SecurityWissensbeitrag

Die NIS-2-Richtlinie ist da – Wir helfen bei der Umsetzung des NIS2UmsuCG

Als Antwort auf die verschärfte Bedrohungslage im Cyberraum hat die EU neue Vorgaben für mehr IT-Sicherheit festgelegt. Das Ergebnis sind die NIS-2-Richtlinie (EU) 2022/2555 sowie das entsprechende deutsche Umsetzungsgesetz (NIS2UmsuCG).

In unserem Q&A erfahren Sie alle wichtigen Fakten dazu:

  1. Was ist NIS-2?
  2. Was ist NIS2UmsuCG?
  3. Wer ist betroffen?
  4. Welche Anforderungen müssen erfüllt werden?
  5. Wie gehen Unternehmen am besten vor?
  6. Welche Unterstützung bietet Ihnen WBS IT-Service?
  7. Was gibt es hinsichtlich der Aktualität des NIS2UmsuCG zu beachten?
  8. Wo liegen die Unterschieden zwischen NIS-2 und der CER-Richtlinie?
Umsetzung der NIS-2 Richtlinie: Jetzt persönlich beraten lassen!

Was ist NIS-2?

Am 16. Januar 2023 trat die NIS-2-Richtlinie (Network and Information Security Directive 2 (EU) 2022/2555) in Kraft. Ihr Ziel ist es, innerhalb der EU für einheitliche, hohe Cybersicherheitsstandards zu sorgen.

Die Ziele der NIS-2-Richtlinie

  • Stärkere Cyberabwehr und IT-Sicherheit
  • Größerer Schutz für Lieferketten
  • Klare Nachvollziehbarkeit durch Meldungen und Berichte
  • Mehr Know-how durch Mitarbeiter- und Geschäftsleitungsschulungen
  • Harmonisierung der EU-weiten Sicherheitsanforderungen

Was ist das NIS2UmsuCG?

In deutsches Recht wird die NIS-2-Richtlinie durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) umgesetzt. Dieses Gesetz tritt im Oktober 2024 in Kraft. Bis dahin müssen alle betroffenen Unternehmen ihre IT-Sicherheitsvorkehrungen so implementiert haben, dass sie das NIS2UmsuCG erfüllen.

 

Wen betrifft das NIS2UmsuCG?

Das neue Gesetz erweitert den Kreis der betroffenen Unternehmen um kleine und mittlere Firmen – anders als vorher müssen nun auch sie die gehobenen Sicherheitsanforderungen erfüllen.

Die Anzahl der KRITIS-Sektoren wird von 10 auf 18 angehoben und die Schwellenwerte für Betreiber kritischer Infrastrukturen gesenkt. Dies hat zu Folge, dass neben den Betreibern kritischer Infrastrukturen mindestens 30.000 Unternehmen in Deutschland von dem NIS2UmsuCG betroffen sein werden.

Gab es bisher die Kategorien kritische Infrastrukturen (KRITIS) und Unternehmen besonderen öffentlichen Interesses (UBI), erfolgt die Einstufung der Adressatengruppen nach dem NIS2UmsuCG nun wie folgt:

Exkurs Healthcare

Viele Krankenhäuser und Unternehmen aus dem Healthcare-Sektor müssen sich nun umstellen. Bisher waren viele von ihnen zu klein, um vom IT-SiG2.0 erfasst zu werden. Nun müssen auch sie die hohen Sicherheitsanforderungen von NIS2UmsuCG erfüllen.

Ihr Unternehmen gilt bisher schon als KRITIS-Betreiber? Dann fällt es automatisch unter die NIS-2-Richtlinie.

*vorher KRITIS – Betreiber kritischer Infrastrukturen

  1. Großunternehmen:
    • ab 250 Beschäftigte oder
    • ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR und
    • Sektor hoher Kritikalität (Anhang I)
      • Energie
      • Verkehr
      • Bankwesen
      • Finanzmarktinfrastruktur
      • Gesundheitswesen
      • Trinkwasser
      • Abwasser
      • Digitale Infrastruktur
      • Verwaltung von IKT-Diensten(B2B)
      • Weltraum
      • Öffentliche Verwaltung
  2. Sonderfälle (größenunabhängig bzw. auch mittlere Größe):
    • qualifizierte Treuhanddienstanbieter (qTSP)
    • Top-Level-Domain-Registries (TLD)
    • Domain Name System-Dienste (DNS)
    • Telekommunikationsanbieter (TK)
    • kritische Anlagen
    • Zentralregierung
  1. Mittlere Unternehmen:
    • ab 50 Beschäftigte oder
    • ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR und
    • Sektor hoher Kritikalität (Anhang I)
      • Energie
      • Verkehr
      • Bankwesen
      • Finanzmarktinfrastruktur
      • Gesundheitswesen
      • Trinkwasser
      • Abwasser
      • Digitale Infrastruktur
      • Verwaltung von IKT-Diensten(B2B)
      • Weltraum
  2. Großunternehmen und mittlere Unternehmen
    • Sonstige kritische Sektoren (Anhang II)
      • Post- und Kurierdienste
      • Abfallbewirtschaftung
      • Chemie
      • Ernährung
      • Verarbeitendes Gewerbe
      • Anbieter digitaler Dienste
      • Forschung
  3. Vertrauensdienste

Dazu gehören unter anderem Stellen des Bundes, öffentliche Unternehmen und Anstalten des öffentlichen Rechts.

Sind Sie betroffen?

Prüfen Sie diese Vorgaben, um einzuschätzen, ob Sie unter das NIS2UmsuCG fallen.
Wenn Sie sich unsicher sind, vertrauen Sie auf unsere Experten und kontaktieren Sie uns!

Wir unterstützen Sie. Sprechen Sie uns an.

Welche Pflichten müssen gemäß NIS2UmsuCG erfüllt werden?

Um eine starke Cybersecurity gewährleisten zu können, gibt der Gesetzgeber mit dem NIS2UmsuCG umfassende Anforderungen vor. Hier können wir nur die wichtigsten Pflichten kurz darstellen. Genauere Informationen erhalten Sie bei einem Beratungsgespräch mit unseren IT-Sicherheitsexperten oder einer individuellen Rechtsberatung bei einem Fachanwalt.

  • Registrierung beim BSI innerhalb von 3 Monaten
  • Regelmäßiger Nachweis über Umsetzung der Sicherheitsmaßnahmen
  • Verschiedene Meldungen beim BSI bei Sicherheitsvorfällen (Erstmeldung innerhalb von 24 Sunden, Detailmeldung innerhalb von 72 Stunden, Abschlussmeldung)
  • Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
  • Wirksamkeitsbewertung der Maßnahmen
  • Konzept zur Bewältigung von Sicherheitsvorfällen (Incident-Management)
  • Business-Continuity (z. B. Backup-Management) und Krisenmanagement
  • Sicherheit der Lieferkette
  • gesicherte Notfallkommunikation
  • Schulungen für Mitarbeiter und Geschäftsführung zur Cybersicherheit
  • Zugriffskontrolle
  • Datensicherung
  • Konzepte für Kryptografie und Verschlüsselung
  • Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung

Was sind die Konsequenzen bei Nichterfüllung?

  1. Empfindliche Geldstrafen: 10 Mio. EUR oder 2 % des Gesamtumsatzes (KRITAN und besonders wichtige Unternehmen) bzw. max. 7 Mio. EUR 1,4 % des Gesamtumsatzes (wichtige Unternehmen)

  2. Erhöhtes Risiko für Cyberangriffe und Betriebsstörungen bzw. -ausfälle

Wie gehen Unternehmen am besten vor?

Für eine erfolgreiche und effiziente Umsetzung des NIS2UmsuCG empfehlen wir die folgenden Schritte:

01

Klärung: Bin ich vom NIS2UmsuCG betroffen?

02

Gap-Analyse: Wo stehe ich und welche Maßnahmen müssen zur Erfüllung der Anforderungen noch umgesetzt werden?

03

Umsetzung: Erstellung der erforderlichen Konzepte und Implementierung bzw. Durchführung der einzelnen Sicherheitsmaßnahmen

04

Regelmäßige Wirksamkeitsprüfungen: Erfüllen die Maßnahmen die gesetzlichen Vorgaben bzw. ihre Aufgaben? Wenn nicht, erfolgen Korrektur- und Aktualisierungsmaßnahmen.

Wie unterstützt Sie WBS IT-Service bei der Umsetzung?

Rundum-Service oder nur einzelne Komponenten – wir unterstützen Sie ganz nach Ihrem Bedarf und Wunsch.

Unsere Services für die Umsetzung der NIS-2-Richtlinie

Betroffenheit ermitteln:
Gemeinsam klären wir, ob Sie vom NIS2UmsuCG betroffen sind.

Meldeverfahren einrichten:
Gemeinsam legen wir Meldeverfahren an und unterstützen Sie bei Ihrer Registrierung beim BSI.

Security-Check:
Gemeinsam evaluieren wir, inwieweit Sie die Gesetzesvorgaben bereits erfüllen und welche Lücken noch bestehen.

Maßnahmenplan:
Wir erstellen einen Maßnahmenplan zur Absicherung Ihrer Geschäftskontinuität und Stärkung Ihrer Cybersicherheit.
Gern unterstützen wir Sie auch bei der Umsetzung.

Monitoring:
Wir überprüfen regelmäßig die Wirksamkeit Ihrer implementierten Maßnahmen und korrigieren diese bei Bedarf.

Ihre Vorteile von einer Zusammenarbeit mit uns

  • Alles aus einer Hand: Beratung, Strategie, Umsetzung
  • Erfahrung mit KRITIS-Projekten
  • ganzheitlicher 360°-Security-Ansatz
  • Gesetzeskonformität und Compliance-Bewusstsein
  • WBS Service Desk mit 24/7 Bereitschaft
  • Security Operations Center by WBS IT-Service
  • Zertifiziert nach DIN EN ISO 9001:2015, DIN EN ISO 14001:2015, ISO/IEC 27001:2022 und ISO/IEC 27017:2021

Was gibt es hinsichtlich der Aktualität des NIS2UmsuCG zu beachten?

Das deutsche Umsetzungsgesetz zur NIS-2-Richtlinie (NIS2UmsuCG) befindet sich noch in Arbeit, soll aber im März 2024 verkündet werden. Zwischenzeitliche Entwürfe werden regelmäßig überarbeitet, sodass es bisher mehrmals zu Änderungen am ursprünglich vorgeschlagenen Gesetzestext gekommen ist und auch weiterhin kommen kann.

 

Die CER-Richtlinie und das KRITIS-Dachgesetz

Es gibt außerdem die CER-Richtlinie, deren Umsetzung durch das KRITIS-Dachgesetz erfolgt. Dieses tritt ebenfalls im Oktober 2024 in Kraft.

Wo liegen die Unterschiede zum NIS2UmsuCG? Erfahren Sie hier mehr.

 

Fazit: NIS2 ist da und duldet keinen Aufschub - jetzt gilt es zu handeln!

* ist Pflichtfeld

Hiermit bestätigen Sie, dass Sie die Datenschutzerklärung und Informationen zur Datenverarbeitung gelesen haben und damit einverstanden sind, dass die von Ihnen angegebenen personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie der Datenschutzerklärung der WBS IT-Service GmbH verarbeitet werden.

Sie bestätigen, dass WBS IT-Service GmbH per E-Mail mit Ihnen in Kontakt treten darf. Dieser Einwilligung können Sie widersprechen, indem Sie eine Mail mit dem Betreff "Datenschutz Widerspruch" an marketing@wbs-it.de senden.

Disclaimer: Der Stand der Informationen entspricht dem dritten Referentenentwurf von September 2023. Hiermit wird die Haftung für die Richtigkeit, Vollständigkeit und Aktualität der auf dieser Website bereitgestellten Informationen ausgeschlossen. Die zur Verfügung gestellten Informationen dienen lediglich Ihrer Information und ersetzen keine individuelle juristische Beratung.

Zurück