NIS-2 & KRITIS

NIS-2 und KRITIS

NIS-2 und KRITIS – Anforderungen an Cybersicherheit und Resilienz

Mit den Richtlinien NIS-2 und CER der Europäischen Union werden die Anforderungen an Cyber- und Informationssicherheit für Unternehmen und Organisationen deutlich erweitert. Ziel der Richtlinien ist es, die Resilienz kritischer und wichtiger Einrichtungen gegenüber Cyberangriffen und IT-Störungen in der gesamten EU zu stärken.

Im Vergleich zu bisherigen Regelungen betreffen NIS2 und CER bzw. deren nationale Umsetzungsgesetze NIS2UmsuCG und KRITIS-Dachgesetz deutlich mehr Unternehmen und Branchen. Neben bisherigen Betreibern kritischer Infrastrukturen werden künftig auch zahlreiche weitere Organisationen aus den KRITIS-Sektoren aber auch aus weiteren Sektoren wie z.B. Digitale Infrastruktur und Herstellung (produzierendes Gewerbe) verpflichtet, umfangreiche Sicherheitsmaßnahmen umzusetzen und sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Neben den umzusetzenden Maßnahmen und der Registrierung sind betroffene Unternehmen zudem verpflichtet, entsprechende (Cyber-) Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI zu melden. 

Auch wurden erweiterte Haftungsregeln für die Geschäftsleitungen von betroffenen Unternehmen eingeführt. Hierdurch wird das Thema Cybersicherheit zur Chefsache: Geschäftsführer und Vorstände müssen sich nach § 38 BSIG regelmäßig zu dem Thema schulen lassen. Kümmern sie sich nicht um das Thema, drohen persönliche Haftung (Organversagen) oder gar temporäre Abberufung.

Bestehende KRITIS-Unternehmen fallen automatisch unter die Kategorie der besonders wichtigen Unternehmen gemäß NIS-2. Für diese Organisationen werden die bisherigen nationalen Regelungen erweitert und durch zusätzliche europäische Vorgaben ergänzt.

Unsere Unterstützung bei der Umsetzung von NIS-2 und KRITIS

Wir unterstützen Unternehmen bei der Analyse, Umsetzung und Integration der Anforderungen aus NIS-2 und KRITIS-Dachgesetz.

Unsere Leistungen umfassen unter anderem:

  • Analyse der Betroffenheit Ihres Unternehmens durch NIS-2 und KRITIS-Dachgesetz
  • Durchführung von Geschäftsführerschulungen gem. § 38 BSIG
  • Bewertung bestehender IT- und Informationssicherheitsmaßnahmen
  • Identifikation von Risiken und möglichen Schadensszenarien
  • Entwicklung und Umsetzung geeigneter Sicherheits- und Risikomanagementmaßnahmen gem. § 30 BSIG
  • Unterstützung von KRITIS-Betreibern bei den erweiterten Risikomanagementmaßnahmen und System zur Angriffserkennung (SzA) gemäß § 31 BSIG
  • Unterstützung beim Aufbau oder der Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS)
  • Vorbereitung auf Meldepflichten nach § 32 BSIG, Dokumentationsanforderungen und behördliche Prüfungen

Ihr Nutzen

  • Klare Einordnung, ob und in welchem Umfang Ihr Unternehmen von NIS-2 betroffen ist
  • Strukturierte Umsetzung der neuen gesetzlichen Anforderungen
  • Integration der Sicherheitsanforderungen in bestehende IT- und Geschäftsprozesse
  • Stärkung der Cyber-Resilienz und IT-Sicherheit sowie der IT-Compliance Ihres Unternehmens