NIS-2 kommt: Wir machen Ihr Unternehmen fit für IT-Sicherheit

NIS-2-Compliance für Unternehmen

Anforderungen an Cybersicherheit mit UNITY erfolgreich umsetzen!

Die 2022 von der EU verabschiedete NIS-2-Richtlinie erweitert die Anforderungen an die Informationssicherheit erheblich. Technische und organisatorische Maßnahmen müssen umgesetzt werden, um konform zu den NIS-2 Vorgaben zu bleiben.

UNITY betrachtet Investitionen aufgrund regulatorischer Anforderungen stets als Chance, die Unternehmensorganisation nachhaltig mit effizienten Lösungen zu verbessern. Mit der richtigen Umsetzung der NIS-2 schaffen Sie eine langfristige Sicherheitsorganisation für Ihr Unternehmen. Wir unterstützen Sie in allen Phasen – von der Identifikation der Betroffenheit über die Zielbildentwicklung und Gap Analyse bis zur Umsetzung maßgeschneiderter Maßnahmen.

Als Managementberatung sind wir auf die Beratung von Unternehmen in Fragen der Regulatorik und Informationssicherheit in Europa spezialisiert. Kontaktieren Sie uns gerne, um mehr darüber zu erfahren, wie wir Sie unterstützen können.

NIS-2 Compliance mit UNITY

Vorstandsgerechte, umsetzungsstarke und ergebnisorientierte Beratung für Ihre NIS-2 Compliance:

Betroffenheit & Anforderungsanalyse
Zielbild & Maßnahmenplan/ -umsetzung

NIS-2 kommt: Jetzt vorbereiten!

NIS2UmsuCG derzeit im Gesetzgebungsprozess
Voraussichtliches Inkrafttreten in 2025

Wir empfehlen bereits heute mit der Betroffenheitsfeststellung und Maßnahmenplanerstellung beginnen.

Anforderungen an IT-Sicherheit

NIS-2 fordert Sicherheitsmaßnahmen aus den Clustern:

Information Security Management System (ISMS)
Business Continuity Management (BCM)
Identity and Access Management (IAM)
Supply Chain Security
Melde- und Registrierungspflichten

Betroffene Unternehmen

Insgesamt 14 Sektoren betroffen, darunter unter anderem:

Energie und Versorgung
Transport und Verkehr
Verarbeitendes Gewerbe
Anbieter digitaler Dienste
Gesundheit

Jetzt prüfen, ob Sie betroffen sind.

Empfindlich hohe Strafen

Die Geschäftsleitung ist in der Pflicht die NIS-2 bezogene Maßnahmen umzusetzen. Strafen sind:

Haftung der Geschäftsleitung
Besonders wichtigen Einrichtungen: mind. 10 Millionen Euro oder 2% globaler Umsatz
Wichtigen Einrichtungen mind. 7 Millionen Euro oder 1,4% globaler Umsatz

Gesamtheitliche Umsetzung

Wir unterstützen Sie nicht nur bei NIS-2, sondern beraten ganzheitlich mit Synergien zwischen Regularien wie:

Cyber Resilience Act (CRA)
Radio Equipment Directive (RED)
Digital Operational Resilience Act (DORA)

Ihr Mehrwert durch UNITY

Breites Cyber Security Beratungsportfolio

Die Anforderungen der NIS-2 kennen wir bereits aus vergangenen Cyber Security Projekten. Von der Organisationsentwicklung bis zum Aufbau eines SOCs unterstützen wir Sie bei Umsetzung von NIS-2 Vorgaben.

Industrie Best Practices in Strategie und Umsetzung

Für die einzelnen Sektoren der NIS-2 bringen wir branchenspezifische Lösungsansätze mit. Diese passen wir an Ihre individuellen Bedürfnisse an.

Qualifizierte Cyber Security Berater

Unsere hochqualifizierten Berater arbeiten ergebnisorientiert und umsetzungsstark. Das Projektteam kann stets durch Experten aus unserem breiten Netzwerk erweitert werden.

Unsere Consulting Services für NIS-2-Compliance für Unternehmen

Effiziente Lösungen, maßgeschneidert für Ihren NIS-2 Compliance-Erfolg

NIS-2 Readiness & Betroffenheitsprüfung

Betroffenheitsanalyse
IST-Aufnahme der aktuellen Security-Landschaft

Ergebnisse:

Betroffenheit der Entitäten
Definition von konkreten Handlungsfeldern

Anforderungsanalyse & Maßnahmenkatalog

Anforderungsanalyse NIS-2
Ableitung von dedizierten Maßnahmen

Ergebnisse:

Abdeckungsgrad NIS-2-Anfoderungen
Maßnahmenkatalog

Zielbilderarbeitung & NIS-2 Roadmap

Definition von Zielbild
Ableitung einer Roadmap zur NIS-2-Compliance

Ergebnisse:

Budgetierte Projekte/Initiativen zur NIS-2-Compliance
Einbettung der Aktivitäten in das Security Framework

Umsetzung & Monitoring

Steuerung & Umsetzung der Maßnahmen
Vorbereitungen für Audits und Compliance-Checks

Ergebnisse:

Umgesetzte NIS-2-Anforderungen
Fortschrittsbericht und NIS-2-Compliance

Jetzt anfragen: NIS-2-Compliance und Sicherheit für Ihr Unternehmen

Bestimmen Sie Ihren NIS-2 Reifegrad und gemeinsam erarbeiten wir ihren individuellen NIS-2 Umsetzungsplan.

NIS-2 Quick Start anfragen

NIS-2-Fahrplan und Fristen

Die Anforderungen durch NIS-2 stehen fest. Beginne Sie heute mit einer Betroffenheitsanalyse und der NIS-2-Umsetzung

Dezember 2022

NIS-2-EU-Direktive 2022/2555 ist in Kraft getreten.

17. Oktober 2024

Ursprünglich hatte die EU vorgesehen, dass die Mitgliedstaaten die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland konnte dieser Termin jedoch nicht eingehalten werden.

Aktueller Stand in Deutschland:

Die Umsetzung soll im Jahr 2025 abgeschlossen sein – der Referentenentwurf für das NIS-2-Umsetzungsgesetz ist verabschiedet und befindet sich derzeit im Gesetzgebungsprozess.

Hohe Anforderungen an IT-Sicherheit

Wir kennen die Anforderungen der NIS-2-Richtlinie und bieten Ihnen konkrete Lösungsansätze, um diese erfolgreich umzusetzen. Durch den Abgleich branchenüblicher Standards mit dem aktuellen Stand Ihres Unternehmens erstellen wir einen umfassenden NIS-2-Compliance-Maßnahmenplan. So stellen wir sicher, dass Sie alle gesetzlichen Vorgaben erfüllen und Ihre Cybersicherheit optimal aufgestellt ist.

§ 30 Abs. 2 Nr. 1 – Riskomanagement
- Risiken identifizieren und bewerten anhand UNITY Branchenstandards
- Kontinuierliche Steuerung und Überwachung von Risiken
§ 30 Abs. 2 Nr. 2 – Bewältigung von Sicherheitsvorfällen
- Incident Management mit individuellen Incident Response Pläne
- Schulungen und Simulationen
- Auswahl und Integration von SIEM-, IDPS oder Incident-Response-Systemen
§ 30 Abs. 2 Nr. 5 – Sicherheit in der Entwicklung, Beschaffung und Wartung
- Security by Design Prinzipien einführen und etablieren
§ 30 Abs. 2 Nr. 6 – Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Dauerhaftes Schwachstellen-Monitoring
- Initiale Durchführung und Etablierung kontinuierlicher Security Assessments
§ 30 Abs. 2 Nr. 7 – Grundlegende Konzepte und Verfahren im Bereich der Cyberhygiene
- Patch- und Backupmanagement
- Regelungen Passwörter und Zugriffskontrollen
- Sicherheitsmaßnahmen wie Penetrationstests
§ 30 Abs. 2 Nr. 7 & § 38 – Schulungen im Bereich der Informationssicherheit
- Spezifische Schulungen wie: Kontinuirliche E-Learnings und Weiterbildung in der Informationssicherheit
§ 30 Abs. 2 Nr. 8 – Kryptografie und Verschlüsselung
- Ende-zu-Ende Verschlüsselung
- Verschlüsselung ruhender Daten (Data-at-Rest)
- Schlüsselmanagement
§ 30 Abs. 2 Nr. 9 – Sicherheit von Personal und Konzepte für die Zugriffskontrolle und für das Anlagen-Management
- Physische Sicherheitsüberwachung und Zugangsbeschränkung
- Rollenbasierte Zugriffskontrollen
§ 30 Abs. 2 Nr. 10 – Identitätsmanagement und Authentifizierung
- Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung
- Gesicherte Sprach-, Video- und Textkommunikation mit Internen und Externen
§ 32 – NIS-2 spezifische Meldepflichten
- Integration der NIS-2 spezifische Vorgaben in das Incident- und Krisenmanagement (BCM)

§ 30 Abs. 2 Nr. 3 – Aufrechterhaltung des Betriebs
- Business Impact Analyse (BIA) zur Identifikation von Assets
- Krisenorganisation und Notfallpläne für Geschäftsprozesse
- Notbetrieb und Wiederherstellung von Systemen
§ 30 Abs. 2 Nr. 10 – Gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
- Redundante Notfallinfrastruktur
- Backup von Kontaktlisten
§ 30 Abs. 2 Nr. 4 – Sicherheit der Lieferkette
- Kontinuierliches Lieferantenmanagement
- Sicherheitsaudits und Risikobewertung von Zuliefern
- Vertragsbasierte Sicherheitsanforderungen
§ 38 – Pflichten der Geschäftsleitung (Maßnahmenumsetzung und Schulung)
- Spezifische Führungskräfte Schulungen: IT Sicherheit für Führungskräfte (Cyber Security Awarenesstraining)
- Monitoring Dashboard für Risikomaßnahmen

Jetzt anfragen: Workshop zur Erfüllung von Schulungspflichten für Führungskräfte nach der NIS-2-Richtlinie

Vermittlung von Grundkenntnissen und -fähigkeiten, um Informationssicherheitsrisiken frühzeitig zu erkennen, zu bewerten und strategische Entscheidungen zu treffen.

NIS-2 Leadership Awareness Training anfragen

Betroffene Unternehmen

Die NIS-2-Richtlinie erweitert den Geltungsbereich früherer Regulierungen erheblich. Sie gilt nun nicht nur für kritische Infrastrukturen, sondern für alle Unternehmen der 14 Sektoren, die mehr als 50 Mitarbeiter beschäftigen oder mehr als 10 Mio. € Jahresumsatz erzielen. Dadurch wird die Cybersicherheitsverantwortung auf eine viel breitere Unternehmenslandschaft ausgeweitet. Die Vorgaben aus der NIS-2 sind von Besonders wichtigen und wichtigen Einrichtungen gleichermaßen zu erfüllen. Unterschiede bestehen lediglich in der Verhältnismäßigkeit. Eine erste Selbsteinschätzung gibt Ihnen die Betroffenheitsprüfung vom BSI. (BSI - NIS-2-Betroffenheitsprüfung (bund.de))

Sektoren besonders wichtiger Einrichtungen:

- Stromversorgung
- Fernwärme und -kälteversorgung
- Kraftstoff- und Heizölversorgung
- Gasversorgung
- Luftverkehr
- Schienenverkehr
- Schiffahrt
- Straßenverkeh
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitsdienstleister
- EU-Referenzlaboratorien
- Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel
- Unternehmen, die pharmazeutische Erzeugnisse herstellen
- Hersteller Medizinprodukte

- Trinkwasserversorgung
- Abwasserbeseitigung
- Internet Exchange Points
- DNS-Dienstanbieter
- Top Level Domain Name Registry
- Anbieter Cloud-Computing-Diensten
- Anbieter Rechenzentrumsdienste
- Betreiber Content Delivery Networks
- Vertrauensdiensteanbieter
- Betreiber öffentlicher Telekommunikationsnetze
- Anbieter öffentlich zugänglicher Telekommunikationsdienste
- Managed Services Provider
- Managed Security Services Provider
- Bodeninfrastruktur

Sektoren wichtiger Einrichtungen:

Post- und Kurierdienste
Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln

- Herstellung von Medizinprodukten und In-vitro-Diagnostika
- Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
- Herstellung von elektrischen Ausrüstungen
- Maschinenbau
- Herstellung von Kraftwagen und Kraftwagenteilen
- Sonstiger Fahrzeugbau
- Anbieter von Online-Marktplätzen
- Anbieter von Online-Suchmaschinen
- Anbieter von Plattformen für Dienste sozialer Netzwerke
Forschungseinrichtungen

Empfindlich hohe Strafen

Die NIS-2-Richtlinie verschärft die Sanktionen bei Verstößen erheblich im Vergleich zu früheren Regelungen. Unternehmen drohen hohe Geldstrafen, die bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen können. Diese strengeren Strafmaßnahmen sollen sicherstellen, dass Cybersicherheit in den betroffenen Unternehmen umgesetzt wird. Die Strafen übersteigen die Investitionskosten zur Umsetzung der Vorgaben deutlich.

Pflichten Geschäftsleitung durch NIS-2:

Umsetzung sowie die Überwachung der Umsetzung von IT-Sicherheitsmaßnahmen
Regelmäßige Teilnahme an Schulungen zur Bewertung von Risiken und Maßnahmen

Bei Verletzung der Pflichten haftet die Geschäftsleitung nach den Regeln des jeweiligen Gesellschaftsrechts (§38 NIS2UmsuCG - Entwurf).

Strafen & Bußgelder für Unternehmen:

Besonders Wichtige Einrichtungen

10 Mio. € oder 2% vom weltweiten Umsatz (ab 500 Mio.€ Umsatz)

Wichtige Einrichtung

7 Mio. € oder 1,4% vom weltweiten Umsatz (ab 500 Mio.€ Umsatz)

Weitere Bußgelder bei Missachtung einzelner Vorgaben aus der NIS-2 Richtlinie.

Cyber-relevante EU-Regularien gesamtheitlich mit UNITY umsetzen

FAQ zur NIS-2-Compliance

Die NIS-2-Richtlinie erweitert die Sicherheitsanforderungen für eine Vielzahl von Unternehmen. Betroffene Unternehmen müssen verstärkte Maßnahmen zur Cybersicherheit einführen, wie z. B. Risikomanagement, BCM und Meldepflichten bei Sicherheitsvorfällen. Zudem wird eine regelmäßige Überprüfung der Sicherheitsprozesse vorgeschrieben. Die Nichteinhaltung kann zu hohen Strafen führen.
NIS-2 zwingt Unternehmen, ihre IT-Sicherheitsstrategie zu überdenken und an neue Vorgaben auszurichten. Es sind umfassendere Maßnahmen zur Risikominimierung nötig, einschließlich einer besseren Überwachung und Berichterstattung von Vorfällen. Die Richtlinie fördert zudem die Einführung von Notfallplänen und Sicherheitsprüfungen. Unternehmen müssen daher verstärkt in IT-Sicherheit investieren.
Das Management trägt die Verantwortung für die Umsetzung der NIS-2-Richtlinie. Angemessene Sicherheitsvorkehrungen müssen getroffen werden, um das Unternehmen auf potenzielle Cyberangriffe vorzubereiten. Zudem sind regelmäßige Schulungen für Mitarbeiter und Geschäftsleitung erforderlich. Fehlendes Engagement des Managements kann zu rechtlichen Konsequenzen führen.
Unternehmen sind im Rahmen der NIS-2-Richtlinie verpflichtet Sicherheitsstandards ihrer Partner und Lieferanten zu überprüfen. Eine schwache Sicherheitsinfrastruktur eines Geschäftspartners kann erhebliche Risiken für das eigene Unternehmen darstellen. Deshalb müssen auch Partnernetzwerke striktere Cybersicherheitsmaßnahmen einhalten. Dies erfordert oft neue Verträge und engere Überwachung der Lieferketten.
Wenn Ihr Unternehmen bereits ein Informationssicherheitsmanagementsystem (ISMS) implementiert hat, haben Sie einen Großteil der NIS-2 Anforderungen bereits umgesetzt. Die NIS-2 Vorgaben erweitern ein ISMS nach ISO27001 in einigen Bereichen, wie bspw.: Meldepflicht, Registrierungspflicht, etc.). Diese Spezifika gilt es in das ISMS zu integrieren. Sie sollten daher einen Compliance Check mit den NIS-2 Anforderungen durchführen.
In Deutschland gibt es eine Reihe technischer Normen und Zertifizierungen, die für Unternehmen einen Beitrag leisten können, die Anforderungen der NIS-2-Richtlinie zu erfüllen. Beispiele hierfür sind die ISO 27001-Zertifizierung für Informationssicherheitsmanagementsysteme und das BSI-Kompendium des Bundesamts für Sicherheit in der Informationstechnik.

Unternehmen, die bereits der Kritisverordnung (KRITIS) bzw. dem Sicherheitsgesetz 2.0 des Bundesamts für Sicherheit in der Informationstechnik unterliegen, haben schon in der Vergangenheit ein hohes Sicherheitsniveau aufgebaut. Trotzdem empfiehlt es sich auch hier, mit einer Gap-Analyse mögliche Lücken für NIS-2 ausfindig zu machen.

Ein Rechtsnachfolger für die Umsetzung der NIS-2-Richtlinie ist noch offen, spätestens im Oktober 2024 sollte dies aber erfolgt sein.
In Österreich wurde die alte EU-NIS-Richtlinie über die österreichische NIS-Verordnung (BGBI. II Nr. 215/2019) und das österreichische NIS-Gesetz (BGBI. I Nr. 111/2018) umgesetzt. Ein Rechtsnachfolger für die NIS-2-Richtlinie ist noch offen, möglicherweise wird das NIS-Gesetz für die neuen Anforderungen novelliert.

In Österreich gibt es eine Reihe technischer Normen und Zertifizierungen, die für Unternehmen einen Beitrag leisten können, die Anforderungen der NIS-2-Richtlinie zu erfüllen. Beispiele sind die ISO 27001-Zertifizierung für Informationssicherheitsmanagementsysteme und das Österreichische Informationssicherheitshandbuch.
Die Schweiz ist kein Mitglied der Europäischen Union und daher nicht direkt an die NIS-2-Richtlinie gebunden. Allerdings hat die Schweiz ähnliche Bestimmungen zur Cyber Security und die Anforderungen an Betreiber kritischer Infrastrukturen und Diensteanbieter sind ähnlich wie in der NIS-2-Richtlinie festgelegt.

In der Schweiz ist das Nationale Zentrum für Cybersicherheit (NCSC) für die Koordinierung und Umsetzung von Cyber Security-Maßnahmen zuständig. Das NCSC arbeitet eng mit Betreibern kritischer Infrastrukturen und anderen relevanten Partnern zusammen, um die Sicherheit des Schweizer Cyberraums zu gewährleisten.
Als Unternehmen oder Organisation sollten Sie sich so früh wie möglich mit der NIS-2-Richtlinie auseinandersetzen, insbesondere wenn Sie als Betreiber kritischer Infrastrukturen oder als digitaler Diensteanbieter tätig sind.

Wenn Sie in den Geltungsbereich von NIS-2 fallen, müssen Sie, zeitnah nachdem Ihre Branche in den Anwendungsbereich der NIS-2-Richtlinie aufgenommen wurde, geeignete Maßnahmen ergreifen, um hohe Strafen zu vermeiden.

Auch wenn Ihr Unternehmen nicht direkt von der NIS-2-Richtlinie betroffen ist, kann es dennoch von den Vorschriften profitieren, indem es seine Cyber Security-Maßnahmen verbessert und sich besser gegen Cyberangriffe schützt. Wir können Ihnen dabei helfen, geeignete Maßnahmen zur Verbesserung Ihrer Cyber Security zu ergreifen und Ihre Geschäftsprozesse sicherer zu gestalten.

Vereinbaren Sie direkt einen Termin mit unseren Experten

Je nach Thema stellen wir für Sie das richtige Expertenteam zusammen. Wählen Sie Ihren Wunschtermin aus unserem Kalender aus und tauschen Sie sich telefonisch oder über Microsoft Teams zu Ihrem Anliegen ganz unverbindlich mit unseren Experten aus. Wir freuen uns darauf, Sie kennenzulernen!

Termin buchen