In den letzten Jahren hat die Digitalisierung und Vernetzung zugenommen, wodurch leider auch die Anfälligkeit für Angriffe auf wichtige Infrastrukturen gestiegen ist. Im Zuge des Überfalls auf die Ukraine hat sich diese Entwicklung zugespitzt und wir hören immer mehr über Angriffe auf die Supply Chain sowie über Ransomware- oder DDoS-Attacken.
Die NIS2-Richtlinie der EU 2022/2555 zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu gewährleisten. Diese Richtlinie muss auch in Deutschland zunächst in nationales Recht umgesetzt werden. Der aktuell vorliegende Regierungsentwurf für das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ vom 22.07.2024 erweitert das alte „IT-Sicherheitsgesetz“ bzw. das „IT-Sicherheitsgesetz 2.0“. Genau wie diese handelt es sich um ein Änderungsgesetz, welches diverse bestehende Gesetze verändert. Im aktuellen Stand werden dadurch 26 Gesetze, wie das BSI-Gesetz, das Energiewirtschaftsgesetz, das Telekommunikationsgesetz oder das Sozialgesetzbuch verändert.
Das bisherige BSI-Gesetz wird komplett auf den Kopf gestellt. Bei uns Beratern und auch Auditoren so lieb gewonnene Referenzen wie „§8a BSI-Gesetz“ müssen wir demnächst streichen und bspw. durch „§30 (1) ff. BSI-Gesetz“ ersetzen.
In Deutschland werden mehr Unternehmen von NIS2 betroffen sein als bisher, was bedeutet, dass mehr Unternehmen Maßnahmen zur Verbesserung ihrer Resilienz gegen Cyber-Angriffe umsetzen müssen. Unternehmen werden dabei nach Größe und Zugehörigkeit zu Wirtschaftssektoren unterteilt in
Diese haben dann die Pflicht, Maßnahmen zum Risikomanagement umzusetzen, bestimmte Sicherheitsvorfälle zu melden, sich zu registrieren und einiges mehr. Aber gerade für das Management ist wichtig, dass die Pflichten der „Geschäftsleitung“ festgelegt werden und es Aussagen zur Haftung gibt. Mehr Details dazu finden Sie hier.
Was das Ganze nicht einfacher macht, ist, dass es keine Umsetzungsfristen gibt.
Um zu ermitteln, ob Ihr Unternehmen von NIS2 betroffen ist, folgen Sie einfach unserem Ablaufdiagramm zur NIS2-Betroffenheit:
Bitte beachten Sie, dass das ein grober Ablauf ist, und u. U. Details sicher noch klärungsbedürftig sind.
Nutzen Sie dazu gerne unsere erprobten Werkzeuge zur Analyse der Betroffenheit.
Die NIS-2 Maßnahmen ergeben sich aus dem Gesetzestext unter §30 NIS2UmsuCG. Folgende 10 Maßnahmenbereiche werden aufgeführt:
Es ist aber nicht sinnvoll, diese Themen einfach irgendwie abzuhaken. Dabei würde man Gefahr laufen, die falschen Unternehmensteile bestens abzusichern, während Ihre Kronjuwelen hohen Risiken ausgesetzt bleiben. Stand der Technik implementieren
Dazu kommen weitere Anforderungen wie Meldepflichten für Sicherheitsvorfälle, die sich aus weiteren Gesetzesstellen ergeben. Hervorzuheben ist auch, dass es neuen Pflichten der Geschäftsleitung gibt, die wirksam zu implementieren sind.
Um Ihnen einen guten Einstieg zu ermöglichen, bieten wir Ihnen gerne an, mit Ihnen gemeinsam einen NIS2-Fahrplan zu entwickeln.
Das hängt davon ab, zu welcher Gruppe von Betroffenen Sie gehören.
TTS trax ist das smarte Tool für den effizienten ISMS Betrieb und ein intelligentes Risikomanagement.
Ist Ihr Unternehmen von NIS2 betroffen? Gelten Sie als besonders wichtige oder wichtige Einrichtung? Dann müssen Sie nach §30 NIS2UmsuCG wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden und Sicherheitsvorfälle zu behandeln.
Büro Berlin
Ihr Ansprechpartner:
Dr. Jörg Cordsen
Telefon +49 30 3980629 0
Hardenbergstraße 12
10623 Berlin
Büro Essen
Ihr Ansprechpartner:
Dr. Michael Gehrke
Telefon +49 201 724579 0
Alfredstraße 57-65
45130 Essen
Standort Hannover
Ihr Ansprechpartner:
Dr. Stefan Ransom
Telefon +49 (0)170 8283981