NIS-2 LEITFADEN ZUR UMSETZUNG:
WAS SIE JETZT WISSEN MÜSSEN

Die Umsetzung von NIS-2 steht vor der Tür. Viele unserer Kunden haben bereits Aktivitäten gestartet. Im Folgenden geben wir Antworten auf häufig gestellte Fragen.

Jetzt mit NIS2-Starthilfe loslegen
Buchen Sie Ihren NIS2-Gesprächstermin
ISMS Tool NIS2

NIS-2 Leitfaden zur Umsetzung:
Was Sie jetzt wissen müssen

Die Umsetzung von NIS2 steht vor der Tür, viele unserer Kunden haben bereits Aktivitäten gestartet.

Im Folgenden geben wir Antworten auf häufig gestellte Fragen.

ISMS Tool NIS2
Jetzt mit NIS2-Starthilfe loslegen
Buchen Sie Ihren NIS2-Gesprächstermin

Was ist NIS-2 überhaupt und warum ist das wichtig

In den letzten Jahren hat die Digitalisierung und Vernetzung zugenommen, wodurch leider auch die Anfälligkeit für Angriffe auf wichtige Infrastrukturen gestiegen ist. Im Zuge des Überfalls auf die Ukraine hat sich diese Entwicklung zugespitzt und wir hören immer mehr über Angriffe auf die Supply Chain sowie über Ransomware- oder DDoS-Attacken.

Die NIS-2-Richtlinie der EU 2022/2555 zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu gewährleisten. Diese Richtlinie muss auch in Deutschland zunächst in nationales Recht umgesetzt werden. Der aktuell vorliegende Regierungsentwurf für das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ vom 22.07.2024 erweitert das alte „IT-Sicherheitsgesetz“ bzw. das „IT-Sicherheitsgesetz 2.0“. Genau wie diese handelt es sich um ein Änderungsgesetz, welches diverse bestehende Gesetze verändert. Im aktuellen Stand werden dadurch 26 Gesetze, wie das BSI-Gesetz, das Energiewirtschaftsgesetz, das Telekommunikationsgesetz oder das Sozialgesetzbuch verändert.

Das bisherige BSI-Gesetz wird komplett auf den Kopf gestellt. Bei uns Beratern und auch Auditoren so lieb gewonnene Referenzen wie „§8a BSI-Gesetz“ müssen wir demnächst streichen und bspw. durch „§30 (1) ff. BSI-Gesetz“ ersetzen.

Was ist NIS2 überhaupt und warum ist das wichtig

NIS-2 in 5 Sätzen für das Management

NIS2 in 5 Sätzen für das Management

In Deutschland werden mehr Unternehmen von NIS-2 betroffen sein als bisher, was bedeutet, dass mehr Unternehmen Maßnahmen zur Verbesserung ihrer Resilienz gegen Cyber-Angriffe umsetzen müssen. Unternehmen werden dabei nach Größe und Zugehörigkeit zu Wirtschaftssektoren unterteilt in

  • Betreiber kritischer Anlagen
  • Besonders wichtige Einrichtungen
  • Wichtige Einrichtungen

Diese haben dann die Pflicht, Maßnahmen zum Risikomanagement umzusetzen, bestimmte Sicherheitsvorfälle zu melden, sich zu registrieren und einiges mehr. Aber gerade für das Management ist wichtig, dass die Pflichten der „Geschäftsleitung“ festgelegt werden und es Aussagen zur Haftung gibt. Mehr Details dazu finden Sie hier.

Was das Ganze nicht einfacher macht ist, dass es keine Umsetzungsfristen gibt.

Wer ist von NIS-2 betroffen?

Um zu ermitteln, ob Ihr Unternehmen von NIS-2 betroffen ist, folgen Sie einfach unserem Ablaufdiagramm zur NIS-2-Betroffenheit:

NIS2 Betroffenheit

Erläuterungen NIS-2-Betroffenheit

  • Betreiber kritischer Anlagen sind Unternehmen, die zu einem der Sektoren „Energie“, „Transport und Verkehr“, „Finanz- und Versicherungswesen“, „Gesundheitswesen“, „Wasser“, „Ernährung“, „Informationstechnik und Telekommunikation“, „Weltraum“ oder „Siedlungsabfallentsorgung“, und zu einer der, in einer Rechtsverordnung festgelegten, Anlagenarten gehören und die jeweiligen Schwellwerte überschreiten. Das Verfahren zur Ermittlung von Betreibern kritischer Anlagen bleibt somit unverändert und entspricht dem bisherigen Vorgehen für die Ermittlung von Betreibern kritischer Infrastrukturen. Diese Rechtsverordnung wird dann die neue KritIS-Verordnung darstellen.
  • Anlage 1 und Anlage 2: Diese Anlagen listen detailliert sogenannte „Einrichtungsarten“ auf, also Wirtschaftssektoren und dort bestimmte Geschäftstätigkeiten.
  • Die Anzahl der Mitarbeitenden, Unternehmensumsätze und die Jahresbilanzsumme sind neue Einstufungskriterien, die relevant sein können.

Bitte beachten Sie, dass das ein grober Ablauf ist, und u. U. Details sicher noch klärungsbedürftig sind.

Nutzen Sie dazu gerne unsere erprobten Werkzeuge zur Analyse der Betroffenheit.

Welche NIS-2-Maßnahmen müssen Sie umsetzen?

Die NIS-2 Maßnahmen ergeben sich aus dem Gesetzestext unter §30 NIS2UmsuCG. Folgende 10 Maßnahmenbereiche werden aufgeführt:

  1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
  7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme
NIS2-Maßnahmen umsetzen

Es ist aber nicht sinnvoll, diese Themen einfach irgendwie abzuhaken. Dabei würde man Gefahr laufen, die falschen Unternehmensteile bestens abzusichern, während Ihre Kronjuwelen hohen Risiken ausgesetzt bleiben. Stand der Technik implementieren

Dazu kommen weitere Anforderungen wie Meldepflichten für Sicherheitsvorfälle, die sich aus weiteren Gesetzesstellen ergeben. Hervorzuheben ist auch, dass es neuen Pflichten der Geschäftsleitung gibt, die wirksam zu implementieren sind.

NIS-2 definiert Pflichten an die Geschäftsleitung​

NIS2 Pflichten der Geschäftsleitung

Die Geschäftsleitung von besonders wichtigen und wichtigen Einrichtungen wird in die Pflicht genommen.

  • Sie muss die Risikomanagement-Maßnahmen umsetzen und überwachen
  • Sie haftet unter Umständen für nicht umgesetzte Maßnahmen
  • Sie muss regelmäßig an Schulungen zum Risikomanagement und zur Sicherheit in der Informationstechnik teilnehmen

Wie in der Begründung zum Gesetz dargelegt wird, bedeutet „umsetzen“ nicht, dass die Geschäftsleitung Hand anlegt, sondern dass sie diese Maßnahmen billigt.

Stand der Technik implementieren

Die Risikomanagement-Maßnahmen müssen nach dem Stand der Technik umgesetzt werden. „Stand der Technik“ bedeutet, dass etablierte Verfahren und Methoden zum Einsatz kommen, dazu gehören bspw. Standards (ISO / IEC, NIST, etc.) oder Kriterienwerke (BSI-Grundschutz), in denen solche Verfahren definiert werden.

Was Stand der Technik im Einzelnen bedeutet, hängt auch von der individuellen Risikolage eines Unternehmens ab. Bevor also mit der Auswahl oder Umsetzung von Maßnahmen begonnen wird, ist eine strukturierte Betrachtung der Risiken erforderlich. U.a. deswegen fordern die umzusetzenden Maßnahmen, nämlich die Punkte 1 und 6, Konzepte und Methoden zum Risikomanagement.

Von individuellen Risikobewertung hängt es dann bspw. ab, ob für die Sicherstellung der Vertraulichkeit ein Berechtigungskonzept oder sogar Verschlüsselung von Datenbanken als Stand der Technik angesehen würde.

Um Ihnen einen guten Einstieg zu ermöglichen, bieten wir Ihnen gerne an, mit Ihnen gemeinsam einen NIS-2-Fahrplan zu entwickeln.

NIS2 Stand der Technik umsetzen
Jetzt mit NIS-2-Starthilfe loslegen
Buchen Sie Ihren NIS-2-Gesprächstermin

3 wichtige Fragen über NIS-2

  • Unter NIS-2 ist kein „Scoping“ vorgesehen, d. h. die Maßnahmen müssen für das gesamte Unternehmen umgesetzt werden. Das bedeutet für alle informationstechnischen Systeme, Komponenten und Prozesse, die Sie für die Erbringung Ihrer Dienste nutzen.
  • Mit „Ihrer Dienste“ sind dann aber nur diejenigen Dienste gemeint, aufgrund derer sie unter NIS-2 fallen.
  • Während früher beim ersten IT-Sicherheitsgesetz noch Umsetzungsfristen vorgesehen waren, gibt es diese nicht mehr.
  • Da das umzusetzende Maßnahmenpaket je nach Ihrer aktuellen Situation auch aufwändig werden kann, raten wir dazu, jetzt mit einem NIS-2-Fahrplan zu starten.

Das hängt davon ab, zu welcher Gruppe von Betroffenen Sie gehören.

  • Betreiber kritischer Anlagen: Müssen die Umsetzung der Maßnahmen nachweisen, und zwar künftig alle 3 Jahre statt wie bisher alle 2 Jahre.
  • Besonders wichtige Einrichtungen: Für diese gibt es keine allgemeingültige Nachweispflicht, allerdings kann das BSI Audits, Prüfungen oder Zertifizierungen bei einzelnen Einrichtungen anordnen und kann auch frühestens nach 3 Jahren die Vorlage von Nachweisen anordnen.
  • Wichtige Einrichtungen: Auch für diese gibt es keine allgemeingültige Nachweispflicht. Bei bestimmten Sachverhalten kann das BSI allerdings wie für besonders wichtige Einrichtungen verfahren. 

NIS-2-spezifische Toolunterstützung mit unserer ISMS-Software TTS trax

TTS trax ist das smarte Tool für den effizienten ISMS Betrieb und ein intelligentes Risikomanagement.

Ist Ihr Unternehmen von NIS-2 betroffen? Gelten Sie als besonders wichtige oder wichtige Einrichtung? Dann müssen Sie nach §30 NIS2UmsuCG wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden und Sicherheitsvorfälle zu behandeln.

Mehr erfahren

TTS trax unterstützt Sie bei der Umsetzung von NIS-2-Anforderungen

  • Inventarisierung und Verknüpfung von relevanten Prozessen, Komponenten und IT-Systemen
  • Durchführung von Risikoanalysen und –bewertungen (Allgefahrenansatz)
  • Ableitung, Bewertung und Umsetzung von Maßnahmen zur Risikobehandlung
  • Dokumentation der Maßnahmenumsetzung und Hinterlegung von Nachweisen
  • Betrachtung von verschiedenen Anwendungsbereichen im Unternehmen
  • Prüfung der Umsetzung von Anforderungen bei Dienstleistern mit Ableitung von Maßnahmen
NIS-2 mit dem ISMS-Tool TTS trax effizient umsetzen

NIS-2 Beiträge

Jetzt Termin für NIS-2-Unterstützung vereinbaren

Anrede: *
Vorname: *
Nachname: *
Firma: *
E-Mail: *
Telefon:
Bemerkung / Wunschtermine:
Mit dem Absenden des Formulars stimmen Sie zu, dass Sie von der TTS GmbH mit Informationen zu unseren Produkten und Dienstleistungen per E-Mail kontaktiert werden dürfen. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Ihre Einwilligung können Sie jederzeit ohne Angabe von Gründen per E-Mail an dsb@tts-security.com oder über den Unsubscribe-Link mit Wirkung für die Zukunft widerrufen.

Bitte tragen Sie unter Bemerkung ein oder mehrere Stichworte ein, über die Sie gerne sprechen würden:

    • NIS-2-Betroffenheitsanalyse
    • NIS-2-Starthilfe
    • NIS-2-Umsetzungsprojekt
    • NIS-2-Tool-Support

➜ Sie haben Fragen?

Wir beraten Sie gerne!

Kontakt

TTS Trusted Technologies
and Solutions GmbH

Linkedin Xing

Büro Berlin

Ihr Ansprechpartner:
Dr. Jörg Cordsen
Telefon +49 30 3980629 0
Hardenbergstraße 12
10623 Berlin

Büro Essen

Ihr Ansprechpartner:
Dr. Michael Gehrke
Telefon +49 201 724579 0
Alfredstraße 57-65
45130 Essen

Standort Hannover

Ihr Ansprechpartner:
Dr. Stefan Ransom
Telefon +49 (0)170 8283981