Effiziente Umsetzung der NIS2-Anforderungen

Gesetzliche Anforderungen mit Methoden-Expertise und Best Practice umsetzen

Umfassende ISMS-Beratung für Ihr Unternehmen

NIS2 bzw. das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG)“ zielt trotz des Titels auch darauf ab, die Standards für Informationssicherheit in der freien Wirtschaft zu erhöhen und erweitert dabei den Geltungsbereich auf eine deutlich größere Anzahl von Unternehmen als bisher. Hierbei gilt es auch die Sonderregelungen für Anbieter Digitaler Infrastrukturen und Anbieter digitaler Dienste zu beachten.

Gesetzliche Anforderungen Hand in Hand mit Best Practice umsetzen

Um das gesetzlich geforderte risikoorientierte Informationssicherheitsmanagementsystem – kurz ISMS – aufzubauen, orientieren wir uns an den gängigen Normen zum ISMS. Dieses Vorgehen ist aufgrund seiner Praktikabilität seit Jahren etabliert.

NIS2-Umsetzung

Seit 1997 setzen wir für unsere Kunden gesetzliche und Normenanforderungen pragmatisch um.

#1 Best Practice

Erfolgreich in der Beratung seit 1997

#2 Pragmatische Lösungen

Auf Ihre Bedürfnisse passende Unterstützung

#3 Effiziente und effektive Beratung

Fach- und Methoden-Know-How zu Ihrem Nutzen

Anwendungsbereich der NIS2

Die gesetzlichen Vorgaben der NIS2-Richtlinie richten sich an folgende Institutionen:

Bundesbehörden
Besonders wichtige Einrichtungen: Einrichtungsart in Anlage 1 (bspw. Energie, Finanzwesen, digitale Infrastruktur) mit mind. 250 Mitarbeiter oder Jahresumsatz von mehr als 50 Mio. EUR & Jahresbilanzsumme über 43 Mio. EUR
Wichtige Einrichtungen: Einrichtungsart in Anlage 1 und 2 (bspw. Chemie, digitale Dienste, Gesundheit) mit mindestens mind. 50 Mitarbeiter oder Jahresumsatz von mehr als 10 Mio. EUR & Jahresbilanzsumme über 10 Mio. EUR
Betreiber kritischer Anlagen

Strafen

Eine Nichtbeachtung kann zu Strafen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes führen. Darüber hinaus können Geschäftsführer auch persönlich haftbar gemacht werden.

Sie sind unsicher, ob die NIS2-Vorgaben für Sie gelten? Dann richten Sie eine kurze Anfrage an uns.

Sonderreglungen für Anbieter Digitaler Infrastrukturen und Anbieter digitaler Dienste

Die Durchführungsverordnung (EU) 2024/2690 trat zum 7. November 2024 in Kraft treten. Ihr Ziel ist die Etablierung eines hohen gemeinsamen Cybersicherheitsniveaus in der Europäischen Union. Mit dieser formuliert die EU-Kommission für Anbieter Digitaler Infrastrukturen und Anbieter digitaler Dienste EU-weite Mindestanforderungen an Risikomanagementmaßnahmen und präzisiert, ab wann ein Sicherheitsvorfall für diese Bereiche als erheblich gilt.

Die Regelungen betreffen ausschließlich die von der Durchführungsverordnung adressierten Einrichtungen:

Anbieter von Cloud-Computing-Diensten,
Anbieter von Rechenzentrumsdiensten,
Betreiber von Inhaltszustellnetzen,
DNS-Diensteanbieter,
TLD-Namenregister,
Anbieter verwalteter Dienste (MSP),
Anbieter verwalteter Sicherheitsdienste (MSSP),
Anbieter von Online-Marktplätzen,
Online-Suchmaschinen,
Plattformen für Dienste sozialer Netzwerke,
Vertrauensdiensteanbieter.

Alle anderen Sektoren sind von der Durchführungsverordnung nicht betroffen.

Die Durchführungsverordnung gilt unmittelbar.

Eine nationalgesetzliche Ausgestaltung in Deutschland liegt derzeit noch nicht vor und wird vom BSI in der Folge des Inkrafttretens erwartet.

In Deutschland werden durch die Durchführungsverordnung Mindestanforderungen für die Risikomanagementmaßnahmen aus § 30 BSIG-E gemäß des geplanten NIS-2-Umsetzungsgesetzes formuliert und präzisiert. Insbesondere wird konkretisiert, welche Sicherheitsvorfälle nach § 2 Absatz 11 Nis2UmsuCG/BSIG-E als „erheblich“ gelten. Diese Mindestanforderungen können durch nationales Recht oder Vorgaben des BSI erweitert oder angehoben werden.

Die technischen und methodischen Anforderungen der festgelegten Risikomanagementmaßnahmen umfassen unter anderem eine regelmäßige Durchführung von Risikobewertungen zur Identifikation potenzieller Sicherheitsrisiken, darauf basierend die Implementierung von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen, sowie die Dokumentation und Nachverfolgbarkeit der durchgeführten Risikomanagementprozesse und implementierten Maßnahmen und die Schulung und Sensibilisierung des Personals.Die Anforderungen beruhen auf europäischen und internationalen Normen.

Gemäß der Verordnung gilt ein Sicherheitsvorfall als erheblich, wenn er potenziell eine Beeinträchtigung kritischer Dienste zur Folge hat und substanzielle Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Netz- und Informationssystemen droht.Die festgelegten Kriterien für die Einstufung eines Vorfalls als erheblich, wie etwa Ausfallzeit und Nutzerbetroffenheit sowie deren Schwellenwerte, können je nach Sektor und Art der Dienstleistung variieren.

Die Anforderungen aus NIS2 im Überblick

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) bringt bedeutende Neuerungen, nicht nur bei der Frage, welche Unternehmen betroffen sind. So werden die Befugnisse des BSI erweitert und Unternehmen müssen nun umfassendere Sicherheitsmaßnahmen ergreifen. Dazu zählen unter anderem folgende Aspekte:

Unterstützungsmöglichkeiten

Gute Lösungen zeichnen sich nicht nur durch fachliche Richtigkeit, sondern auch durch eine praxisnahen Umsetzung und deren verständliche Vermittlung aus. Als erfahrene Experten in der Informationssicherheit unterstützen wir Sie pragmatisch, erfahren und verständlich.

Workshop vor/zum Start des Projekts

Workshop

Sie wollen sich einen Überblick über die konkreten Anforderungen und Konsequenzen für Ihr Unternehmen verschaffen? Sie wollen das Projekt und das Risikomanagement für Ihr Haus vorstrukturieren? Dann führen wir gerne einen Workshop bei Ihnen im Hause durch.

Asset-Management

Sofern erforderlich verschaffen wir uns gemeinsam mit Ihnen ein Überblick über die wichtigsten Assets und dokumentieren diese. Dieser Überblick ist für die folgenden Schritte hilfreich.

Risikoanalyse

Grundlage ist die ganz individuelle Risikosituation Ihrer Institution. Deshalb erheben und dokumentieren wir zunächst im Rahmen einer Risikoanalyse, welche informationsorientierten Assets oder Prozesse, Gefährdungen und Risiken für Ihr Unternehmen relevant sind.

Maßnahmenplanung

Auf Basis der Risikoanalyse wird ein Maßnahmenkatalog erarbeitet, der auflistet, welche Maßnahme in wessen Verantwortung bis wann umzusetzen sind.

Konzept zur Informationssicherheit

Konzept

Wir erarbeiten mit Ihnen ein Informationssicherheitskonzept, das technische, organisatorische und physische sowie personelle Fragen berücksichtigt. Unser Handbuch ist hierfür die ideale Basis, um ein Regelwerk für alle aufbau- und ablauforganisatorischen Fragestellungen Ihres Unternehmens zu schaffen. Ergänzt wird es um ein Online-Formular-Center

Schulungen

Unser eCollege ist eine webbasierte E-Learning-Plattform, mit der Ihre Mitarbeiter einfach sensibilisiert und geschult werden. Hierüber können Sie auch die gesetzlich geforderten regelmäßigen Schulungen der Geschäftsleitung zum Risikomanagement ohne großen Planungs- und Organisationsaufwand durchführen.

Wollen Sie einen Überblick über die NIS2-Vorgaben bekommen?

In unserem kostenfreien Webinar zeigen wir Ihnen welche Unternehmen dem neuen Gesetz unterliegen und die Anforderungen für diese. Wie gewohnt: pragmatisch, erfahren und verständlich.

Vorteile

Nutzen Sie Synergien und profitieren Sie von pragmatischen Best Practice!

Von Best Practice profitieren, die eigenen Risiken mindern und gleichzeitig Synergien mit dem Datenschutz generieren. Als erfahrene Experten auf den Gebieten der Informationssicherheit und des Datenschutzes bieten wir Ihnen immer die Möglichkeit, nicht nur die Informationssicherheit pragmatisch umsetzen, sondern auch die Compliance im Datenschutz zu betrachten.

Langjährige Erfahrung

Wir beraten seit mehr als 25 Jahren Unternehmen erfolgreich in allen Belangen der IT-Sicherheit und des Datenschutzes. Dabei haben wir eine Vielzahl von Unternehmen erfolgreich für eine Zertifizierung vorbereitet.

Vielseitige Experten

Unsere rund 30 Mitarbeiterinnen und Mitarbeitern haben breit gefächerte Spezialisierungen, die für praxisnahe Lösungen sorgen. Ob Branchen-, Methoden- oder fachliche Kompetenz: Mit uns haben Sie einen vielseitig spezialisierten Partner. Auch das Know-how unserer „Zertifizierungsschwester“ UIMCert bringen wir ein.

Kombinierte Sicherheitskonzepte

Perfekt aufeinander abgestimmte Informationssicherheits- und Datenschutzkonzepte erleichtern die Umsetzung in der täglichen Praxis. Wir sind die Experten auf beiden Gebieten und erstellen Ihnen kombinierte Sicherheitskonzepte oder unterstützen Sie mit unserer Beratung bei deren Erstellung.

News

Aktuelles & Interessantes zur Informationssicherheit

Haftung beim Outsourcing

8. April 2025

Datenschutz-Verstöße durch Dienstleister: Wer haftet? Gerichtsurteil zeigt: Auftragsverarbeitung erfordert aktive Kontrolle durch Unternehmen Die steigenden Anforderungen an Unternehmen werden im Bereich der Auftragsverarbeitung immer bedeutsamer.

A fool with a tool still remains a fool.

1. April 2025

Ein Narr mit einem Werkzeug ist immer noch ein Narr. Dieser Ausspruch soll von Richard Buckminster Fuller stammen (1895 – 1983). Er war ein US-amerikanischer

Digitale Souveränität

27. März 2025

US-Dienste im Griff von Trump-Behörden? Warum digitale Souveränität für Unternehmen so wichtig ist Nicht erst seit der zweiten Präsidentschaft von Donald Trump rücken Ressourcen, Bodenschätze

Immer gut informiert

Newsletter

Bleiben Sie mit unserem Info-Brief auf dem Laufenden.

Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.

Sie haben Fragen?

Benötigen Sie Unterstützung bei der Umsetzung der Informationssicherheit oder weitere Informationen zu den rechtlichen Grundlagen und Gefahren für Ihr Unternehmen? Oder suchen Sie „einfach nur“ ein kompetenten Partner zur Verbesserung Ihrer Informationssicherheit?

Melden Sie sich gerne bei uns. Wir freuen uns von Ihnen zu hören.