NIS-2 Compliance.
Was jetzt für Unternehmen wichtig ist:
Am 1. Oktober 2024 tritt die NIS-2 Richtlinie in Kraft. Mit der Umsetzung in nationales Recht der neuen EU-NIS-2 Richtlinie geraten zusätzlich zu den kritischen Infrastrukturen ca. 29.000 Unternehmen in den direkten Fokus Deutschlands Cyber-Security-Agenda.
Mit der Umsetzung der NIS2-Richtlinie und dem KRITIS-Dachgesetz gibt es ab 2024 zwei Hauptgruppen von Sektoren:
1. Kritische Sektoren für Betreiber kritischer Anlagen (KRITIS)
2. Besonders wichtige und wichtige Einrichtungen aus der NIS-2 Richtlinie.
Betreiber kritischer Anlagen werden mit NIS-2 automatisch zu einer besonders wichtigen Einrichtung.
Die Regulierung der Unternehmen und die Höhe der möglicherweise anfallenden Bußgelder sind abhängig von der Einordnung der Unternehmen in
-
besonders wichtige Einrichtungen mit oder ohne kritische Anlagen ODER
-
wichtige Einrichtungen.
▶︎ 1. Betreiber kritische Anlagen
Kritische Anlagen sind solche, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die Versorgungssicherheit oder die öffentliche Sicherheit haben könnte.
Die Sektoren für Betreiber kritischer Anlagen werden im KRITIS-Dachgesetz definiert. Sie überschneiden sich mit der Sektordefinition aus der NIS-2 Richtlinie. Die kritischen Dienstleistungen und Anlagen müssen teilweise noch in einer Verordnung festgelegt werden. Das KRITIS Dachgesetz ist noch in Bearbeitung.
Schwellenwerte für kritische Anlagen werden in der "Verordnung zur Bestimmung Kritischer Infrastrukturen" nach dem BSI-Gesetz BSI-KritisV festgelegt.
▶︎ 2. Einrichtungen
Die Sektoren für Einrichtungen sind in den Anlagen 1 und 2 der NIS-2-Richtlinie (Regierungsentwurf vom 22.7.2024) definiert. Die Zugehörigkeit zu einer besonders wichtigen oder wichtigen Einrichtung hängt von der Unternehmensgröße, dem Sektor und Teilweise auch von der spezifischen Branche ab.
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer informationstechnischen Systeme zu gewährleisten.
❗️ Unternehmen sind für die Identifikation von KRITIS-Anlagen und Feststellung der Betroffenheit als NIS2-Einrichtung selbst verantwortlich.
Wie Sie NIS-2 Compliance erreichen
1
Betroffenheitsanalyse
Sie können mit dem NIS-2 Assistant überprüfen, ob Sie von der NIS-2 Richtlinie betroffen sind, welche Pflichten, Bußgelder und ggfs. Ausnahmeregelungen für Ihr Unternehmen gelten und welche Durchsetzungsmaßnahmen das BSI ergreifen kann gemäß NIS-2 Regierungsentwurf (22.7.2024).
Aktion: 7 Tagen kostenfrei.
2
Anforderungsanalyse
Wir unterstützen Sie bei der Erhebung der Anforderungen. In der Regel führen wir eine Bestandsaufnahme durch. Durch eine GAP-Analyse gegen die NIS-2 Richtlinie und ISO 27001 arbeiten wir die Handlungsfelder, Heatmap und Priorisierung heraus und leiten daraus angemessene Maßnahmen zur Verbesserung ihrer Informationssicherheit und Compliance zur NIS-2 Richtlinie ab.
Vereinbaren Sie jetzt mit uns einen Termin für ein Erstberatungsgespräch.
3
Roadmap und Umsetzung
Wir erstellen zunächst eine Roadmap:
-
Short-Term, Mid-Term, LongTerm
-
Meilensteine
-
Kostenplanung
Daran anschließend Ressourcenplanung