Verschaffen Sie sich Klarheit
mit dem kostenlosen
NIS2-Assessment
Gilt mein Unternehmen gemäß NIS2-Richtlinie ab Oktober 2024 als wesentliche oder wichtige Einrichtung?
Welche gesetzlichen Anforderungen muss ich erfüllen? Wie setze ich sie nachhaltig und effizient um?
Mithilfe unseres kostenlosen NIS-2-Assessments erfahren Sie, ob Ihr Unternehmen betroffen sein könnte.
Die NIS2-Vorgaben werden proaktiv und regelmäßig von Behörden geprüft. Bereiten Sie sich mit uns rechtzeitig darauf vor.
Die NIS2-Richtlinie (Netzwerk und Informationssysteme) ist ein Rechtsakt, in dem ein von den EU-Ländern zu erreichendes Ziel festgelegt wird, das Mindestanforderungen an die Cybersicherheit definiert. NIS2 ist seit dem 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von den Mitgliedsstaaten in nationales Recht umgesetzt werden.
Die NIS2-Richtlinie hat das übergeordnete Ziel, die Cybersicherheit in der Europäischen Union zu stärken und an die sich ständig verändernde digitale Landschaft und Cyberbedrohungen anzupassen. Es müssen eine Reihe von Maßnahmen implementiert und deren Wirksamkeit nachgewiesen werden. Damit einher gehen Sanktionen bei Verstößen bzw. der Nichteinhaltung. Die Geschäftsleitung wird in die Haftung genommen.
Der Geltungsbereich wurde im Vergleich zur NIS1 durch die NIS2-Richtlinie stark erweitert. Anstatt der aktuell ca. 3.000 betroffenen Unternehmen werden voraussichtlich etwa 30.000 Unternehmen in den neuen Geltungsbereich fallen, u. a. folgende Unternehmen aus dem Sektor „Industrie (Herstellung)“ werden erstmals von der NIS2 erfasst als sogenannte wichtige Einrichtungen:
Durch Einbeziehung der Lieferkette können auch Lieferanten dieser Einrichtungen betroffen sein.
Erfahren Sie, wie Sie als Geschäftsführer die Cyberreslienz in Ihrem Unternehmen erhöhen, um die neuen gesetzlichen Pflichten durch NIS2 erfüllen zu können.
Wir unterstützen mittelständische Produktionsunternehmen, die gesetzlichen Anforderungen zu erfüllen, ohne dabei die Organisation im Kerngeschäft zu belasten. Mit unserem erprobten Konzept verhelfen wir Ihnen zu einem NIS2-konformen Betrieb der IT- und OT-Security in den Bereichen Organisation/Prozesse, Technik und Mensch.
Starten Sie jetzt mit unserem kostenlosen NIS2- Assessment. Wir begleiten Sie von der Frage der Betroffenheit bis zur NIS2-Umsetzung und dem Betrieb. Dadurch können Sie sämtliche Anforderungen der Richtlinie gewissenhaft erfüllen und bleiben auf der sicheren Seite. Durch eine frühe Umsetzung der NIS2-Vorgaben reduzieren Sie die Angriffsfläche für Cyberangriffe und schaffen ein einheitliches Sicherheitsniveau in Ihrem Unternehmen.
Unser oberstes Ziel ist, dass Sie mit unserer Leistung zufrieden sind. Wir sind überzeugt, dass wir nur mit zufriedenen Kunden nachhaltig erfolgreich sind. Daher gilt folgendes Versprechen: Sollten Sie mit unserer NIS2-Dienstleistung trotz Umsetzung der empfohlenen Maßnahmen nicht zufrieden sein, zahlen Sie diesen Service einfach nicht!
„Das NIS2-Assessment war für uns ein idealer Einstieg in das Thema. BREKOM hat sehr intensiv alle Anforderungen und unsere Randparameter beleuchtet. Wir haben lange diskutiert und abgewogen, welcher Weg für uns optimal ist: „make or buy“. Schließlich ist die Entscheidung für einen Mittelweg gefallen. Einen Großteil der operativen, technischen Aufgaben bearbeiten wir intern und BREKOM unterstützt uns in der organisatorischen Sicherheit mit regelmäßigen Audits.“
IT-Leiter eines mittelständischen Produktionsunternehmens
Die Durchführung des NIS2-Assessments erfolgt Remote per Online-Meeting und dauert ca. 90 Minuten. Sie erfolgt anhand eines Fragebogens bzw. Checkliste in strukturierter Interviewform.
Das Thema NIS2 ist komplex. Mittelständische Unternehmen müssen sich um ihr Kerngeschäft kümmern und haben wenig Zeit, Lust und Know-how, sich zusätzlich noch mit diesem Thema zu beschäftigen.
Aber: Aufschieben ist keine Option, denn es gibt gesetzliche Fristen und empfindliche Strafen.
Wir sind Ihr Partner, um das Thema „NIS2“ einfach zu lösen. Unsere Experten evaluieren, ob Ihr Unternehmen von der NIS2 betroffen sein könnte und legen gemeinsam mit Ihnen die weitere Vorgehensweise fest.
Das NIS2-Assessment beantwortet folgende Fragen:
NIS2 ist die Abkürzung für „Network Information Security“ und ist eine Richtlinie, die sich auf die Sicherheit von Informationsnetzwerken bezieht. Es baut auf dem ursprünglichen NIS-Framework auf und hat das Ziel, die Cybersicherheit durch ergänzende Sicherheitsmaßnahmen in der EU zu stärken.
In Deutschland liegt für das neue NIS2-Gesetz bereits ein 3. Referentenentwurf als NIS2UmsuCG vor. In der Europäischen Union wurde Anfang 2023 die neue NIS2-Richtlinie (EU 2022/2555) verabschiedet. Alle Mitgliedsstaaten werden darin verpflichtet, NIS2 durch nationale Gesetzgebung zu einem verbindlichen Mindeststandard zu erheben. In Deutschland wird das NIS2-Gesetz voraussichtlich im Oktober 2024 in Kraft treten.
Mit der Digitalisierung und Automatisierung von Infrastruktur und Produktion steigern Unternehmen ihre Effizienz und schaffen neue Potenziale. Die Transformation von Informationstechnologie und operational Technologie (OT) hat sich in den zurückliegenden Jahren noch deutlich beschleunigt, nicht zuletzt durch die Corona-Pandemie.
Parallel zum Digitalisierungsgrad haben Angriffe auf Produktion und Infrastruktur in den vergangenen Jahren deutlich zugenommen. Der Russland-Ukraine-Krieg hat uns im Jahr 2022 erneut vor Augen geführt, dass die Cybersicherheitslage im europäischen Raum angespannt ist. Schon vorher gab es Anlass, die Sicherheit der europäischen Netz- und Informationssysteme und mögliche Gefahren für das Funktionieren des europäischen Binnenmarkts zu überprüfen. Vor diesem Hintergrund haben der Rat und das Europäische Parlament im Dezember 2022 die Network-and-Information-Security-Richtlinie (NIS2-Richtlinie) verabschiedet und damit eine Reform der gesetzlichen Anforderungen an die IT-Sicherheit im europäischen Raum in Gang gesetzt.
Das Ziel der EU-Richtlinie ist die Stärkung der Cyber-Resilienz kritischer und wichtiger Infrastrukturen in den Mitgliedsländern. Konkret gemeint ist damit die Fähigkeit von Unternehmen, Cyberangriffen und -vorfälle vorbeugen und sie abwehren zu können.
Unter die neue Richtlinie NIS2 fallen Unternehmen und Institutionen, die als Sektoren kritischer Infrastrukturen gelten, wenn sie mindestens 50 Beschäftigte und mindestens 10 Mio. EUR Jahresumsatz aufweisen. Einige wichtige Einrichtungen fallen unabhängig von ihrer Größe unter die Regulierung (z. B. KRITIS). Es wird bei den 18 betroffenen Sektoren in wesentliche und wichtige Einrichtungen unterschieden.
Als Lieferant eines NIS-Unternehmens können Sie auch indirekt von NIS2 betroffen sein. Denn die Richtlinie schreibt KRITIS-Betreibern sowie besonders wichtigen und wichtigen Einrichtungen der 18 betroffenen Sektoren vor, dass sie die Cybersecurity in Ihrer Lieferkette berücksichtigen müssen. Wer weiterhin Aufträge erhalten will, muss davon ausgehen, dass Diskussionen zur Cybersicherheit in Vertragsverhandlungen künftig zur Normalität werden.
Grundsätzlich unterliegen wesentliche und wichtige Einrichtungen nach NIS2 den gleichen Sicherheitsanforderungen. Allerdings schreibt die Richtlinie auch eine Anpassung der Risikomanagementmaßnahmen an die Größe einer Einrichtung, die Wahrscheinlichkeit eines Vorfalls und die zu erwartenden Folgen für Wirtschaft und Gesellschaft vor. Die Maßnahmen müssen verhältnismäßig und angemessen sein. Daraus ergeben sich in der Praxis unterschiedliche Anforderungen für Einrichtungen in verschiedenen Sektoren.
Darüber hinaus gibt es in NIS2 Unterschiede zwischen wesentlichen und wichtigen Einrichtungen hinsichtlich der behördlichen Befugnisse zur Durchsetzung der Richtlinie. Wesentliche Einrichtungen unterliegen strengerer Aufsicht: Während externe Kontrollen bei wichtigen Einrichtungen nur nach einem Sicherheitsvorfall vorgesehen sind, können Prüfungen in wesentlichen Einrichtungen regelmäßig, gezielt und ad-hoc erfolgen.
Nach Vorschriften der NIS2-Richtlinie müssen sich alle betroffenen Unternehmen bei der nationalen Behörde registrieren. Das genaue Vorgehen wird im deutschen NIS2UmsuCG definiert.
Der Geschäftsführer muss die Umsetzung der notwendigen NIS2-Maßnahmen genehmigen und überwachen. Er muss an Cybersicherheits-Schulungen teilnehmen. Die Geschäftsführung kann persönlich haftbar gemacht werden für sämtliche Schäden, die durch Missachtung der Pflicht zum Cyberrisikomanagement entstehen.
Die Geschäftsleitung wird in den meisten Fällen die Aufgabe an die IT-Leitung delegieren. Diese steht dann vor der Herausforderung, die NIS2-Richtlinie gesetzkonform umzusetzen. Dazu zählen neben Cyberrisikomanagement u. a. Backup-Management, Incident-Management, Konzepte und Verfahren für den Einsatz von Kryptographie sowie Zugriffskontrollen und Identitätsmanagement.
Für das Cyberrisikomanagement müssen IT-Security-Verantwortliche in der Lage sein, der Geschäftsleitung jederzeit verständlich darzulegen, wie der aktuelle Risiko-Status aussieht, welche Risiken am dringlichsten sind und welche Maßnahmen das Unternehmen ergreifen sollte. Cyberrisikomanagement muss kontinuierlich erfolgen, da sich die Angriffsfläche und das Bedrohungsumfeld ständig ändern.
Für Geschäftsführer und Entscheider ist es wichtig, sich rechtzeitig auf die Einführung der NIS2-Richtlinie vorzubereiten.
Sie sollten folgende Punkte berücksichtigen:
Budgetierung: Die Umsetzung entsprechender Maßnahmen ist mit finanziellem Aufwand verbunden. Wenn Sie sich für einen rechtzeitigen Start zur Vorbereitung Ihrer IT-Infrastruktur auf NIS2 entscheiden, haben Sie Spielraum bei der Planung und Budgetierung.
Fachkräftemangel: Gemäß Angebot und Nachfrage ist klar, dass qualifizierte IT-Dienstleister entweder schwer verfügbar sind oder der hohe Bedarf an Fachpersonal zur Umsetzung von NIS2 für eine Kostensteigerung im entsprechenden Dienstleistungssektor sorgen wird. Beugen Sie hohen Kosten, Termindruck und Fachkräftemangel durch eine frühzeitige Planung und Umsetzung vor.
Informieren Sie sich über die NIS2-Richtlinie: Lesen Sie die Richtlinie selbst oder informieren Sie sich über deren wichtigste Aspekte und Anforderungen. Das Regelwerk zu verstehen, hilft Ihnen dabei, die eigenen Pflichten und Verantwortlichkeiten besser abschätzen zu können. Halten Sie sich über aktuelle Änderungen und Updates der NIS2-Richtlinie sowie zum aktuellen Stand der Technik auf dem Laufenden und passen Sie ggf. Ihre Sicherheitsmaßnahmen entsprechend an. Tauschen Sie sich mit Ihrem IT-Dienstleister und Experten aus und lassen Sie sich beraten.
Bestandsaufnahme: Überprüfen Sie, ob Ihre aktuellen IT-Infrastruktursicherheitsmaßnahmen bereits der NIS2-Richtlinie entsprechen. Überlegen Sie, ob zusätzliche Maßnahmen erforderlich sind, um die Sicherheit Ihrer Netzwerke und Informationssysteme zu verbessern.
Wesentliche Einrichtungen werden proaktiv und regelmäßig von Behörden geprüft. Diese Aufgabe übernimmt in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bei wichtigen Einrichtungen erfolgt dies erst, wenn es Hinweise auf Verstöße gibt.
Die Höhe der Geldbußen richtet sich nach Einstufung der betroffenen Einrichtung (wesentlich/wichtig, groß/mittel/klein). Der Höchstbetrag liegt bei 10 Mio. EUR oder 2% des weltweiten Umsatzes.
Einzelne Bundesländer haben Förderprogramme zur Steigerung der Cybersicherheit in der Wirtschaft aufgesetzt. In Nordrhein-Westfalen gibt es z. B. das Förderprogramm MID-Digitale Sicherheit. Es bietet die Chance, bis zu 15.000 Euro zu erhalten, um die digitale Selbstverteidigung zu stärken. Eingerichtet wurde der Fördertopf im Rahmen des übergreifenden Förderprogramms „Mittelstand Innovativ & Digital” (kurz: MID). Um Maßnahmen zur digitalen Sicherheit schneller umzusetzen, können Betriebe jetzt auch einen Durchführungszeitraum von drei Monaten auswählen. Im Bereich Software sind Patchmanagement-Lösungen hinzugekommen. Außerdem lässt sich nun auch Hardware für Firewalls fördern.
Hier können Sie direkt einen Termin für die Förderberatung buchen.
Vielen Dank für Ihre Anfrage.
Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.
Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.