Beratung zu NIS-2

NIS-2 die neue Norm für Cybersicherheit – wir beraten auf dem Weg zur Konformität.

Kostenlose Erstberatung buchen

Beratung zu NIS-2 mit Nextwork

Icon 100%

100% Erfolgsquote

Seit 2016 führen wir 2 bis 3 Informationssicherheits-Projekte im Monat durch. Unsere Erfolgsquote: 100%

Icon Daumen hoch

Ganzheitliche Optimierung

Nextwork unterstützt Unternehmen dabei, Cybersicherheit in allen Bereichen der Organisation zu etablieren.

Icon ganzheitliche Optimierung

Umfassende, aktuelle Beratung

Wir sind immer auf dem neuesten Stand und beraten dich zu sämtlichen Belangen rund um Informationssicherheit.

Icon Auszeichnung mit Haken

Zertifizierung

Nextwork hat selbst eine Zertifizierung für Informationssicherheit.

Was ist NIS-2?

Die Häufigkeit von Cyberattacken auf kritische Infrastruktur hat in den letzten Jahren enorm zugenommen. Die EU möchte dem mit der NIS-2 entgegenwirken – sie soll bis Herbst 2024 in den Mitgliedsstaaten umgesetzt werden. Betroffene Unternehmen und Organisationen haben jetzt Handlungsbedarf.

 

NIS-2 ist eine Abkürzung für “The Network and Information Security Directive”. Der für Deutschland geltende Gesetzesentwurf des Bundesinnenministeriums existiert seit Juli 2023 und ist bekannt als NIS-2-Umsetzungs- und Cybersicherheitstärkungsgesetz (NIS-2UmsuCG).

Für wen ist NIS-2 verpflichtend?

Im Vergleich zur vorherigen Richtlinie NIS-1, sind mehr Unternehmen und auch mehr Branchen betroffen. In Deutschland handelt es sich um schätzungsweise bis zu 40.000 Unternehmen, darunter neu auch etwa Onlinemarktplätze, Lebensmittelversorger oder Insurance-Startups. Folgende Tabelle zeigt die neuen Schwellenwerte für Deutschland nach dem NIS-2UmsuCG.

WP Data Tables

Mehr Informationen, ob dein Unternehmen oder deine Branche betroffen sind, erfährst du hier:

Glossary Beitrag zu NIS-2

NIS-2 - Die Anforderungen

Die Anforderungen, die NIS-2 an betroffene Unternehmen stellt, sind deutlich verschärft. Die wichtigsten haben wir hier in Kürze für dich vorbereitet. Eine ausführlichere Fassung findest du ebenfalls in unserem Compliance Glossary unter NIS-2.

Einordnung:
Unternehmen und Organisationen müssen sich zukünftig selbst in Anlagen und Sektoren einordnen. Jede Unterteilung unterliegt anderen Anforderungen.

Informationssicherheit:
Die Anforderungen, die NIS-2 an Informationssicherheit stellt, betreffen nicht nur das Unternehmen selbst, sondern die gesamte Lieferkette inklusive Dienstleistenden und Zuliefernden.

Risikoanalyse:
Organisationen müssen im Rahmen einer Risikoanalyse sämtliche Unternehmensrisiken systematisch analysieren und Schwachstellen aufspüren und eliminieren.

Meldepflicht:
Sämtliche sicherheitsrelevante Vorfälle müssen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Außerdem muss eine Kontaktstelle für Notfälle und Kontaktaufnahme durch das BSI eingerichtet werden.

Verschärfung der Sanktionen:
Je nach Unternehmensgröße und Einordnung können die Bußgelder bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes, bzw. 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes betragen. Dazu kann die Führungsebene der jeweiligen Organisation persönlich haftbar gemacht werden, sollten die Maßnahmen nicht umgesetzt werden können.

Beratung zu NIS-2 - der Ablauf

Illustration verschiedene Devices

Schritt 1: Gap-Analyse

Der Start eines Beratungsprozesses für Organisationen, die NIS-2 konform werden wollen, ist eine Gap-Analyse. Mit dieser Analyse überprüfen wir aktuelle Prozesse zu Cybersecurity, Informationssicherheit und den Stand des ISMS.
Dafür werfen wir einen Blick in die Prozesse aller Abteilungen, aber auch auf die Lieferkette. Auf Basis dieser Ergebnisse werden die Maßnahmen für die weiteren Schritte festgelegt.

Mehr über die Gap-Analyse erfahren

Schritt 2: Maßnahmenplan

Alle Maßnahmen werden gesammelt und anschließend in einem Maßnahmenplan nach Dringlichkeit und Aufwand klassifiziert.

Schritt 3: ISMS Implementierung

Im nächsten Schritt implementieren wir gemeinsam das ISMS. Dafür müssen häufig Veränderungen auf diesen drei Ebene vorgenommen werden:

  • Organisatorisch: Prozesse und Organisationsstrukturen müssen eventuell angepasst werden, um Informationssicherheit in allen Bereichen des Unternehmens durchzusetzen.
  • Baulich: In einigen Fällen sind bauliche Veränderungen notwendig, beispielsweise wenn es um den Zugang zu Serverräumen geht, die nur von befugten Personen betreten werden sollen.
  • Technisch: Auch die Software kann Lücken in Sachen Informationssicherheit und NIS-2 aufweisen, deshalb muss auch hier in einigen Fällen an einer gesetzeskonformen Lösung gearbeitet werden.

Schritt 4: Prüfung durch unabhängigen Prüfdienstleister

NIS-2 ist zwar keine Zertifizierung, aber betroffene Organisationen unterliegen dennoch einer Nachweispflicht. Diese kann erfüllt werden, indem die branchenüblichen Standards, wie die ISO 27001, TISAX® oder der BSI Grundschutz erfüllt sind. Wenn dann noch die zusätzlichen NIS-2 Anforderungen erfüllt werden, ist das Unternehmen auf der sicheren Seite.

„Die NIS-2-Richtlinie modernisiert den bestehenden Rechtsrahmen, um den Anforderungen durch die Digitalisierung und der sich ständig wandelnden Bedrohung durch Cyberkriminalität gerecht zu werden. Mit unserer Expertise in Informationssicherheit, Cybersecurity und IT-Sicherheit sowie unserer umfassenden Erfahrung in Informationssicherheits-Zertifizierungen unterstützen wir euch dabei, die NIS-2- Anforderungen zu erfüllen und eurer Nachweispflicht nachzukommen.“

Philipp Brändl
Co-CEO, Nextwork

Kostenlose Erstberatung buchen

FAQ

Was ist ein ISMS?

ISMS ist die Abkürzung für Informationssicherheitsmanagementsystem. Es handelt sich allerdings nicht nur um eine Software, sondern um ein komplexes Konstrukt aus Prozessen, Strukturen und Verfahren. Ziel ist, Informationssicherheit zu definieren und kontinuierlich zu verbessern. Mehr Informationen findest du in unserem Artikel zum ISMS.

Was kostet die Beratung zu NIS-2?

Die Kosten einer Beratung zu NIS-2 variieren je nach Unternehmensgröße, Komplexität und Stand des bisherigen ISMS. Die Beratungsleistung mit Nextwork startet bei 50 Tagen.

Was ist der Unterschied zu TISAX?

TISAX ist ebenfalls ein Standard für Informationssicherheit, allerdings spezifisch für die Automobilindustrie. Beim Trusted Information Security Assessment Exchange geht es neben der Verarbeitung von vertraulichen Informationen auch um Datenschutz und Prototypenschutz. TISAX ist noch kein weltweit anerkannter Standard, es gibt auch weitere Unterschiede was Prüfdienstleister und Rezertifizierung angeht. Alle Gemeinsamkeiten und Unterschiede von TISAX und ISO 27001 findest du hier.