SIND SIE BEREIT FÜR DIE NEUE NIS-2 RICHTLINIE?

Die NIS-2 Richtlinie setzt neue Maßstäbe in der Cybersicherheit: Mit den geplanten gesetzlichen Anforderungen werden ca. 30.000 Unternehmen erstmals dazu verpflichtet, umfassende Sicherheitsmaßnahmen umzusetzen, um ihre Netzwerke und Informationssysteme zu schützen.

Von einem Risikomanagementsystem über Angriffserkennungen bis hin zu strengen Meldepflichten – die Anforderungen zielen auf ein einheitliches, hohes Sicherheitsniveau in der EU ab. Setzen Sie jetzt auf Resilienz und Sicherheit, um empfindliche Strafen und Risiken zu vermeiden.

UNTERNEHMEN IM VISIER: RISIKEN IM CYBERRAUM

Täglich werden sensible Informationen ausgetauscht, die Risiken im Cyberraum ausgesetzt sind. Ob Mittelstand oder global agiernde Konzerne - jedes Unternehmen ist ein potenzielles Ziel für Cyberkriminelle. 

DIE NIS-2-RICHTLINIE: WIE SIE MIT GKK IHRE IT-SICHERHEIT VERBESSERN

Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die in nationales Recht überführt werden muss. In Deutschland gibt es bereits einen Gesetzesentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie, dessen Inkrafttreten für März 2025 vorgesehen ist.

Durch die NIS-2-Richtlinie werden die Cybersicherheitsanforderungen für eine Vielzahl von Unternehmen erweitert, um in den Mitgliedstaaten das Sicherheitsniveau zu erhöhen und zu vereinheitlichen.

Die Nichtbeachtung der geforderten Maßnahmen kann Bußgelder für die Gesellschaft und Haftungsansprüche gegen die Geschäftsführung zur Folge haben. 

Die NIS-2 Richtlinie kommt

Wie Sie mit GKK Ihre IT-Sicherheit verbessern!

Hier geht's zum GKK NIS-2 Erstgespräch

WELCHE UNTERNEHMEN SIND BETROFFEN?

UNTERNEHMEN WELCHER SEKTOREN SIND BETROFFEN?
Anlage 1: Sektoren besonders wichtiger und wichtiger Einrichtungen Anlage 2: Sektoren wichtiger Einrichtungen
Energie Transport und Verkehr (Teilsektor Post- und Kurierdienste)
Transport und Verkehr Abfallbewirtschaftung
Finanzwesen Produktion, Herstellung und Handel mit chemischen Stoffen
Gesundheit Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Wasser (einschl. Abwasser) Verarbeitendes Gewerbe/ Herstellung von Waren 
Digitale Infrastruktur Anbieter digitaler Dienste
Weltraum Forschung

 

UNTERNEHMEN WELCHER GRÖSSE SIND BETROFFEN?
  • Besonders wichtige Einrichtung: Unternehmen, das einer Einrichtungart in Anlage 1 zuzuordnen ist

     

    • mindestens 250 Mitarbeiter oder
    • Jahresumsatz > 50 Mio. € und Jahresbilanzsumme > 43 Mio. €

     

  • Wichtige Einrichtung: Unternehmen, das einer Einrichtungsart in Anlage 1 oder 2 zuzordnen ist

     

    • Mindestens 50 Mitarbeiter oder
    • Jahresumsatz > 10 Mio. € und Jahresbilanzsumme > 10 Mio. €

     

  • Betreiber kritischer Anlagen (bisher Kritische Infrastrukturen): Festlegung über Schwellenwerte per Rechtverordnung (wie bisher) 

     

    • sind grundsätzlich auch besonders wichtige Einrichtungen

     

 

WELCHE ANFORDERUNGEN BESTEHEN?

Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Maßnahmen Risikomanagement (§ 30)

Implementierung eines geeigneten und dem Stand der Technik entsprechenden Risikomanagementsystems

Registrierungspflicht (§ 33)

Verpflichtende Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI)

Meldepflichten (§ 32)

Meldung von Sicherheitsvorfällen an das Bundesamt

Unterrichtungspflichten (§ 35)

Bei erheblichen Sicherheitsvorfällen kann das Bundesamt anordnen, die Empfänger ihrer Dienste zu unterrichten

Governance Leitungsorgane (§ 38)

Implementierung von geeigneten Governance Prozessen für die Einhaltung und Überwachung von getroffenen Maßnahmen

UNSER ANGEBOT

Betroffenheitsanalyse

Wir identifizieren die betroffenen Unternehmensbereiche und Geschäftseinheiten und definieren den relevanten Umfang der NIS-2-Anforderungen für Ihr Unternehmen.

GAP-Analyse

Die NIS-2-Gap-Analyse bewertet, wie gut Ihr Unternehmen auf die kommenden Anforderungen vorbereitet ist und welche Schritte noch notwendig sind, um vollständig compliant zu werden.

NIS-2 Governance

Wir sorgen für eine effiziente Steuerung und Koordination der NIS-2-Maßnahmen, damit Ihr Unternehmen die Anforderungen schnell und effektiv erfüllt.

NIS-2 Umsetzung

Wir begleiten Sie bei der erfolgreichen Umsetzung der NIS-2-Richtlinie und stellen sicher, dass alle notwendigen Maßnahmen und Anforderungen effektiv implementiert werden.

Berichterstattung

Wir gestalten einen maßgeschneiderten Prozess für die Berichterstattung an die Aufsichtsbehörde und integrieren ihn in Ihre bestehenden Vorfalls- und Krisenmanagement-Systeme.

Workshops & Schulungen

Wir bieten praxisnahe Schulungen und Workshops mit interdisziplinären Experten, um Ihr Team bestmöglich auf die NIS-2-Richtlinie vorzubereiten.

FAQ zum Thema Cyber-Security

Was verbirgt sich hinter der NIS-2-Richtline?

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) wurde von der Europäischen Union eingeführt, um ein hohes gemeinsames Niveau an Cybersicherheit innerhalb der EU (auf Länderebene) zu gewährleisten. Sie ersetzt die bisherige NIS-Richtlinie (Richtlinie (EU) 2016/1148) und trägt den gestiegenen Anforderungen durch die zunehmende Digitalisierung und wachsenden Bedrohungen aus dem Cyberraum Rechnung. Die Mitgliedstaaten sind verpflichtet, die Vorgaben der NIS-2-Richtlinie in nationales Recht umzusetzen. In Deutschland erfolgt dies durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Welche Unternehmen sind davon betroffen?

Die NIS-2-Richtlinie betrifft Unternehmen, die als "besonders wichtige Einrichtungen" und "wichtige Einrichtungen" eingestuft werden, sowie Betreiber kritischer Infrastrukturen (KRITIS). Die betroffenen Unternehmen und Organisationen werden anhand bestimmter Kriterien und Schwellenwerte definiert. Die NIS-2-Richtlinie richtet sich primär an mittelständische und große Unternehmen aus kritischen und wichtigen Sektoren. Diese müssen ihre Cybersicherheitsvorkehrungen erheblich verbessern und strengere Anforderungen erfüllen.

Sind im aktuellen Gesetzesentwurf Übergangsfristen vorgesehen?

Nein, im bestehenden Gesetzesentwurf sind keine Übergangsfristen vorgesehen.

Wie können Unternehmen überprüfen, ob sie von der NIS-2-Richtlinie betroffen sind?

Eine Ersteinschätzung kann mit Hilfe des Betroffenheitschecks vom BSI vorgenommen werden. Dieser liefert jedoch keine finale Bewertung für die NIS-2 Betroffenheit. Unsere Experten unterstützen Sie bei der Durchführung einer NIS-2 Betroffenheitsanalyse.

Welche Anforderungen müssen umgesetzt werden, wenn die Kriterien erfüllt sind?

Abhängig von der jeweiligen Einrichtung sind angemessene technische und organisatorische Maßnahmen (Stand der Technik) z. B. in Form eines Risikomanagementsystems umzusetzen.

Muss ein Nachweis erbracht werden, wenn ein Unternehmen nicht unter die NIS-2-Regelung fällt?

Ja, Unternehmen können verpflichtet werden, nachzuweisen, dass sie nicht von der NIS-2-Richtlinie betroffen sind, insbesondere wenn Zweifel an ihrer Einordnung bestehen. Wir empfehlen eine angemessene Dokumentation der Betroffenheitsanalyse zu erstellen. Gerne unterstützen wir Sie bei der Analyse und anschließenden Dokumentation.

Mit welchen Sanktionen müssen Unternehmen rechnen, wenn die NIS-2-Anforderungen nicht bzw. nicht vollständig umgesetzt werden?

Unternehmen, die ihre Pflichten im Rahmen der NIS-2-Richtlinie nicht erfüllen, müssen mit erheblichen Sanktionen rechnen. Diese können sowohl finanzielle Strafen als auch andere rechtliche und organisatorische Konsequenzen umfassen:

1. Finanzielle Bußgelder

  • Besonders wichtige Einrichtungen: Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes des Vorjahres, je nachdem, welcher Betrag höher ist​.
  • Wichtige Einrichtungen: Bußgelder von bis zu 7 Mio. Euro (wenn Umsatz > 500 Mio. Euro) oder 1,4 % des weltweiten Jahresumsatzes des Vorjahres, je nachdem, welcher Betrag höher ist​.

2. Haftung der Geschäftsleitung

  • Die Geschäftsleitung ist verpflichtet, Maßnahmen zur Cybersicherheit umzusetzen und zu überwachen. Bei Verstößen kann sie persönlich haftbar gemacht werden.
  • Dies umfasst sowohl finanzielle Konsequenzen (z. B. Schadensersatz aus dem Privatvermögen) als auch rechtliche Verantwortlichkeit​.

3. Weitere Sanktionen

  • Anordnungen und Auflagen: Behörden können Anordnungen erlassen, um Verstöße zu beheben oder Maßnahmen zu erzwingen.
  • Einschränkung des Geschäftsbetriebs: In schwerwiegenden Fällen können behördliche Maßnahmen den Geschäftsbetrieb beeinträchtigen.
  • Image- und Reputationsschäden: Sicherheitsvorfälle oder die Nichteinhaltung gesetzlicher Vorgaben können das Vertrauen von Kunden und Partnern beeinträchtigen.

4. Mögliche zusätzliche Konsequenzen

  • Rechtsstreitigkeiten: Betroffene Dritte könnten bei nachgewiesener Fahrlässigkeit Schadensersatzansprüche geltend machen.
  • Zivilrechtliche Folgen: Vertragsstrafen bei Verstößen gegen vertraglich vereinbarte Sicherheitsstandards, etwa in der Lieferkette, sind möglich.
KARRIERE
Scroll down Scroll down