Support für NIS2 (NIS2-Umsetzungsgesetz)

Die Anforderungen von NIS2 verstehen, prüfen und umsetzen

Image

WICHTIG

Im Folgenden stellen wir die wichtigsten Punkte vor - ausführlicher erläutern wir NIS2 und alle notwendigen Informationen in unserem NIS2-Guide.

Zu unserem NIS2-Guide

NIS2 kommt ab Oktober 2024 als deutsches Gesetz. Immer noch wissen viele Unternehmen nicht, was dieses Gesetz überhaupt regelt, ob sie davon betroffen sind und was zur Erfüllung der gesetzlichen Pflichten zu tun ist.

Was ist NIS2 überhaupt?

NIS2 ist eine EU-Richtlinie zur Verbesserung des Sicherheitsniveaus von Netzwerk- und Informationssystemen in Unternehmen. Als EU-Richtlinie soll sie bis Oktober 2024 in nationales Recht umgesetzt werden. Das deutsche Gesetz wird „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ oder kurz NIS2UmsuCG heißen.

Was regelt NIS2?

Mit NIS2 soll eine höhere Widerstandsfähigkeit von Unternehmen gegen Gefahren aus dem Cyberraum erreicht werden. Dazu sind in Unternehmen angemessene Cybersecurity-Maßnahmen nach aktuellem Stand der Technik sowie ein angemessenes Niveau der IT- und OT-Sicherheit im Unternehmen umzusetzen.

Beinhaltet sind ausdrücklich nicht nur IT-Maßnahmen, sondern auch wirksame organisatorische Mittel zur Risikominderung und Vermeidung von Betriebsunterbrechungen. Das Gesetz regelt auch die Haftung von Geschäftsführungen und Vorständen für Versäumnisse im Bereich der Cybersicherheit.

Welche Unternehmen sind betroffen?

Ca. 30.000 Unternehmen in Deutschland werden durch das Gesetz in drei verschiedene Kritikalitätsgruppen eingeteilt, die konkreten Anforderungen sind abhängig von der Einordnung. Je höher die Einordnung, desto strenger die Umsetzungsforderungen, vor allem in Hinsicht auf Registrierung und Meldepflichten sowie regelmäßige Nachweise und Überprüfungen.

Deutsche Unternehmen müssen selbständig prüfen, ob das Gesetz für Sie anwendbar ist und entsprechende Maßnahmen ergreifen. Eine Übergangsfrist wird es nicht geben, Unternehmen müssen daher rechtzeitig Maßnahmen beschließen und umsetzen.

Was ist zu tun, wenn ein Unternehmen betroffen ist?

Betroffene Unternehmen müssen ihre Cybersicherheit verstehen und überprüfen, Sicherheitsprozesse einführen oder verbessern, technische und organisatorische Maßnahmen zur Risikominderung und zur Vermeidung von Betriebsausfällen treffen und Notfallpläne erstellen. Der Nachweis ist vor allem durch standardisierte Informationssicherheitsmanagementsysteme (ISMS), ein Business Continuity Mangement (BCM) sowie einem Notfallmanagement zu erbringen. Technische Maßnahmen umfassen vor allem Systeme zur Angriffserkennung (SzA)  durch Einrichtung eines Logmanagements (SIEM), eines Security Monitorings bzw. eines Security Operation Centers (SOC) sowie eines Incident Managements.

Bis wann müssen Unternehmen Maßnahmen umsetzen?

Das Gesetz gilt ab Inkrafttreten, alle darin enthaltenen Pflichten müssen ab diesem Zeitpunkt erfüllt werden. ES gibt, anders als z.B. bei der DSGVO 2016/2018, keine Übergangsfristen. Das Gesetz verlangt von Unternehmen, sich selbst auf Betroffenheit zu prüfen und sich spätestens 3 Monate nach der Identifizierung als betroffenes Unternehmen beim BSI zu registrieren. Ein aktiver Nachweis über die Umsetzung muss lediglich von KRITIS-Betreibern alle 3 Jahre erbracht werden, alle anderen wichtigen und besonders wichtigen Unternehmen werden vom BSI stichprobenartig geprüft. Ob eine solche Prüfung z.B. im Zusammenhang mit der verpflichtenden Meldung nach einem Sicherheitsvorfall stattfindet, kann vorerst nur vermutet werden.

Was kann die Comp4U GmbH für Unternehmen tun?

Über unsere 100%ige Tochter Datiq GmbH beraten wir Unternehmen z.B. im NIS2-Kurzworkshop bei der Einordnung in das NIS2-Gefüge:

  • Ist das Unternehmen überhaupt betroffen?
  • Wie wird es eingestuft?
  • Wie kann der aktuelle Stand der Cybersicherheit ermittelt und dokumentiert werden?
  • Welche Maßnahmen sind in welcher Dringlichkeit umzusetzen?

Die Comp4U GmbH übernimmt als renommierter Cybersecurity-Experte die Beratung und Umsetzung zu allen technischen Maßnahmen.  

Sind Sie auf NIS2 vorbereitet?
Hier sind die wichtigsten Punkte – für Details werfen Sie einen Blick in unseren ausführlichen NIS2-Guide.

Das NIS2-Umsetzungsgesetz verpflichtet ab Inkrafttreten jedes Unternehmen in Deutschland, selbständig zu prüfen, ob eine Betroffenheit vorliegt. Sollte das Unternehmen in einer der drei Kategorien fallen, muss innerhalb von 3 Monaten nach Inkrafttreten eine Registrierung beim BSI durchgeführt werden.

Ab Registrierung müssen die gesetzlichen Pflichten erfüllt werden, eine Übergangsfrist gibt es nicht.

Ihr nächster Schritt zur NIS2-Compliance

fas fa-certificate

Erfüllen Sie die NIS2-Anforderungen reibungslos und ohne Verzögerungen. Comp4U und Datiq begleiten Sie Schritt für Schritt durch den gesamten Prozess. Kontaktieren Sie uns, um die beste Strategie für Ihre Cybersicherheitsanforderungen zu entwickeln und optimal vorbereitet zu sein.

Bitte Eingabe prüfen
Bitte Eingabe prüfen
Bitte Eingabe prüfen
Bitte Eingabe prüfen

Gerne können Sie uns auch anrufen oder eine E-Mail schreiben.

Adresse

Comp4U GmbH
Robert-Bosch-Str. 5
63225 Langen

Fernwartung