NIS-2-Richtlinie
Sind Sie betroffen? Erfahren Sie mehr über Anforderungen, Pflichten, geforderte Maßnahmen und Unterstützungsoptionen
Anforderungen bei der Umsetzung von NIS-2
Die EU hat mit der NIS-2-Richtlinie die Vorgaben zur Cybersicherheit erweitert, um Unternehmen und kritische Infrastrukturen besser vor Cyberangriffen zu schützen. Die Richtlinie verpflichtet Unternehmen, Sicherheitsstandards einzuhalten, Risiken kontinuierlich zu bewerten und Systeme zu aktualisieren. Nach EU-Vorgaben sollte das bereits bis zum 18.10.2024 passiert sein, aber das Gesetzgebungsverfahren in Deutschland zog sich länger hin. Als neues Zieldatum ist März 2025 geplant.
Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?
Die Anzahl der von der NIS-2-Richtlinie betroffenen Unternehmen steigt deutlich an, da die betroffenen Branchen erweitert wurden. Betroffen sind große und mittlere Unternehmen aus Sektoren mit hoher Kritikalität sowie aus anderen kritischen Sektoren.
ACHTUNG Die Unternehmen sind selbst dafür verantwortlich, festzustellen, ob die NIS-2-Richtlinie auf sie zutrifft, indem sie die vorgegebenen Kriterien prüfen. Eine behördliche Benachrichtigung darüber, dass die NIS-2-Vorgaben für sie gelten, erfolgt nicht.
Die von NIS2 betroffenen Unternehmen in Deutschland bestehen aus vier Gruppen: Die bestehenden Betreiber kritischer Anlagen (KRITIS), die besonders wichtigen sowie die wichtigen Einrichtungen und einige Bundeseinrichtungen (vgl. §28)
- Besonders wichtige Einrichtungen nach Größe des Unternehmens in Sektoren Anlage 1
G Unternehmen ab 250 Mitarbeitern oder
G Unternehmen über 50 Mio. EUR Umsatz und Bilanz über 43 Mio. EUR
U Größenunabhängig: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen
M Sonderfall: TK-Anbieter ab mittlere Größe Wichtige Einrichtungen nach Größe des Unternehmens in Sektoren aus Anlage 1 und 2
M Unternehmen ab 50 Mitarbeitern oder
M Unternehmen über 10 Mio. EUR Umsatz und Bilanz über 10 Mio. EUR
U Vertrauensdienste und TK-AnbieterBetreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen fest (KRITIS-Anlage über Schwellenwert, in der Regel ≥ 500 Tsd. versorgte Personen)
Neben Einrichtungen werden auch Bundeseinrichtungen mit Pflichten reguliert (vgl. §29)
Von NIS2 nicht betroffen sind folgende Unternehmen:
Kleinst (micro): <10 Beschäftigte und ≤2 Mio. EUR Umsatz/Bilanz
Klein (small): <50 Beschäftigte und ≤10 Mio. EUR Umsatz/Bilanz
Für die Berlin Wirtschaft bedeutet dies, dass ca. 1200 bis 1500 Unternehmen unmittelbar betroffen sind. Diese Gruppe und Anzahl der Betroffenen wird sich aber erweitern, da auch Dienstleister und Sub-Unternehmer der unmittelbar Betroffenen sich intensiv mit den Regulierungen befassen müssen.
Beispiel: Ein Unternehmen mit 39 Mitarbeitern und 11 Millionen Euro Umsatz gilt als mittleres Unternehmen. Bietet dieses Unternehmen z.B. „Digitale Dienste“ an, so handelt es sich um eine wichtige Einrichtung.
Sowohl wesentliche als auch wichtige Einrichtungen sind verpflichtet, die Auflagen der NIS-2-Richtlinie umzusetzen. Unterschiede bestehen jedoch bei der Überprüfung durch Behörden und den Sanktionen.
Pflichten und Maßnahmen zum Schutz kritischer Infrastrukturen
Die NIS-2-Richtlinie der EU verpflichtet Unternehmen Maßnahmen zur Stärkung der Netzwerk- und Informationssicherheit umzusetzen. Ziel ist es, Sicherheitsrisiken zu kontrollieren und Vorfälle zu minimieren. Die Angemessenheit der Maßnahmen wird
durch eine Risikobewertung bestimmt.
Pflichten:
Die Implementierung und Umsetzung eines umfassenden Risikomanagement- systems, das Unternehmen dabei unterstützt, potenzielle Cyberbedrohungen zu identifizieren, zu bewerten und angemessen darauf zu reagieren.
Dabei untertsützen Sie gern folgende unserer Partner:
Piltz Legal, CCVOSSEL, HiSolutions, IABG, NKMG, M&H und CASKAN.
Die Richtlinie gibt eine Meldepflicht mit inhaltlichen Vorgaben für Unternehmen vor. Betroffene Unternehmen sind verpflichtet, Sicherheitsvorfälle zu melden. Die vorgesehenen Fristen können im deutschen Umsetzungsgesetz noch angepasst werden.
- Erstmeldung: innerhalb von 24 Stunden ab Kenntnis des Vorfalls
- Technische Erweiterungsmeldung: innerhalb von 72 Stunden ab Kenntnis des Vorfalls
- Zwischenbericht: dauert der Sicherheitsvorfall länger als 30 Tage an, muss ein Zwischenbericht nach spätestens 30 Tagen erfolgen
- Abschlussmeldung: spätestens nach 30 Tagen nach Beendigung des Sicherheitsvorfalls
Bei der Erstellung eines ensprechenden Konzeptes unterstützen Sie gern folgende unserer Partner:
Piltz Legal, HiSolutions, NKMG, M&H, HK2 Comtection.
CCVOSSEL unterstützt zusätzlich bei der Umsetzung.
Unternehmen sind verpflichtet eigenständig zu identifizieren, ob sie der NIS-2-Richtlinie unterliegen, ohne auf externe Hinweise zu warten. Wenn dies der Fall ist, muss eine Registrierung stattfinden.
Bei der Identifikation und Erstellung eines ensprechenden Konzeptes unterstützen Sie gern folgende unserer Partner:
Piltz Legal, HiSolutions, NKMG, M&H, HK2 Comtection.
CCVOSSEL unterstützt zusätzlich bei der Umsetzung der Registrierung.
Unternehmen werden verpflichtet, umfassende Dokumentationspflichten zu erfüllen. Sie müssen Nachweise über ihre Sicherheitsmaßnahmen führen und diese bei Bedarf den zuständigen Behörden vorlegen.
Bei der Erstellung eines Dokumentations-Konzeptes unterstützen Sie gern folgende unserer Partner:
Piltz Legal, HiSolutions, NKMG, M&H, HK2 Comtection.
CCVOSSEL unterstützt zusätzlich bei der Umsetzung.
Führungskräfte in Unternehmen werden in die Pflicht genommen. Die Organisationsleitung muss die vom Unternehmen ergriffenen Risikomanagementmaßnahmen billigen und sich aktiv an Pflichtschulungen beteiligen, um ein angemessenes Verständnis für die Sicherheitsanforderungen zu gewährleisten. Darüber hinaus kann die Führungskraft unter bestimmten Umständen persönlich haftbar gemacht werden, wenn Sicherheitsvorfälle auftreten und Schäden entstehen.
Schulungen der Geschäftsführung zu Verantwortung und Haftung bieten folgende unserer Partner an:
Piltz Legal, HiSolutions, NKMG und M&H.
Dentons, Piltz Legal und HK2 Comtection bieten zudem eine Rechtsbratung.
Die Angriffserkennung ist verpflichtend. Diese Unternehmen müssen Mechanismen implementieren, um Cyberangriffe frühzeitig zu erkennen und angemessen darauf zu reagieren, um potenzielle Schäden zu minimieren. Dies trägt dazu bei, die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberbedrohungen zu stärken und die Auswirkungen von Sicherheitsvorfällen zu begrenzen.
Bei der Erstellung eines ensprechenden Konzeptes zur Angriffserkennung unterstützen Sie gern folgende unserer Partner:
CCVOSSEL, HiSolutions und M&H.
CASKAN und CCVOSSEL unterstützen zusätzlich bei der Umsetzung.
Geforderte Maßnahmen:
Eine gründliche Risikoanalyse muss erstellt werden und bildet die Grundlage für ein effektives Sicherheitsmanagement. Dabei sollen potenzielle Bedrohungen identifiziert, bewertet und Maßnahmen zur Minimierung der Risiken implementiert werden. Dies umfasst sowohl die technischen Systeme als auch organisatorische Prozesse.
Bei der Erarbeitung von IT-Sicherheitspolicies, -Richtlinien und Managementsystemen unterstützen Sie gern folgende unserer Partner:
Piltz Legal, CCVOSSEL, HiSolutions, IABG, NKMG, M&H und CASKAN.
Ein klar definierter Prozess zur Bewältigung von Sicherheitsvorfällen ist unerlässlich. Dies beinhaltet die schnelle Erkennung, Reaktion und Aufklärung von Vorfällen sowie die Implementierung von Maßnahmen zur Vermeidung zukünftiger Vorfälle.
Sollten Sie Opfer eines Cyberangriffs geworden sein, rufen Sie unsere kostenlose DAB Cyberhotline an. Wir helfen auch bei Verdachtsfällen oder präventiven Fragen gern weiter und vermitteln Sie an Expert:innen aus unserem Netzwerk.
Bei der Erstellung vorbeugender Sicherheitskonzepte unterstützen Sie folgende unserer Partner:
Piltz Legal, CCVOSSEL, HiSolutions, IABG, NKMG, M&H und CASKAN.
Die kontinuierliche Aufrechterhaltung des Geschäftsbetriebs und die schnelle Wiederherstellung nach Störungen sind entscheidend. Dafür muss ein effektives Backup-Management und umfassende Krisenmanagementstrategien sichergestellt werden, um Daten und Systeme schnell wiederherstellen zu können.
Die Erstellung eines Backup-Konzeptes können folgende Partner unterstützen: HiSolutions und M&H.
CASKAN bietet zusätzlich Backup-Services.
Bei einem effektiven Krisenmanagement unterstützen Sie zudem gern folgende unserer Partner:
Piltz Legal, CCVOSSEL, HiSolutions, NKMG und M&H.
Die Sicherheit erstreckt sich auch auf die gesamte Lieferkette. Sicherheitsvorkehrungen müssen sowohl für die Zusammenarbeit zwischen verschiedenen Einrichtungen als auch für externe Dienstleister getroffen werden, um Schwachstellen an diesen Schnittstellen zu minimieren. Die Umsetzung dieser Maßnahmen ist erforderlich, um die Konformität nachzuweisen.
Bei der Risikobewertung von Lieferketten unterstützen Sie gern folgende unserer Partner:
Piltz Legal, CCVOSSEL, HiSolutions, NKMG, M&H, CASKAN und HK2 Comtection.
Zum Thema Business Continuity Management beraten Sie zudem gern folgende Partner:
Piltz Legal, CCVOSSEL, HiSolutions, NKMG, M&H, CASKAN und IABG.
Sicherheitsaspekte müssen von Anfang an in den Entwicklungsprozess integriert werden. Dies umfasst sichere Entwicklungspraktiken, sorgfältige Beschaffung und regelmäßige Wartung der Systeme, um Sicherheitslücken zu schließen.
Bei der Konzeption für IT-Beschaffungen, Cyber-, technische Anforderungen und Standards für Systeme und Produkte unterstützen Sie gern folgende unserer Partner:
Piltz Legal, CCVOSSEL, HiSolutions, NKMG, M&H und HK2 Comtection.
Ein proaktives Management und die transparente Offenlegung von Schwachstellen sind entscheidend. Durch regelmäßige Sicherheitsüberprüfungen und zeitnahe Updates sollen bekannte Schwachstellen schnell behoben werden.
Zum Thema Business Continuity Management und dessen Konzeption beraten Sie gern folgende unserer Partner:
Piltz Legal, CCVOSSEL, HiSolutions, NKMG, M&H, CASKAN und IABG.
Die kontinuierliche Bewertung der Wirksamkeit der implementierten Sicherheitsmaßnahmen ist unerlässlich. Dies hilft, Schwachstellen zu identifizieren und die Strategien kontinuierlich zu verbessern.
Bei der Erstellung eines Konzeptes zur Bewertung von IT-Beschaffungen, Cyber-, technische Anforderungen und Standards für Systeme und Produkte unterstützen Sie gern folgende unserer Partner:
Piltz Legal, CCVOSSEL, HiSolutions, NKMG, M&H und HK2 Comtection.
Regelmäßige Schulungen und Sensibilisierungskampagnen für Mitarbeiter:innen sind zudem umzusetzen, um das Bewusstsein und die Kompetenzen im Umgang mit Sicherheitsrisiken. Cyberhygiene umfasst dabei grundlegende Praktiken zur Sicherung des täglichen Umgangs mit ITSystemen.
Wir bieten für Berliner Unternehmen zahlreiche kostenlose Unterstützungsangebote zur Steigerung ihrer IT-Sicherheit.
Unsere Workshops der DAB Cyberwerkstatt vermitteln beispielsweise praxisnahe Präventionsmaßnahmen zu niedrigschwelligen Themen wie Phishing oder Accountsicherheit, um die IT-Sicherheit in Ihrem Unternehmen durch geschultes Personal zu stärken.
Ein Konzept zum Einsatz von Kryptografie muss erstellt werden und ist ein wesentlicher Bestandteil der Informationssicherheit. Verschlüsselungs- techniken schützen vertrauliche Daten sowohl während der Übertragung als auch bei der Speicherung.
Bei der Erarbeitung von IT-Sicherheitskonzepten, -Policies und -Richtlinien unterstützen Sie gern folgende unserer Partner:
Piltz Legal, CCVOSSEL, HiSolutions, IABG, NKMG, M&H und CASKAN.
Personalsicherheit und effektive Zugriffskontrollen sind entscheidend, um unbefugten Zugriff auf sensible Informationen zu verhindern. Ein umfassendes Anlagen-Management unterstützt dabei die Sicherung physischer und digitaler Ressourcen.
Zum Thema Business Continuity Management beraten Sie gern folgende Partner:
Piltz Legal, CCVOSSEL, HiSolutions, NKMG, M&H, CASKAN und IABG.
Die Implementierung von Multi-Faktor-Authentifizierung erhöht die Sicherheit erheblich. Kontinuierliche Authentisierungsmethoden, inklusive gesicherter Video-, Text- und Notfallkommunikation, gewährleisten eine robuste Zugangskontrolle und Überwachung und sind ebenfalls umzusetzen.
Bei der Erarbeitung von IT-Sicherheitspolicies, -Richtlinien und Managementsystemen unterstützen Sie gern folgende unserer Partner:
Piltz Legal, CCVOSSEL, HiSolutions, IABG, NKMG, M&H und CASKAN.
Wegen der besonderen fachlichen Anforderungen an IT-Sicherheit und der damit verbundenen gesetzlichen Anforderungen aus der NIS-Umsetzung für betroffene Unternehmen aus der Hauptstadtregion Berlin-Brandenburg hat das Netzwerk it's.BB gemeinsam mit der Digitalagentur Berlin und folgenden weiteren Partnern ein Programm zu NIS-2 Umsetzungsthemen und erforderlichen Maßnahmen initiiert:
