NIS2 Leitfaden zur Umsetzung:
Was Sie jetzt wissen müssen

Die Umsetzung von NIS2 steht vor der Tür, viele unserer Kunden haben bereits Aktivitäten gestartet.
Im Folgenden geben wir Antworten auf häufig gestellte Fragen.

Was ist NIS2 überhaupt und warum ist das wichtig?

In den letzten Jahren hat die Digitalisierung und Vernetzung zugenommen, wodurch leider auch die Anfälligkeit für Angriffe auf wichtige Infrastrukturen gestiegen ist. Im Zuge des Überfalls auf die Ukraine hat sich diese Entwicklung zugespitzt und wir hören immer mehr über Angriffe auf die Supply Chain sowie über Ransomware- oder DDoS-Attacken.

Die NIS2-Richtlinie der EU 2022/2555 zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu gewährleisten. Diese Richtlinie muss auch in Deutschland zunächst in nationales Recht umgesetzt werden. Der aktuell vorliegende Regierungsentwurf für das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ vom 22.07.2024 erweitert das alte „IT-Sicherheitsgesetz“ bzw. das „IT-Sicherheitsgesetz 2.0“. Genau wie diese handelt es sich um ein Änderungsgesetz, welches diverse bestehende Gesetze verändert. Im aktuellen Stand werden dadurch 26 Gesetze, wie das BSI-Gesetz, das Energiewirtschaftsgesetz, das Telekommunikationsgesetz oder das Sozialgesetzbuch verändert.

Das bisherige BSI-Gesetz wird komplett auf den Kopf gestellt. Bei uns Beratern und auch Auditoren so lieb gewonnene Referenzen wie „§8a BSI-Gesetz“ müssen wir demnächst streichen und bspw. durch „§30 (1) ff. BSI-Gesetz“ ersetzen.

NIS2 in 5 Sätzen für das Management

In Deutschland werden mehr Unternehmen von NIS2 betroffen sein als bisher, was bedeutet, dass mehr Unternehmen Maßnahmen zur Verbesserung ihrer Resilienz gegen Cyber-Angriffe umsetzen müssen. Unternehmen werden dabei nach Größe und Zugehörigkeit zu Wirtschaftssektoren unterteilt in

  • Betreiber kritischer Anlagen
  • Besonders wichtige Einrichtungen
  • Wichtige Einrichtungen

Diese haben dann die Pflicht, Maßnahmen zum Risikomanagement umzusetzen, bestimmte Sicherheitsvorfälle zu melden, sich zu registrieren und einiges mehr. Aber gerade für das Management ist wichtig, dass die Pflichten der „Geschäftsleitung“ festgelegt werden und es Aussagen zur Haftung gibt. Mehr Details dazu finden Sie hier.

Was das Ganze nicht einfacher macht, ist, dass es keine Umsetzungsfristen gibt.

Wer ist von NIS2 betroffen?

Um zu ermitteln, ob Ihr Unternehmen von NIS2 betroffen ist, folgen Sie einfach unserem Ablaufdiagramm zur NIS2-Betroffenheit:

NIS2 Betroffenheitsanalyse

Erläuterungen NIS2-Betroffenheit

  • Betreiber kritischer Anlagen sind Unternehmen, die zu einem der Sektoren „Energie“, „Transport und Verkehr“, „Finanz- und Versicherungswesen“, „Gesundheitswesen“, „Wasser“, „Ernährung“, „Informationstechnik und Telekommunikation“, „Weltraum“ oder „Siedlungsabfallentsorgung“, und zu einer der, in einer Rechtsverordnung festgelegten, Anlagenarten gehören und die jeweiligen Schwellwerte überschreiten. Das Verfahren zur Ermittlung von Betreibern kritischer Anlagen bleibt somit unverändert und entspricht dem bisherigen Vorgehen für die Ermittlung von Betreibern kritischer Infrastrukturen. Diese Rechtsverordnung wird dann die neue KritIS-Verordnung darstellen.
  • Anlage 1 und Anlage 2: Diese Anlagen listen detailliert sogenannte „Einrichtungsarten“ auf, also Wirtschaftssektoren und dort bestimmte Geschäftstätigkeiten.
  • Die Anzahl der Mitarbeitenden, Unternehmensumsätze und die Jahresbilanzsumme sind neue Einstufungskriterien, die relevant sein können.

Bitte beachten Sie, dass das ein grober Ablauf ist, und u. U. Details sicher noch klärungsbedürftig sind.

Nutzen Sie dazu gerne unsere erprobten Werkzeuge zur Analyse der Betroffenheit.

Welche NIS2-Maßnahmen müssen Sie umsetzen?

Die NIS-2 Maßnahmen ergeben sich aus dem Gesetzestext unter §30 NIS2UmsuCG. Folgende 10 Maßnahmenbereiche werden aufgeführt:

  1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
  7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme
NIS2-Maßnahmen umsetzen

Es ist aber nicht sinnvoll, diese Themen einfach irgendwie abzuhaken. Dabei würde man Gefahr laufen, die falschen Unternehmensteile bestens abzusichern, während Ihre Kronjuwelen hohen Risiken ausgesetzt bleiben. Stand der Technik implementieren

Dazu kommen weitere Anforderungen wie Meldepflichten für Sicherheitsvorfälle, die sich aus weiteren Gesetzesstellen ergeben. Hervorzuheben ist auch, dass es neuen Pflichten der Geschäftsleitung gibt, die wirksam zu implementieren sind.

NI2 Pfilchten der Geschäftsleitung

NIS2 definiert Pflichten an die Geschäftsleitung​

  • Die Geschäftsleitung von besonders wichtigen und wichtigen Einrichtungen wird in die Pflicht genommen.
    • Sie muss die Risikomanagement-Maßnahmen umsetzen und überwachen
    • Sie haftet unter Umständen für nicht umgesetzte Maßnahmen
    • Sie muss regelmäßig an Schulungen zum Risikomanagement und zur Sicherheit in der Informationstechnik teilnehmen
  • Wie in der Begründung zum Gesetz dargelegt wird, bedeutet „umsetzen“ nicht, dass die Geschäftsleitung Hand anlegt, sondern dass sie diese Maßnahmen billigt.

 

Stand der Technik implementieren

  • Die Risikomanagement-Maßnahmen müssen nach dem Stand der Technik umgesetzt werden. „Stand der Technik“ bedeutet, dass etablierte Verfahren und Methoden zum Einsatz kommen, dazu gehören bspw. Standards (ISO / IEC, NIST, etc.) oder Kriterienwerke (BSI-Grundschutz), in denen solche Verfahren definiert werden.
  • Was Stand der Technik im Einzelnen bedeutet, hängt auch von der individuellen Risikolage eines Unternehmens ab. Bevor also mit der Auswahl oder Umsetzung von Maßnahmen begonnen wird, ist eine strukturierte Betrachtung der Risiken erforderlich. U. a. deswegen fordern die umzusetzenden Maßnahmen, nämlich die Punkte 1 und 6, Konzepte und Methoden zum Risikomanagement.
  • Von individuellen Risikobewertung hängt es dann bspw. ab, ob für die Sicherstellung der Vertraulichkeit ein Berechtigungskonzept oder sogar Verschlüsselung von Datenbanken als Stand der Technik angesehen würde.

Um Ihnen einen guten Einstieg zu ermöglichen, bieten wir Ihnen gerne an, mit Ihnen gemeinsam einen NIS2-Fahrplan zu entwickeln.

NIS2 Stand der Technik umsetzen

3 wichtige Fragen über NIS2

  • Unter NIS2 ist kein „Scoping“ vorgesehen, d. h. die Maßnahmen müssen für das gesamte Unternehmen umgesetzt werden. Das bedeutet für alle informationstechnischen Systeme, Komponenten und Prozesse, die Sie für die Erbringung Ihrer Dienste nutzen.
  • Mit „Ihrer Dienste“ sind dann aber nur diejenigen Dienste gemeint, aufgrund derer sie unter NIS2 fallen.
  • Während früher beim ersten IT-Sicherheitsgesetz noch Umsetzungsfristen vorgesehen waren, gibt es diese nicht mehr.
  • Da das umzusetzende Maßnahmenpaket je nach Ihrer aktuellen Situation auch aufwändig werden kann, raten wir dazu, jetzt mit einem NIS2-Fahrplan zu starten.

Das hängt davon ab, zu welcher Gruppe von Betroffenen Sie gehören.

  • Betreiber kritischer Anlagen: Müssen die Umsetzung der Maßnahmen nachweisen, und zwar künftig alle 3 Jahre statt wie bisher alle 2 Jahre.
  • Besonders wichtige Einrichtungen: Für diese gibt es keine allgemeingültige Nachweispflicht, allerdings kann das BSI Audits, Prüfungen oder Zertifizierungen bei einzelnen Einrichtungen anordnen und kann auch frühestens nach 3 Jahren die Vorlage von Nachweisen anordnen.
  • Wichtige Einrichtungen: Auch für diese gibt es keine allgemeingültige Nachweispflicht. Bei bestimmten Sachverhalten kann das BSI allerdings wie für besonders wichtige Einrichtungen verfahren. 

NIS2-spezifische Toolunterstützung mit unserer ISMS-Software TTS trax

TTS trax ist das smarte Tool für den effizienten ISMS Betrieb und ein intelligentes Risikomanagement.

Ist Ihr Unternehmen von NIS2 betroffen? Gelten Sie als besonders wichtige oder wichtige Einrichtung? Dann müssen Sie nach §30 NIS2UmsuCG wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden und Sicherheitsvorfälle zu behandeln.

 

 

Mehr erfahren

 

TTS trax unterstützt Sie bei der Umsetzung von NIS2-Anforderungen

  • Inventarisierung und Verknüpfung von relevanten Prozessen, Komponenten und IT-Systemen
  • Durchführung von Risikoanalysen und –bewertungen (Allgefahrenansatz)
  • Ableitung, Bewertung und Umsetzung von Maßnahmen zur Risikobehandlung
  • Dokumentation der Maßnahmenumsetzung und Hinterlegung von Nachweisen
  • Betrachtung von verschiedenen Anwendungsbereichen im Unternehmen
  • Prüfung der Umsetzung von Anforderungen bei Dienstleistern mit Ableitung von Maßnahmen

Jetzt Termin für NIS2-Unterstützung vereinbaren

Anrede: *
Vorname: *
Nachname: *
Firma: *
E-Mail: *
Telefon:
Bemerkung / Wunschtermine:
Mit dem Absenden des Formulars stimmen Sie zu, dass Sie von der TTS GmbH mit Informationen zu unseren Produkten und Dienstleistungen per E-Mail kontaktiert werden dürfen. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Ihre Einwilligung können Sie jederzeit ohne Angabe von Gründen per E-Mail an dsb@tts-security.com oder über den Unsubscribe-Link mit Wirkung für die Zukunft widerrufen.

Bitte tragen Sie unter Bemerkung ein oder mehrere Stichworte ein, über die Sie gerne sprechen würden:

    • NIS2-Betroffenheitsanalyse
    • NIS2-Starthilfe
    • NIS2-Umsetzungsprojekt
    • NIS2-Tool-Support

Ihr Partner für Informationssicherheit

So erreichen Sie uns

Kontakt

TTS Trusted Technologies
and Solutions GmbH

Büro Berlin

Ihr Ansprechpartner:
Dr. Jörg Cordsen
Telefon +49 30 3980629 0
Hardenbergstraße 12
10623 Berlin

Büro Essen

Ihr Ansprechpartner:
Dr. Michael Gehrke
Telefon +49 201 724579 0
Alfredstraße 57-65
45130 Essen

Standort Hannover

Ihr Ansprechpartner:
Dr. Stefan Ransom
Telefon +49 (0)170 8283981