Informationssicherheitsmanagementsystem
Vater IT begleitet Sie auf dem Weg zu Ihrer optimalen Informationssicherheitsstrategie – für mehr Struktur und weniger Risiko.
Informationen
sicher managen
NIS2
Die Europäische NIS2-Richtlinie „Network and Information Security (NIS) 2.0“ dient dem Schutz der Grundversorgung der Bevölkerung in der Europäischen Union und enthält Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau aller Mitgliedsstaaten. Von der Richtlinie betroffen sind auch kleine und mittelständische Unternehmen.
Was ist die NIS2-Richtlinie?
Die europäische NIS2-Richtlinie ist seit Dezember 2022 in Kraft und wird mit dem NIS2 Umsetzungsgesetz (NIS2UmsuCG) bis zum Oktober 2024 in nationales Recht umgesetzt.
Derzeit existieren drei Referentenentwürfe (April 2023, Juli 2023 und das sog. Diskussionspapier vom 27.09.2023), die weiter in der Diskussion sind. Ein Inkrafttreten des Gesetzes wird im Oktober 2024 erwartet.
Ausgewählte Organisationen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen treffen, die Sicherheit der Netz- und Informationssysteme beherrschen und die Auswirkungen von Sicherheitsvorfällen verhindern oder möglichst geringhalten.
Es gilt ein allgemeiner gefahrenübergreifender Ansatz. Alle Gefahren und deren Zusammenspiel müssen eingeschätzt werden.
Wer ist von NIS2 betroffen?
- Mittlere Unternehmen (Important Entities) mit mindestens 50 bis 249 Mitarbeitenden oder mehr als 10 bis 50 Millionen € Umsatz und einer Bilanz unter 43 Millionen €.
- Großunternehmen (Essential oder Important Entities) über 250 Mitarbeitenden oder mehr als 50 Millionen € Umsatz oder einer Bilanz von mehr als 43 Millionen €.
- Für KRITIS-Anlagen gelten die unveränderten Schwellenwerte, bezogen auf Anlagen und nicht auf die Unternehmensgröße. Sie sind automatisch Teil der „besonders wichtigen Einrichtungen“ und übernehmen damit die Pflichten aus der NIS2-Richtlinie.
- Sonderfälle und Unternehmen von besonderem öffentlichem Interesse sind zum Beispiel einzelne Betreiber ("sole provider"), die national essenziell für Gesellschaft und Wirtschaft sind. Ferner werden Betreiber unter diese Kategorie gefasst, deren Ausfall einen signifikanten Effekt auf die öffentliche Sicherheit oder Gesundheit hätte. Dies gilt auch für Betreiber, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind sowie Hersteller von Rüstungs- und IT-Produkten für staatliche VS. Weiterhin sind Betreiber von Betriebsbereichen der oberen Klasse (Gefahrstoffe) betroffen.
Für wen gilt die NIS2-Richtlinie?
Es wird erwartet, dass für schätzungsweise 30.000 Organisationen die Security-Pflichten steigen werden. Für die Einstufung sind die Größe und die Branche von Bedeutung.
NIS2 Informationen: Pflichten, Anforderungen & Risiken
Pflichten für Betreiber von KRITIS und NIS2
Pflichten für Betreiber von KRITIS und NIS2 Welche Pflichten für Betreiber von KRITIS und NIS2 ergeben sich aus der NIS2-Richtlinie?
Anforderungen an die betroffenen Organisationen
Anforderungen an die betroffenen Organisationen Welche Anforderungen werden an die betroffenen Organisationen gestellt?
Die Maßnahmen müssen mindestens die folgenden Themen umfassen:
Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
Sicherheit in der Entwicklung, Beschaffung und Wartung, Management von Schwachstellen
Bewertung der Effektivität von Cybersicherheit und Risiko-Management
Schulungen Cybersicherheit und Cyberhygiene
Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle und Anlagen-Management
Multi-Faktor Authentisierung und kontinuierliche Authentisierung
Sichere Kommunikation (Sprach, Video- und Text)
Sichere Notfallkommunikation
Konsequenzen der Nichtumsetzung
Konsequenzen der Nichtumsetzung Welche Konsequenzen hat es, wenn Sie die NIS2-Richtlinie nicht umsetzen?
Für die Nichteinhaltung der NIS2-Richtlinie werden Geldbußen erhoben. Die Bußgeldhöhen sind gestaffelt nach Sanktionierungsfall und der Schwere des Vergehens.
Wichtige Organisationen erwartet Geldbußen bis zu 7 Millionen € oder den Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes.
Betreiber kritischer Anlagen oder besonders wichtige Einrichtungen erwartet Geldbußen bis zu 10 Millionen € oder den Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes.
Erfolgreich die NIS2-Richtlinie umsetzen:
Unsere Vorgehensweise
1
Sie sind noch nicht so weit und wollen erst einmal verstehen, worum es bei NIS2 geht und ob sie voraussichtlich pflichtig sind? Dann bieten wir ihnen einen eintägigen Workshop:
- Was ist NIS2 und wie wird es voraussichtlich in Deutschland umgesetzt?
- Ist Ihr Unternehmen voraussichtlich pflichtig?
- Was sind die Mindestanforderungen von NIS2?
- Wo steht Ihr Unternehmen und welche nächsten Schritte müssen angegangen werden?
2
Mit der GAP-Analyse erhalten Sie die Antworten: Was ist mit Priorität 1 und was mit Priorität 2 umzusetzen? Wie viel Ressourcen benötigen Sie voraussichtlich und können Sie das mit internen Ressourcen schaffen? Was ist der Zeitplan? Ist die Anwendung eines ISMS-Standards und eine Zertifizierung sinnvoll oder sogar erforderlich? Und wenn ja, welcher?
3
Zum kontinuierlichen Nachweis der Pflichterfüllung empfehlen wir die Einführung eines an das Unternehmen angepassten Informationssicherheitsmanagementsystems. Gerade für den Mittelstand ist ein Standard wie die ISO27001 zu umfangreich. Daher gehen wir für KMU auf Basis eines wesentlich kleineren Regelwerks vor, das auch extern zertifizierbar ist, nämlich VdS10000.
NIS2-Informationssicherheitssystem
Tipps für den Aufbau eines ISMS:
- Starten Sie frühzeitig
- Planen und führen Sie den Aufbau eines ISMS als Projekt
- Nutzen Sie für die Einführung unser erprobtes Phasenmodell:
Ihre Vorteile
- Vollständige Kostentransparenz und Planungssicherheit
- Erprobte Planung, Management und Umsetzung des Standards
- Erstellung aller erforderlichen Dokumente und Aufzeichnungen
- Interne und externe Schwachstellenanalysen
- Durchführung von Sensibilisierungen zur Informationssicherheit
- Begleitung bis zur externen Zertifizierung
- Übernahme der Funktion des Informationssicherheitsbeauftragten nach Einführung des ISMS
Weitere Informationen zu ISMS und NIS2
NIS2: Infrastrukturen
Erfahren Sie alles Wichtige zur Umsetzung der NIS2-Richtlinie für Ihr KMU. Handeln Sie noch bis Oktober 2024.
FAQ
Was ist die NIS2-Richtlinie und wer ist betroffen?
Was ist die NIS2-Richtlinie und wer ist betroffen? Was ist die NIS2-Richtlinie und wer ist betroffen?
Die NIS2-Richtlinie ist eine EU-Verordnung zur Stärkung der Cybersicherheit. Unternehmen aus kritischen Sektoren wie Energie, Gesundheit und IT mit mehr als 50 Mitarbeitern oder einem Umsatz über 10 Mio. € sind betroffen.
Welche Maßnahmen muss ich zur NIS2-Compliance ergreifen?
Welche Maßnahmen muss ich zur NIS2-Compliance ergreifen? Welche Maßnahmen muss ich zur NIS2-Compliance ergreifen?
Unternehmen müssen Risikomanagement-Strategien, IT-Sicherheitsrichtlinien und Notfallpläne implementieren sowie die Lieferkettensicherheit verbessern.
Welche Frist gilt für die Umsetzung?
Welche Frist gilt für die Umsetzung? Welche Frist gilt für die Umsetzung?
Die Richtlinie muss bis Oktober 2024 umgesetzt sein.
Welche Strafen drohen bei Nichteinhaltung?
Welche Strafen drohen bei Nichteinhaltung? Welche Strafen drohen bei Nichteinhaltung?
Es drohen Geldbußen bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes.
Wie unterstützt Vater IT bei der NIS2-Umsetzung?
Wie unterstützt Vater IT bei der NIS2-Umsetzung? Wie unterstützt Vater IT bei der NIS2-Umsetzung?
Vater IT bietet individuelle Beratung, GAP-Analysen und die Implementierung eines ISMS zur Einhaltung der NIS2-Anforderungen.
Verwandte Themen
Wie dürfen wir Sie unterstützen?
Der direkte Draht
Katja Tessin
Key Account Managerin
Auf Jobsuche?
Sende uns einfach Deine Initiativbewerbung