Überblick
Basierend auf Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI)
Die europäische NIS-2-Richtlinie verschärft die Anforderungen an die Cybersicherheit in Europa deutlich.
Für viele Unternehmen bedeutet das neue Pflichten, Meldefristen und Anforderungen:
- Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Erweiterte Meldepflichten bei Sicherheitsvorfällen
- Strengere Anforderungen an IT-Sicherheitsmaßnahmen
- Klare Verantwortung und Haftung der Geschäftsführung
Die zentrale Frage lautet:
Ist mein Unternehmen nach dem NIS-2-Gesetz betroffen – und sind wir vorbereitet?
Wer ist von NIS-2 betroffen?
Im September 2024 haben wir bereits einen Überblick über die NIS-2-Richtlinie und die Betroffenheit von der NIS-2-Umsetzung veröffentlicht. Diesen Beitrag finden Sie hier.
Wichtig: Es gibt Ausnahmen und Sonderregelungen. Eine individuelle Betroffenheitsprüfung ist erforderlich.
Viele mittelständische Unternehmen gehen davon aus, nicht betroffen zu sein – bis jemand eine NIS-2-Konformitätserklärung verlangt.
Hier geht es zur Betroffenheitsprüfung des BSI
Registrierungspflicht nach NIS-2 beim BSI
Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Die Registrierung muss innerhalb von drei Monaten, nachdem Ihr Unternehmen von der Richtlinie betroffen ist, erfolgen.
Verantwortung der Geschäftsführung nach NIS-2
Die NIS-2-Richtlinie adressiert ausdrücklich die Leitungsebene und macht die Geschäftsleitung explizit verantwortlich für die Cybersicherheit. Das bedeutet: Sie tragen die Verantwortung für die Umsetzung und Überwachung der Anforderungen.
Benötigen Sie Unterstützung bei der Umsetzung von Sicherheitsmaßnahmen? Mehr erfahren.
Meldepflichten nach NIS-2: Fristen bei Sicherheitsvorfällen
Eine zentrale Neuerung der NIS-2-Richtlinie betrifft die Meldefristen bei erheblichen Sicherheitsvorfällen.
Meldefristen im Überblick
- Innerhalb von 24 Stunden: Frühe Erstmeldung
- Innerhalb von 72 Stunden: Folgemeldung
- Innerhalb 1 Monats: Abschlussmeldung
Was gilt als erheblicher Sicherheitsvorfall?
NIS-2 definiert einen meldepflichtigen Vorfall als Vorfall, der:
- schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung
verursacht hat oder verursachen kann oder - andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder beeinträchtigen kann.
Mehr zur NIS-2-Meldepflicht beim BSI
Technische und organisatorische Maßnahmen nach NIS-2
NIS-2 fordert ein strukturiertes Risikomanagement.
Dazu gehören u.a.:
- Risikoanalysen
- Sicherheitskonzepte (Incident Response)
- Business Continuity Management
- Sicherheit der Lieferkette (Supply Chain Security)
- Notfallpläne
- Verschlüsselung & Zugriffskontrollen
- Multi-Faktor-Authentifizierung
- Security Monitoring
- Schulungen
Gerade für den Mittelstand ist die Dokumentation häufig eine große Herausforderung.
Mehr zu Managed Security Services
Checkliste: Sind Sie NIS-2-konform?
Beantworten Sie diese Fragen:
- Haben wir geprüft, ob wir unter das NIS-2-Gesetz fallen?
- Sind wir beim BSI registrierungspflichtig – und wenn ja, bereits registriert?
- Existiert ein dokumentierter Meldeprozess für Sicherheitsvorfälle?
- Haben wir unsere Lieferkette risikobasiert bewertet?
- Ist die Verantwortung auf Geschäftsleitung formal festgelegt?
Wenn Sie eine dieser Fragen nicht klar mit „Ja“ beantwortet können, besteht Handlungsbedarf.
Wir helfen Ihnen!
Hilfe über unser Kontaktformular oder Wunschtermin!
