NIS2

Die europäische und nationale Gesetzgebung zur Cybersicherheit von Organisationen

Die neue europäische Richtlinie zur Netz- und Informationssicherheit (NIS2) soll bereits im Oktober 2024 in das deutsche Recht umgesetzt werden. Derzeit wird das deutsche Gesetz für NIS1 durch die bankaufsichtlichen Anforderungen an die IT (BAIT) geregelt. Die neue Richtlinie stellt erhebliche Anforderungen an das Cyber-Sicherheitsniveau von Organisationen in verschiedenen gesellschaftlichen Sektoren, die als wesentlich oder wichtig eingestuft werden.

Diese verpflichtenden, risikobasierten Cybersicherheitsmaßnahmen können erheblich zur Verbesserung des Sicherheitsniveaus beitragen, wobei viele Elemente bereits Teil der bestehenden Cybersicherheitsrichtlinien der Organisationen sein dürften. Allerdings kann die Nichteinhaltung dieser verpflichtenden Maßnahmen zu erheblichen monitären Strafen führen.

BDO Global hat ein klares NIS2-Bewertungstool entwickelt, das Ihnen unmittelbar wertvolle Einblicke in Ihre aktuelle Situation ermöglicht. Über den untenstehenden Button können Sie direkt auf das Tool zugreifen.

NIS2 Analyzer

Wie es funktioniert

NIS2 auf einen Blick:

Da die NIS2-Richtlinie nicht für alle gleichermaßen zugänglich ist, bieten wir einen kurzen Überblick über diese europäische Richtlinie zur Netz- und Informationssicherheit. In diesem Artikel erläutern wir die wesentlichen Punkte und erklären, für wen sie von Bedeutung ist. Entdecken Sie die Anforderungen und bewährten Praktiken zur Einhaltung von NIS2.

Wo stehen Sie?

Um sicherzustellen, dass Ihre Organisation rechtzeitig für diese gesetzlichen Cybersicherheitsanforderungen bereit ist, ist es wichtig, jetzt mit den richtigen Vorbereitungen zu beginnen. Auch wenn die Anforderungen noch nicht in nationalem Recht formalisiert wurden, ist bereits klar, in welche Richtung es geht. Es bestehen Parallelen zu bestehenden Rahmenwerken und bewährten Verfahren wie der ISO 27001 sowie der BAIT, welche ab Januar 2025 von dem Digital Operational Resilience Act (DORA) abgelöst werden.

Führen Sie jetzt den NIS2-Analyzer aus und verschaffen Sie sich einen ersten Eindruck davon, wo Sie heute stehen.

NIS2 analyzer

Was?

Die NIS2-Richtlinie stellt Sicherheitsanforderungen auf, die unter die Sorgfaltspflicht, die Meldepflicht und die Aufsicht fallen und bereits relativ konkret sind, bevor sie in nationales Recht umgesetzt werden. Dazu gehören unter anderem die konkreten Maßnahmenlisten aus Artikel 21 und die erheblichen Geldbußen aus Artikel 34 Absatz 4. Weitere Informationen finden Sie in der Richtlinie: EUR-Lex – 32022L2555 (europa.eu). Darüber hinaus gibt es eine Reihe anderer bemerkenswerter Elemente, wie Sicherheitsanforderungen in der Lieferkette, die Verantwortung der Managementorgane und Schulungspflichten.

Für wen?

Organisationen, die unter die neue europäische Richtlinie zur Netz- und Informationssicherheit 2 (NIS2) fallen, sind unter anderem Energieunternehmen, Fluggesellschaften, Wasserbetriebe, digitale Dienstleister, Regierungsbehörden und deren Lieferanten. Um zu überprüfen, ob Ihre Organisation unter diese Richtlinie fällt, wird empfohlen, Informationen von Ihrer örtlichen Regierung zu konsultieren. Das Bundesamt für Sicherheit in der Informationstechnik hat einen Selbsteinschätzungsfragebogen veröffentlicht, den Sie unter NIS2 Betroffenheitsprüfung finden können. Weitere Informationen hierzu finden Sie unter bsi.bund.de Bei Fragen stehen wir Ihnen gerne für fachkundige Beratung und Unterstützung zur Verfügung.

Welche Unternehmen

 

Die NIS2-Richtlinie richtet sich an eine größere Anzahl von Unternehmen und Organisationen als die erste NIS-Richtlinie. Das bedeutet, dass nun mehr öffentliche und private Organisationen die Vorschriften einhalten müssen.

Die von der NIS2-Richtlinie erfassten Organisationen umfassen:

Annex 1 sectors Annex 2 sectors
  • Energie
  • Logistik
  • Banking
  • Infrastruktur Finanzmarkt
  • Gesundheitswesen
    Trinkwasserversorgung
    Digitale Infrastruktur
    IKT-Dienstleister
    Abwasserwirtschaft
    Behördendienste
    Raumfahrt
  • Anbieter digitaler
  • Dienste
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Lebensmittelproduktion
  • Chemikalien
  • Forschung
  • Fertigung

Wesentliche Einrichtungen

Diese sind große Organisationen, die in einem Sektor aus Anhang I der NIS2-Richtlinie tätig sind (siehe Tabelle).

Eine Organisation gilt als groß, wenn sie die folgenden Kriterien erfüllt:

  • Mindestens 250 Mitarbeiter
    Einen Jahresumsatz von mehr als 50 Millionen Euro und
  • eine Bilanzsumme von mehr als 43 Millionen Euro

Wichtige Einrichtungen

Diese sind mittelgroße Organisationen, die in einem Sektor aus Anhang I tätig sind, sowie mittelgroße und große Organisationen, die in einem Sektor aus Anhang II tätig sind.

Eine Organisation gilt als mittelgroß, wenn sie die folgenden Kriterien erfüllt:

  • Mindestens 50 Mitarbeiter oder
  • Einen Jahresumsatz und eine Bilanzsumme über bestimmten Schwellenwerten.

Unsere Dienstleistungen

Wir können Ihre Organisation dabei unterstützen, die NIS2- als auch die DORA-Compliance zu erreichen und die erforderlichen Maßnahmen zur Cybersicherheit, IKT-Risiken und digitale operationale Resilienz durch vielfältige Dienstleistungen aufrechtzuerhalten.

Bewerten& Sicherstellen

Analyse der wichtigsten Lücken mit unseren umfassenden Gap-Analysen unter Berücksichtigung der der technischen Regulierungs- (RTS) und Durchführungsstandards (ITS).

Beraten& Umsetzen

Umfassende Risikobewertungen, Incident Management und Business Continuity Planning.

Kontonuirliche Sicherheit

Flexible und anpassungsfähige DORA-Konformität, die Ihre Organisation nicht nur gemäß den aktuellen Vorschriften zertifiziert, sondern auch auf mögliche zukünftige Anforderungen bis Januar 2025 vorbereitet.

Kontaktieren Sie uns!

© 2024 BDO Canada LLP

Privacy & Cookie Policy