NIS-2 kommt: Wir machen ihr Unternehmen fit für IT-Sicherheit

NIS-2-Compliance für Unternehmen

Anforderungen an Cybersicherheit mit UNITY erfolgreich umsetzen!

Die 2022 von der EU verabschiedete NIS-2-Richtlinie erweitert die Anforderungen an die Informationssicherheit erheblich. Technische und organisatorische Maßnahmen müssen umgesetzt werden, um konform zu den NIS-2 Vorgaben zu bleiben.

UNITY betrachtet Investitionen aufgrund regulatorischer Anforderungen stets als Chance, die Unternehmensorganisation nachhaltig mit effizienten Lösungen zu verbessern. Mit der richtigen Umsetzung der NIS-2 schaffen Sie eine langfristige Sicherheitsorganisation für Ihr Unternehmen. Wir unterstützen Sie in allen Phasen – von der Identifikation der Betroffenheit über die Zielbildentwicklung und Gap Analyse bis zur Umsetzung maßgeschneiderter Maßnahmen.

Als Managementberatung sind wir auf die Beratung von Unternehmen in Fragen der Regulatorik und Informationssicherheit in Europa spezialisiert. Kontaktieren Sie uns gerne, um mehr darüber zu erfahren, wie wir Sie unterstützen können.

NIS-2 Compliance mit UNITY

Vorstandsgerechte, umsetzungsstarke und ergebnisorientierte Beratung für Ihre NIS-2 Compliance:

  • Betroffenheit & Anforderungsanalyse
  • Zielbild & Maßnahmenplan/ -umsetzung

  

NIS-2 kommt: Jetzt vorbereiten!

  • NIS2UmsuCG derzeit im Gesetzgebungsprozess
  • Voraussichtliches Inkrafttreten im März 2025

Wir empfehlen bereits heute mit der Betroffenheitsfeststellung und Maßnahmenplanerstellung beginnen

  

Anforderungen an IT-Sicherheit

Die Vorgaben der NIS-2 lassen sich in folgende Cluster unterteilen: 

  • Information Security Management System (ISMS)
  • Business Continuity Management (BCM)
  • Identity and Access Management (IAM)
  • Supply Chain Security

 

Betroffene Unternehmen

Insgesamt 14 Sektoren betroffen, darunter unter anderem:

  • Digital Infrastruktur
  • Verarbeitendes Gewerbe und Verkehr
  • Energie und Chemie

Jetzt prüfen, ob Sie betroffen sind.

  

Empfindlich hohe Strafen

Die Geschäftsleitung ist in der Pflicht die NIS-2 bezogene Maßnahmen umzusetzen. Strafen sind:

  • Haftung der Geschäftsleitung
  • Besonders wichtigen Einrichtungen: mind. 10 Millionen Euro oder 2% globaler Umsatz
  • Wichtigen Einrichtungen mind. 7 Millionen Euro oder 1,4% globaler Umsatz

  

Gesamtheitliche Umsetzung

Wir unterstützen Sie nicht nur bei NIS-2, sondern beraten ganzheitlich mit Synergien zwischen Regularien wie:

  • Cyber Resilience Act (CRA)
  • Radio Equipment Directive (RED)
  • Digital Operational Resilience Act (DORA)

  

Ihr Mehrwert durch UNITY

Breites Cyber Security Beratungsportfolio

Die Anforderungen der NIS-2 kennen wir bereits aus vergangenen Cyber Security Projekten. Von der Organisationsentwicklung bis zum Aufbau eines SOCs unterstützen wir Sie bei Umsetzung von NIS-2 Vorgaben.

Industrie Best Practices in Strategie und Umsetzung

Für die einzelnen Sektoren der NIS-2 bringen wir branchenspezifische Lösungsansätze mit. Diese passen wir an Ihre individuellen Bedürfnisse an.

Qualifizierte Cyber Security Berater

Unsere hochqualifizierten Berater arbeiten ergebnisorientiert und umsetzungsstark. Das Projektteam kann stets durch Experten aus unserem breiten Netzwerk erweitert werden. 

Unsere Consulting Services für NIS-2-Compliance für Unternehmen

Effiziente Lösungen, maßgeschneidert für Ihren NIS-2 Compliance-Erfolg
NIS-2 Readiness

 

Aufgaben:

  • Betroffenheitsanalyse
  • IST-Aufnahme der aktuellen Security-Landschaft

Ergebnisse:

  • Betroffenheit der Entitäten
  • Definition von konkreten Handlungsfeldern
Anforderungsanalyse & Maßnahmenkatalog

Aufgaben:

  • Anforderungsanalyse NIS-2
  • Ableitung von dedizierten Maßnahmen

Ergebnisse:

  • Abdeckungsgrad NIS-2-Anfoderungen
  • Maßnahmenkatalog
Zielbilderarbeitung & NIS-2 Roadmap

Aufgaben:

  • Definition von Zielbild
  • Ableitung einer Roadmap zur NIS-2-Compliance

Ergebnisse:

  • Budgetierte Projekte/Initiativen zur NIS-2-Compliance
  • Einbettung der Aktivitäten in das Security Framework
Umsetzung & Monitoring

Aufgaben:

  • Steuerung & Umsetzung der Maßnahmen
  • Vorbereitungen für Audits und Compliance-Checks

Ergebnisse:

  • Umgesetzte NIS-2-Anforderungen
  • Fortschrittsbericht und NIS-2-Compliance

Jetzt anfragen: NIS-2-Compliance und Sicherheit für Ihr Unternehmen

Bestimmen Sie Ihren NIS-2 Reifegrad und gemeinsam erarbeiten wir ihren individuellen NIS-2 Umsetzungsplan.

NIS-2 Quick Start anfragen

NIS-2-Fahrplan und Fristen

Die Anforderungen durch NIS-2 stehen fest. Beginne Sie heute mit einer Betroffenheitsanalyse und der NIS-2-Umsetzung

Dezember 2022

Inkrafttreten der NIS-2-EU-Direktive 2022/2555.

17. Oktober 2024

Die Anforderungen aus der EU-Direktive müssen in Landesrecht übernommen werden.

Aktueller Stand in Deutschland:

Referentenentwurf für das deutsche NIS2-Umsetzungsgesetz verabschiedet und derzeit im Gesetzgebungsprozess.

Hohe Anforderungen an IT-Sicherheit

Wir kennen die Anforderungen der NIS-2-Richtlinie und bieten Ihnen konkrete Lösungsansätze, um diese erfolgreich umzusetzen. Durch den Abgleich branchenüblicher Standards mit dem aktuellen Stand Ihres Unternehmens erstellen wir einen umfassenden NIS-2-Compliance-Maßnahmenplan. So stellen wir sicher, dass Sie alle gesetzlichen Vorgaben erfüllen und Ihre Cybersicherheit optimal aufgestellt ist.

  • Einführen eines ganzheitlichen ISMS nach ISO27001

    § 30 Abs. 2 Nr. 1 Riskomanagement

    • Risiken identifizieren und bewerten anhand UNITY Branchenstandards
    • Kontinuierliche Steuerung und Überwachung von Risiken

    § 30 Abs. 2 Nr. 2 – Bewältigung von Sicherheitsvorfällen

    • Incident Management mit individuellen Incident Response Pläne
    • Schulungen und Simulationen
    • Auswahl und Integration von SIEM-, IDPS oder Incident-Response-Systemen 

    § 30 Abs. 2 Nr. 5 – Sicherheit in der Entwicklung, Beschaffung und Wartung

    • Security by Design Prinzipien einführen und etablieren

    § 30 Abs. 2 Nr. 6 – Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

    • Dauerhaftes Schwachstellen-Monitoring
    • Initiale Durchführung und Etablierung kontinuierlicher Security Assessments

    § 30 Abs. 2 Nr. 7 – Grundlegende Konzepte und Verfahren im Bereich der Cyberhygiene

    • Patch- und Backupmanagement
    • Regelungen Passwörter und Zugriffskontrollen
    • Sicherheitsmaßnahmen wie Penetrationstests 

    § 30 Abs. 2 Nr. 7 & § 38 – Schulungen im Bereich der Informationssicherheit

    • Spezifische Schulungen wie: Kontinuirliche E-Learnings und Weiterbildung in der Informationssicherheit 

    § 30 Abs. 2 Nr. 8 – Kryptografie und Verschlüsselung

    • Ende-zu-Ende Verschlüsselung
    • Verschlüsselung ruhender Daten (Data-at-Rest)
    • Schlüsselmanagement

    § 30 Abs. 2 Nr. 9 – Sicherheit von Personal und Konzepte für die Zugriffskontrolle und für das Anlagen-Management

    • Physische Sicherheitsüberwachung und Zugangsbeschränkung
    • Rollenbasierte Zugriffskontrollen
  • IAM

    § 30 Abs. 2 Nr. 10 – Identitätsmanagement und Authentifizierung

    • Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung
    • Gesicherte Sprach-, Video- und Textkommunikation mit Internen und Externen
  • Meldepflichten

    § 32 – NIS-2 spezifische Meldepflichten

    • Integration der NIS-2 spezifische Vorgaben in das Incident- und Krisenmanagement (BCM)
  • Aufsetzen eines ganzheitlichen BCM nach BSI-Standard 200-4.

    § 30 Abs. 2 Nr. 3 – Aufrechterhaltung des Betriebs

    • Business Impact Analyse (BIA) zur Identifikation von Assets
    • Krisenorganisation und Notfallpläne für Geschäftsprozesse
    • Notbetrieb und Wiederherstellung von Systemen

    § 30 Abs. 2 Nr. 10 – Gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

    • Redundante Notfallinfrastruktur
    • Backup von Kontaktlisten
  • Supply Chain Security

    § 30 Abs. 2 Nr. 4 – Sicherheit der Lieferkette

    • Kontinuierliches Lieferantenmanagement
    • Sicherheitsaudits und Risikobewertung von Zuliefern
    • Vertragsbasierte Sicherheitsanforderungen
  • Geschäftsleitung

    § 38 – Pflichten der Geschäftsleitung (Maßnahmenumsetzung und Schulung)

Betroffene Unternehmen

Die NIS-2-Richtlinie erweitert den Geltungsbereich früherer Regulierungen erheblich. Sie gilt nun nicht nur für kritische Infrastrukturen, sondern für alle Unternehmen der 14 Sektoren, die mehr als 50 Mitarbeiter beschäftigen oder mehr als 10 Mio. € Jahresumsatz erzielen. Dadurch wird die Cybersicherheitsverantwortung auf eine viel breitere Unternehmenslandschaft ausgeweitet. Die Vorgaben aus der NIS-2 sind von Besonders wichtigen und wichtigen Einrichtungen gleichermaßen zu erfüllen. Unterschiede bestehen lediglich in der Verhältnismäßigkeit. Eine erste Selbsteinschätzung gibt Ihnen die Betroffenheitsprüfung vom BSI. (BSI - NIS-2-Betroffenheitsprüfung (bund.de))

Sektoren besonders wichtiger und wichtiger Einrichtungen:

  • Energie

    • Stromversorgung
    • Fernwärme und -kälteversorgung
    • Kraftstoff- und Heizölversorgung
    • Gasversorgung
  • Transport und Verkehr

    • Luftverkehr
    • Schienenverkehr
    • Schiffahrt
    • Straßenverkeh
  • Finanzwesen

    • Bankwesen
    • Finanzmarktinfrastruktur
  • Gesundheit

    • Gesundheitsdienstleister
    • EU-Referenzlaboratorien
    • Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel
    • Unternehmen, die pharmazeutische Erzeugnisse herstellen
    • Hersteller Medizinprodukte
  • Wasser

    • Trinkwasserversorgung
    • Abwasserbeseitigung
  • Digitale Infrastruktur

    • Internet Exchange Points
    • DNS-Dienstanbieter
    • Top Level Domain Name Registry
    • Anbieter Cloud-Computing-Diensten
    • Anbieter Rechenzentrumsdienste
    • Betreiber Content Delivery Networks
    • Vertrauensdiensteanbieter
    • Betreiber öffentlicher Telekommunikationsnetze
    • Anbieter öffentlich zugänglicher Telekommunikationsdienste
    • Managed Services Provider
    • Managed Security Services Provider
  • Weltraum

    • Bodeninfrastruktur

Sektoren wichtiger Einrichtungen:

  • Post- und Kurierdienste

  • Abfallbewirtschaftung

  • Produktion, Herstellung und Handel mit chemischen Stoffen

  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln

  • Verarbeitendes Gewerbe

    • Herstellung von Medizinprodukten und In-vitro-Diagnostika
    • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
    • Herstellung von elektrischen Ausrüstungen
    • Maschinenbau
    • Herstellung von Kraftwagen und Kraftwagenteilen
    • Sonstiger Fahrzeugbau
  • Anbieter digitaler Dienste

    • Anbieter von Online-Marktplätzen
    • Anbieter von Online-Suchmaschinen
    • Anbieter von Plattformen für Dienste sozialer Netzwerke
  • Forschungseinrichtungen

Empfindlich hohe Strafen

Die NIS-2-Richtlinie verschärft die Sanktionen bei Verstößen erheblich im Vergleich zu früheren Regelungen. Unternehmen drohen hohe Geldstrafen, die bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen können. Diese strengeren Strafmaßnahmen sollen sicherstellen, dass Cybersicherheit in den betroffenen Unternehmen umgesetzt wird. Die Strafen übersteigen die Investitionskosten zur Umsetzung der Vorgaben deutlich.

Pflichten Geschäftsleitung durch NIS-2:

  • Umsetzung sowie die Überwachung der Umsetzung von IT-Sicherheitsmaßnahmen
  • Regelmäßige Teilnahme an Schulungen zur Bewertung von Risiken und Maßnahmen

Bei Verletzung der Pflichten haftet die Geschäftsleitung nach den Regeln des jeweiligen Gesellschaftsrechts (§38 NIS2UmsuCG - Entwurf). 

Strafen & Bußgelder für Unternehmen:

Besonders Wichtige Einrichtungen

10 Mio. € oder 2% vom weltweiten Umsatz (ab 500 Mio.€ Umsatz)

Wichtige Einrichtung

7 Mio. € oder 1,4% vom weltweiten Umsatz (ab 500 Mio.€ Umsatz)

Weitere Bußgelder bei Missachtung einzelner Vorgaben aus der NIS-2 Richtlinie.

Cyber-relevante EU-Regularien gesamtheitlich mit UNITY umsetzen

FAQ zur NIS-2-Compliance

  • Was ist die NIS-2 Richtlinie?

    Die NIS-2-Richtlinie erweitert die Sicherheitsanforderungen für eine Vielzahl von Unternehmen. Betroffene Unternehmen müssen verstärkte Maßnahmen zur Cybersicherheit einführen, wie z. B. Risikomanagement, BCM und Meldepflichten bei Sicherheitsvorfällen. Zudem wird eine regelmäßige Überprüfung der Sicherheitsprozesse vorgeschrieben. Die Nichteinhaltung kann zu hohen Strafen führen.

  • Wie beeinflusst NIS-2 die IT-Sicherheitsstrategie meines Unternehmens?

    NIS-2 zwingt Unternehmen, ihre IT-Sicherheitsstrategie zu überdenken und an neue Vorgaben auszurichten. Es sind umfassendere Maßnahmen zur Risikominimierung nötig, einschließlich einer besseren Überwachung und Berichterstattung von Vorfällen. Die Richtlinie fördert zudem die Einführung von Notfallplänen und Sicherheitsprüfungen. Unternehmen müssen daher verstärkt in IT-Sicherheit investieren.

  • Welche Rolle spielt das Management in der Umsetzung von NIS-2?

    Das Management trägt die Verantwortung für die Umsetzung der NIS-2-Richtlinie. Angemessene Sicherheitsvorkehrungen müssen getroffen werden, um das Unternehmen auf potenzielle Cyberangriffe vorzubereiten. Zudem sind regelmäßige Schulungen für Mitarbeiter und Geschäftsleitung erforderlich. Fehlendes Engagement des Managements kann zu rechtlichen Konsequenzen führen.

  • Wie wirkt sich NIS-2 auf die Zusammenarbeit mit Partnern und Lieferanten aus?

    Unternehmen sind im Rahmen der NIS-2-Richtlinie verpflichtet Sicherheitsstandards ihrer Partner und Lieferanten zu überprüfen. Eine schwache Sicherheitsinfrastruktur eines Geschäftspartners kann erhebliche Risiken für das eigene Unternehmen darstellen. Deshalb müssen auch Partnernetzwerke striktere Cybersicherheitsmaßnahmen einhalten. Dies erfordert oft neue Verträge und engere Überwachung der Lieferketten.

  • Was muss ich machen wenn ich bereits ein ISMS habe um NIS-2 Compliance herzustellen?

    Wenn Ihr Unternehmen bereits ein Informationssicherheitsmanagementsystem (ISMS) implementiert hat, haben Sie einen Großteil der NIS-2 Anforderungen bereits umgesetzt. Die NIS-2 Vorgaben erweitern ein ISMS nach ISO27001 in einigen Bereichen, wie bspw.: Meldepflicht, Registrierungspflicht, etc.). Diese Spezifika gilt es in das ISMS zu integrieren. Sie sollten daher einen Compliance Check mit den NIS-2 Anforderungen durchführen.

  • Welche Besonderheiten sind in Deutschland zu berücksichtigen?

    In Deutschland gibt es eine Reihe technischer Normen und Zertifizierungen, die für Unternehmen einen Beitrag leisten können, die Anforderungen der NIS-2-Richtlinie zu erfüllen. Beispiele hierfür sind die ISO 27001-Zertifizierung für Informationssicherheitsmanagementsysteme und das BSI-Kompendium des Bundesamts für Sicherheit in der Informationstechnik.

    Unternehmen, die bereits der Kritisverordnung (KRITIS) bzw. dem Sicherheitsgesetz 2.0 des Bundesamts für Sicherheit in der Informationstechnik unterliegen, haben schon in der Vergangenheit ein hohes Sicherheitsniveau aufgebaut. Trotzdem empfiehlt es sich auch hier, mit einer Gap-Analyse mögliche Lücken für NIS-2 ausfindig zu machen.

    Ein Rechtsnachfolger für die Umsetzung der NIS-2-Richtlinie ist noch offen, spätestens im Oktober 2024 sollte dies aber erfolgt sein.

  • Wie wird NIS-2 in Österreich angewendet?

    In Österreich wurde die alte EU-NIS-Richtlinie über die österreichische NIS-Verordnung (BGBI. II Nr. 215/2019) und das österreichische NIS-Gesetz (BGBI. I Nr. 111/2018) umgesetzt. Ein Rechtsnachfolger für die NIS-2-Richtlinie ist noch offen, möglicherweise wird das NIS-Gesetz für die neuen Anforderungen novelliert.

    In Österreich gibt es eine Reihe technischer Normen und Zertifizierungen, die für Unternehmen einen Beitrag leisten können, die Anforderungen der NIS-2-Richtlinie zu erfüllen. Beispiele sind die ISO 27001-Zertifizierung für Informationssicherheitsmanagementsysteme und das Österreichische Informationssicherheitshandbuch.

  • Welche Spezifika gelten für die Schweiz?

    Die Schweiz ist kein Mitglied der Europäischen Union und daher nicht direkt an die NIS-2-Richtlinie gebunden. Allerdings hat die Schweiz ähnliche Bestimmungen zur Cyber Security und die Anforderungen an Betreiber kritischer Infrastrukturen und Diensteanbieter sind ähnlich wie in der NIS-2-Richtlinie festgelegt.

    In der Schweiz ist das Nationale Zentrum für Cybersicherheit (NCSC) für die Koordinierung und Umsetzung von Cyber Security-Maßnahmen zuständig. Das NCSC arbeitet eng mit Betreibern kritischer Infrastrukturen und anderen relevanten Partnern zusammen, um die Sicherheit des Schweizer Cyberraums zu gewährleisten.

  • Wann sollte ich mich mit NIS-2 auseinandersetzen?

    Als Unternehmen oder Organisation sollten Sie sich so früh wie möglich mit der NIS-2-Richtlinie auseinandersetzen, insbesondere wenn Sie als Betreiber kritischer Infrastrukturen oder als digitaler Diensteanbieter tätig sind.

    Wenn Sie in den Geltungsbereich von NIS-2 fallen, müssen Sie, zeitnah nachdem Ihre Branche in den Anwendungsbereich der NIS-2-Richtlinie aufgenommen wurde, geeignete Maßnahmen ergreifen, um hohe Strafen zu vermeiden.

    Auch wenn Ihr Unternehmen nicht direkt von der NIS-2-Richtlinie betroffen ist, kann es dennoch von den Vorschriften profitieren, indem es seine Cyber Security-Maßnahmen verbessert und sich besser gegen Cyberangriffe schützt. Wir können Ihnen dabei helfen, geeignete Maßnahmen zur Verbesserung Ihrer Cyber Security zu ergreifen und Ihre Geschäftsprozesse sicherer zu gestalten.

Vereinbaren Sie direkt einen Termin mit unseren Experten

Je nach Thema stellen wir für Sie das richtige Expertenteam zusammen. Wählen Sie Ihren Wunschtermin aus unserem Kalender aus und tauschen Sie sich telefonisch oder über Microsoft Teams zu Ihrem Anliegen ganz unverbindlich mit unseren Experten aus. Wir freuen uns darauf, Sie kennenzulernen!

Termin buchen

Ihre Ansprechpartner für NIS-2-Compliance

Michael Happ

Head of Cyber Security

Köln, Deutschland
Kontakt aufnehmen

Sebastian Befeld

Geschäftsfeldleiter

Paderborn, Deutschland
Kontakt aufnehmen

Christoph Plass

Mitglied des Vorstands

Paderborn, Deutschland
Kontakt aufnehmen