EU NIS 2 Cyber Security

Neue Pflichten, klare Anforderungen, strukturierte Umsetzung

Mit der EU-Richtlinie NIS2 steigen die Anforderungen an Cyber- und Informationssicherheit für viele Unternehmen deutlich. Betroffen sind deutlich mehr Organisationen als bisher – und die Pflichten gehen weit über technische Maßnahmen hinaus.

Wir unterstützen Sie dabei, die Anforderungen der NIS2 realistisch einzuordnen und strukturiert umzusetzen.

▶ Was ist NIS2?

NIS2 ist der europäische Rechtsrahmen zur Stärkung der Cybersicherheit in der EU. Die Richtlinie ersetzt die bisherige NIS-Direktive von 2016 und wurde 2022 verabschiedet.

Ziel der NIS2 ist es,

• das allgemeine Sicherheitsniveau in der EU zu erhöhen
• Cyberrisiken systematisch zu reduzieren
• Melde- und Nachweispflichten zu vereinheitlichen
• Aufsicht und Sanktionen deutlich zu verschärfen

Die Umsetzung in nationales Recht erfolgt in den EU-Mitgliedstaaten – in Deutschland voraussichtlich im Rahmen des IT-Sicherheitsgesetzes 3.0.

▶ Wer ist von NIS2 betroffen?

Im Vergleich zur bisherigen Regelung erweitert NIS2 den Kreis der betroffenen Unternehmen erheblich.

Betroffen sind insbesondere:

• mittlere und große Unternehmen
  (ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz)
• Unternehmen aus 18 definierten Sektoren
• Teile der öffentlichen Verwaltung
• ausgewählte Betreiber digitaler Infrastrukturen – unabhängig von der Unternehmensgröße

NIS2 unterscheidet zwischen:

• Essential Entities
• Important Entities

Beide Gruppen unterliegen umfangreichen Sicherheits-, Melde- und Nachweispflichten.

▶ Welche Anforderungen stellt NIS2?

Die NIS2-Richtlinie fordert unter anderem:

• Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
• systematisches Risikomanagement
• Berücksichtigung von Lieferketten und Dienstleistern
• klare Verantwortlichkeiten auf Leitungsebene
• Meldepflichten bei Sicherheitsvorfällen
• regelmäßige Überprüfung und Weiterentwicklung der Maßnahmen

Cyber- und Informationssicherheit werden damit zur Managementaufgabe.

▶ Sicherheitsmaßnahmen und Orientierung an Standards

Die Anforderungen der NIS2 orientieren sich an bestehenden Sicherheitsstandards. Für Betreiber kritischer Infrastrukturen dienen insbesondere die Konkretisierungen der Sicherheitsanforderungen des BSI als Referenz.

Für Unternehmen bedeutet das:

• bestehende IT-Sicherheitsmaßnahmen müssen überprüft werden
• Informationssicherheitsprozesse müssen dokumentiert und nachvollziehbar sein
• ein systematischer Ansatz ist erforderlich

Hier ergeben sich direkte Schnittstellen zu:

• IT-Sicherheit
• ISMS / ISA+
• Datenschutz und Compliance-Strukturen

▶ TISAX und NIS2 – sinnvoll kombiniert

Unternehmen mit einer bestehenden TISAX-Prüfung verfügen häufig bereits über eine solide Basis zur Erfüllung der NIS2-Anforderungen.

Die Analyse zeigt:

• wesentliche Anforderungen der NIS2 werden durch TISAX bereits abgedeckt
• bestehende Strukturen können weiterverwendet werden
• zusätzlicher Umsetzungsaufwand reduziert sich deutlich

Für Unternehmen ohne entsprechende Vorarbeiten ist eine strukturierte Bestandsaufnahme besonders wichtig.

▶ Wie wir Sie bei NIS2 unterstützen

Wir begleiten Sie dabei,

• Ihre Betroffenheit nach NIS2 zu prüfen
• bestehende Maßnahmen realistisch einzuordnen
• Sicherheitslücken und Risiken zu identifizieren
• geeignete Maßnahmen abzuleiten
• die Umsetzung strukturiert vorzubereiten

Je nach Ausgangslage kann dies erfolgen durch:

• eine IT-Sicherheitsprüfung
• den Einstieg über ISA+
• den Aufbau oder die Weiterentwicklung eines ISMS

▶ Häufige Fragen zu NIS2

▶ NIS2 strukturiert und realistisch umsetzen

NIS2 stellt neue Anforderungen – bietet aber auch die Chance, Sicherheitsstrukturen nachhaltig zu verbessern. Gerne unterstützen wir Sie dabei, den für Ihr Unternehmen passenden Weg zu finden.

Sprechen Sie uns an – wir beraten Sie sachlich, strukturiert und praxisnah.