet werden. Lieferanten, die als kritisch eingestuft sind, müssen zusätzlich gesondert in einer Risiko-Analyse betrachtet werden.

Alle Mitarbeitende sind zu unterweisen sowie über die Maßnahmen und den Prozess einzubeziehen.

  • Geschäftsbereiche (Incident Response, Risikomanagement)
  • IT-Sicherheit (durch Scope-Erweiterung ALLE IT)
  • Geschäftsführung §38 (Haftungsthemen & Risikomanagement)
  • Notfallübungen

  • Die Behörde behält sich vor, wichtige und besonders wichtige Einrichtungen auch zu prüfen (ex ante)
  • Bei Vorfällen oder versäumter Registrierung (ex post)
  • Die Geschäftsführung haftet persönlich bzw. mit dem Privatvermögen

NIS2 und ISO27001: Gibt es Unterschiede?

Zwischen der NIS 2 und der Erfüllung der ISO 27001 gibt es Unterschiede. Doch die Erfüllung bzw. Zertifizierung nach der DIN ISO/IEC 27001:2022 bildet bereits eine gute Basis für die Erfüllung der Anforderungen der NIS2-Richtlinie. 

DIN ISO/IEC 27001:2022 NIS 2 Umsetzung (BSIG-E)
BCM DIN ISO/IEC 27001:2022 IKT-spezifisch NIS 2 Umsetzung (BSIG-E) Aufrechterhaltung des gesamten Betriebes
Supply-Chain-Security DIN ISO/IEC 27001:2022 Regelmäßige Risikobeurteilung NIS 2 Umsetzung (BSIG-E) + alle Sicherheitsrelevanten Aspekte berücksichtigen
Scope DIN ISO/IEC 27001:2022 Definierbar NIS 2 Umsetzung (BSIG-E) Unternehmensweit
Kryptografie DIN ISO/IEC 27001:2022 Anforderungen ähnlich NIS 2 Umsetzung (BSIG-E) Anforderungen ähnlich
Meldevorschriften DIN ISO/IEC 27001:2022 --- NIS 2 Umsetzung (BSIG-E) Sehr engmaschig
Sanktionsvorschriften DIN ISO/IEC 27001:2022 --- NIS 2 Umsetzung (BSIG-E) Sehr scharfe Vorschriften
Awareness / Schulungen DIN ISO/IEC 27001:2022 Entsprechend der Position NIS 2 Umsetzung (BSIG-E) Insb. Geschäftsführung
Risikomanagement DIN ISO/IEC 27001:2022 Anforderungen ähnlich NIS 2 Umsetzung (BSIG-E) Anforderungen ähnlich
Backup-Management DIN ISO/IEC 27001:2022 Anforderungen ähnlich NIS 2 Umsetzung (BSIG-E) Anforderungen ähnlich

Bei TelemaxX steht IT-Sicherheit an erster Stelle. Unsere Rechenzentren sind DIN EN ISO/IEC 27001:2024 zertifiziert und unsere Colocation Services sind zusätzlich ISAE 3402 Typ 2 zertifiziert. Unser Rechenzentrum IPC 5 ist nach der TÜVIT DIN EN50600 Verfügbarkeitsklasse 3 zertifiziert. 

 

NIS2 - FAQ

Die Betroffenheit liegt vor, wenn Unternehmen über 50 Angestellte haben und einen Jahresumsatz von mindestens 10 Millionen Euro erzielen. Die Unterscheidung zwischen besonders wichtigen und wichtigen Einrichtungen zeigt sich vor allem in den anfallenden Sanktionen. Folgende Sektoren sind betroffen:

Besonders wichtige EinrichtungenWichtige Einrichtungen
EnergieTransport und Verkehr (→ Post- und Kurierdienste)
Transport und VerkehrAbfallbewirtschaftung
FinanzwesenProduktion, Herstellung und Handel mit chemischen Stoffen
GesundheitProduktion, Verarbeitung und Vertrieb von Lebensmitteln
WasserVerarbeitendes Gewerbe/Herstellung von Waren
Digitale InfrastrukturAnbieter Digitaler Dienste
WeltraumForschung

  • Erweiterung der betroffenen Institutionen 
    • „besonders wichtige“, „wichtige“ Einrichtungen und Bundeseinrichtungen
  • Verschärfung von Sanktionsvorschriften
    • Erhöhte Bußgeldtatbestände
  • Meldevorschriften verschärft
  • Risikomanagement 
    • NIS 2 verlangt den Allgefahrenansatz
  • Scope
    • Beschränkung auf einen definierten Scope entfällt > ganzheitliche Betrachtung des Unternehmens 
    • Einziger "Ausweg" könnte sein: Wenn Energie-/Telekommunikationssektor teilweise von den Maßnahmen der NIS2-Umsetzung ausgenommen sind und jeweils das EnWG oder TKG gilt, könnte das EnWG oder TKG die Scope-Beschränkung erlauben
  • BCM / Notfallmanagement
    • Ausweitung auf Prozesse allgemein
    • (keine Beschränkung auf IKT-Bereitschaft wie in der ISO)
  • Supply-Chain-Security
  • ISO sagt: Risikobeurteilungen der Lieferanten erforderlich (in geplanten Abständen oder bei erheblichen Änderungen)
    • Allgemeiner Ansatz (auf sicherheitsrelevante Aspekte im Allgemeinen bezogen)
    • sicherheitsrelevante Aspekte berücksichtigen

Mit der Erfüllung aller Kriterien der NIS2 erzielen Sie folgende Vorteile:

  • Sicherheitsrisiken kennen und verwalten
  • Schutz vor Cyberangriffen
  • Cybersicherheitsvorfälle erkennen und Handlungsfähigkeit herstellen
  • Minimierung der Auswirkungen von Sicherheitsvorfällen

Sind Sie betroffen von der NIS2-Richtlinie sollten Sie sich aktiv mit den Inhalten und Regelungen auseinandersetzen. Dabei sollten auch die aktuellen Sicherheitsmaßnahmen geprüft und Lücken identifiziert werden.

Die NIS2-Richtlinie wurde am 16. November 2022 offiziell angenommen. Die EU-Mitgliedstaaten sind verpflichtet, die Richtlinie innerhalb von 21 Monaten in nationales Recht umzusetzen. Das bedeutet, dass die meisten Bestimmungen der NIS2-Richtlinie voraussichtlich bis zum Oktober 2024 in Kraft treten werden. 

Somit wird die Richtlinie in kurzer Zeit gelten. 

Gemeinsam mit der VICCON GmbH stehen wir Ihnen beratend zur Seite und klären, ob Sie von der Richtlinie betroffen sind. Im nächsten Schritt können wir im Rahmen eines NIS2 Readyness-Check prüfen, welche Kriterien Sie aktuell erfüllen und Lücken identifizieren, damit Sie alle Anforderungen erfüllen. 

Ready to do business? Sprechen Sie uns an!