Cybersicherheit: NIS2 als Chance für produzierende Unternehmen

Illustration Absmeier foto freepik

Unternehmen des produzierenden Gewerbes sind nicht KRITIS-relevant und fallen auch nicht unter die bisherige NIS-Richtlinie. Und so haben diese Unternehmen in der Regel noch keine entsprechenden Sicherheitsmaßnahmen implementiert, die offiziellen Anforderungen entsprechen. Die Herausforderungen durch die neue verschärfte NIS2-Richtlinie sind für sie daher besonders groß. Sie sind gezwungen, Klarheit in der Organisation zu schaffen, um zukünftig neuen Risiken und regulatorischen Anforderungen begegnen zu können. Die anstehende Einführung klarer Mindeststandards für Cybersicherheit sollten produzierende Unternehmen als Chance sehen. Die Umsetzung der NIS2-Vorgaben bietet eine hervorragende Gelegenheit zum Umdenken im Umgang mit Cyberrisiken – dies ist nicht zuletzt vor dem Hintergrund der zunehmenden Digitalisierung und Vernetzung der Produktion dringend erforderlich. Nils Kohrt und June Snyder-Kamen, Berater und Beraterin bei Eraneos im Bereich Cybersecurity, führen durch den Prozess und geben Tipps für die Umsetzung.

 

Zum Schutz europäischer Unternehmen vor Cyberangriffen trat 2016 als EU-weite Gesetzgebung zur Cybersicherheit die erste »Network and Information Security«-Richtline, kurz NIS, in Kraft. Die Herausforderungen für die Sicherheit der Cyberinfrastruktur sind heute so groß wie nie zuvor. Zuletzt verschärfte die Cyberkriegsführung im Zusammenhang mit dem Krieg in der Ukraine die Sicherheitslage. In Kombination mit der zunehmenden Digitalisierung und Vernetzung steht die Wirtschaft vor einer ernsten Bedrohungslage.

Die EU hat daher die bestehenden Sicherheitsvorschriften durch die 2023 in Kraft getretene NIS2-Richtlinie aktualisiert. Unternehmen müssen sich unter anderem mit den Themen Cyberrisikomanagement, Kontrolle, Überwachung, Vorfallmanagement und Geschäftskontinuität befassen. Die Mitgliedstaaten sollten NIS2 bis Oktober 2024 in nationales Recht umsetzen. Bei einigen Ländern gibt es jedoch eine zeitliche Verschiebung, so auch in Deutschland. Hier wurde im Juli 2023 der Referentenentwurf des Bundesministeriums des Innern und für Heimat veröffentlicht, das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG. Ein im Juli 2024 verabschiedeter Regierungsentwurf soll nach aktuellem Stand im März 2025 verkündet werden [1]. Die Richtlinie erweitert die Anforderungen an die Cybersicherheit und die Sanktionen und enthält strengere Anforderungen. In Deutschland geht der Gesetzgeber von etwa 30.000 betroffenen Unternehmen in den verschiedenen Gruppen aus. Je nach Sektor unterscheiden sich die Herausforderungen, die mit der Umsetzung einhergehen. So fallen beispielsweise Unternehmen im Bereich Energie und Elektrizität bereits unter NIS sowie KRITIS. Sie können daher auf bestehenden Prozessen aufbauen. Anders sieht es für Unternehmen aus dem Sektor des verarbeitenden Gewerbes aus. Diese fielen nicht unter NIS und waren größtenteils auch nicht KRITIS-relevant. Umfang und Tiefe der Anforderungen stellen viele dieser Unternehmen vor besondere Herausforderungen.

 

Betroffenheitsanalyse

Zunächst sollten Unternehmen herausfinden, ob sie in den Anwendungsbereich von NIS2 fallen und wie sie klassifiziert werden. Am Anfang des Prozesses steht daher eine Betroffenheitsanalyse. Als erste Anlaufstelle dient hierzu die Seite des BSI, die eine anonyme und kostenfreie Prüfung ermöglicht: https://betroffenheitspruefung-NIS2.bsi.de/ [2] [3].

Unternehmen des produzierenden Gewerbes fallen unter Voraussetzung der Mindestgröße hier voraussichtlich in die Einstufung »wichtige Einrichtung«. Dieses Ergebnis dient der Orientierung und muss mit der Rechtsabteilung oder anderen Experten im Detail geprüft werden. Bestätigt sich die Einstufung, ergibt sich damit die Pflicht zur Registrierung. Hierfür gilt in Deutschland eine Frist von drei Monaten nach Inkrafttreten NIS2UmsuCG.

 

Internationale Unternehmen

Die Implementierung europaweit unterschiedlicher nationaler NIS2-Umsetzungen führt zu einer deutlichen Komplexitätserhöhung für international tätige Unternehmen. Denn sie müssen beachten, dass sie potenziell in verschiedene nationale Vorgaben innerhalb der EU-Länder fallen. Wie die aktuellen Gesetze und Entwürfe der jeweiligen Länder zeigen, gibt es hier durchaus Abweichungen hinsichtlich Umfang, Einordnung in die Sektoren und Prüfung. Aber auch die Meldefristen beziehungsweise der Registrierungsvorgang sind betroffen. Hier sollten Unternehmen besondere Aufmerksamkeit auf die jeweiligen Vorgaben legen, um die Registrierung konform abzuschließen.

Tipp: Die Koordination und Nachverfolgung der Implementierung in den einzelnen europäischen Gesellschaften sollte von Anfang an durch die Muttergesellschaft durchgeführt und die zentralen und dezentralen Verantwortlichkeiten hierbei fest definiert werden.

 

Quelle: Eraneos

 

Compliance herstellen

Im nächsten Schritt werden die Vorbereitungen dafür getroffen, Compliance mit den inhaltlichen Anforderungen der Richtlinie herzustellen. Es ist wichtig, einen praxisorientierten Ansatz zu wählen, um sowohl die Cybersicherheit zu stärken als auch die Richtlinie zu erfüllen. Für mittelständische Unternehmen aus dem verarbeitenden Gewerbe wird die Implementierung der Prozesse an sich und der grundsätzliche Umgang mit einer breiten Cyber-Regulatorik eine umfassende Aufgabe darstellen. Daher ist ein mehrstufiges Vorgehen ratsam:

 

  1. Verantwortung schaffen
    Produzierende Unternehmen müssen die Verantwortlichkeiten innerhalb ihrer Organisation klar zuweisen. Cyberresilienz und Cybersicherheit betreffen die gesamte Organisation. NIS2 betont die Verantwortung des Managements, was zu neuen Haftungen führen kann. Das Top-Management muss daher involviert und über Risiken und Fortschritte informiert sein. Zudem besteht eine Schulungspflicht für Geschäftsleitungen »um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.« Es ist zu klären, welche Verpflichtungen die Mitglieder der Leitungsorgane selbst erfüllen müssen und welche sie delegieren können.
    Tipp: Beginnen Sie mit Schulungen auf Vorstandsebene. Dies trägt zur Verantwortungsübernahme bei und ist eine Anforderung der NIS2.
    Darüber hinaus muss geklärt werden, wie Unternehmen mit der Verantwortung für organisationweite Themen umgehen, etwa dem Management von Risiken Dritter. Die Verwaltung dieser Themen erfordert Führung. Hilfreich ist eine zentrale Struktur, die die dezentralen Verantwortlichen unterstützt, ohne deren Verantwortlichkeiten zu übernehmen.
    Tipp: Sorgen Sie für Standardisierung bei der Umsetzung, prüfen Sie von Beginn an wo Automatisierung eingesetzt werden kann, um diesen Prozess zu erleichtern, und leiten Sie Verantwortliche durch klare Prozesse an.
  2. Auswirkungen analysieren
    Um gezielt Ressourcen einzusetzen und angemessene Maßnahmen zu ergreifen ist es entscheidend, die Auswirkungen von Sicherheitsmaßnahmen und Vorfällen auf die Organisation zu verstehen. Hierbei gilt das Proportionalitätsprinzip: Maßnahmen sollten immer in einem angemessenen Verhältnis zu den Risiken stehen, denen das Unternehmen ausgesetzt ist. Der erste Schritt ist daher die Risikoidentifikation, um potenzielle Bedrohungen und Schwachstellen für Netzwerke, Systeme, Daten und IT-Infrastrukturen oder einfach potenzielle Bedrohungen zu erkennen.
    Tipp: Führen Sie regelmäßige Risikoanalysen durch, um sich ein aktuelles Bild der Bedrohungslage zu machen – unterstützt durch Tools zur Bedrohungsmodellierung oder branchenspezifische Risikokataloge.
    Die identifizierten Risiken müssen hinsichtlich ihrer Wahrscheinlichkeit und Auswirkungen bewertet werden. Eine Bedrohung, die zu einem kritischen Systemausfall führen könnte, hat beispielsweise eine höhere Priorität als eine, die nur geringfügige Verzögerungen verursacht. Dies ist auch im Hinblick auf das Business-Continuity-Management wichtig, um gezielte Notfallpläne zu entwickeln, die den Fortbestand der kritischen Geschäftsprozesse im Ernstfall sicherstellen.
    Tipp: Nutzen Sie etablierte Methoden wie die Business Impact Analysis (BIA), um die Auswirkungen von Vorfällen auf den Geschäftsbetrieb zu bewerten.
    Basierend auf der Risikobewertung werden die Maßnahmen zur Risikominderung festgelegt. Diese Maßnahmen können technischer Natur sein – zum Beispiel Firewalls oder Patch-Management – oder organisatorischer Art – etwa Schulungen oder Richtlinien für den Umgang mit sensiblen Daten.
    Tipp: Setzen Sie auf standardisierte Sicherheitsmaßnahmen, die sich in Ihrer Branche bewährt haben, und passen Sie diese proportional zur Risikobewertung an. Kleinere Risiken können eventuell mit weniger aufwendigen Maßnahmen abgefangen werden, während kritische Risiken mehr Aufmerksamkeit und Ressourcen erfordern.
  3. Bestehende Prozesse nutzen
    Unternehmen sollten bei der Umsetzungsplanung, wo immer möglich auf vorhandene und etablierte Prozesse zur Vorfallreaktion zurückgreifen, anstatt diese grundlegend neu zu definieren, und dieselben Methoden und Tools für die Dokumentation, Entscheidungsfindung und Meldung verwenden. Ein Beispiel ist die Meldepflicht: Produzierende Unternehmen haben die Anforderungen der Datenschutzgrundverordnung (DSGVO) umgesetzt. Daher verfügen sie in der Regel bereits über bewährte Prozesse für die Meldung von Datenschutzverletzungen. Diese bereits etablierten Strukturen und Vorgehensweisen können als solide Grundlage für die Erfüllung der Meldepflicht im Rahmen der NIS2-Richtlinie dienen. NIS2 erweitert den Fokus allerdings über den Schutz personenbezogener Daten hinaus auf die Sicherheit von Netzwerken und Informationssystemen. Zudem sind die Fristen deutlich strenger.
  4. Nachweisbarkeit »by Design«
    Betroffene Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren und im Zweifel nachweisen. Für die Sorgfaltspflicht beispielsweise beginnt die Nachweisbarkeit gleichzeitig mit der Umsetzung der Maßnahmen. Sie sollte bereits während der Umsetzung integriert und standardisiert werden. Wird bereits zu Beginn festgelegt, wie der Nachweis erbracht wird, fällt es später leichter, dies in der Praxis zu tun. Für die Meldepflicht ist es ratsam, Aufzeichnungen über die Vorfallbearbeitung zu erstellen. Wenn die Methode zur Vorfallreaktion mit der Methode zum Krisenmanagement verknüpft wird, bleiben die getroffenen Entscheidungen und Maßnahmen nachvollziehbar, falls sich später herausstellt, dass die Meldepflicht gilt.
    Tipp: Verwenden Sie dieselbe Methode wie im Krisenmanagement, um die Entscheidungsfindung und die Aufzeichnung zu gewährleisten.

 

Fazit

Die strengen Regulierungen der NIS2 sind für die meisten produzierenden Unternehmen in Deutschland neu und viele Anforderungen werden möglicherweise noch nicht vollständig erfüllt. Dennoch ist es wichtig, NIS2 mit der notwendigen Sorgfalt und Ernsthaftigkeit zu behandeln. Dabei sind der Aufbau auf bestehenden Prozessen sowie die Sicherstellung der Nachweisbarkeit von Maßnahmen zentrale Erfolgsfaktoren. Produzierende Unternehmen, die diese Schritte proaktiv verfolgen, werden nicht nur regulatorische Risiken reduzieren. Sie werden auch ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen und damit ihre Wettbewerbsfähigkeit erheblich stärken.

Nils Kohrt, Manager, Eraneos Germany GmbH

June Snyder-Kamen, Senior Consultant, Eraneos Germany GmbH

Nils Kohrt ist Cybersecurity-Berater bei Eraneos mit Schwerpunkt auf IT-Regulatorik und Compliance. Er unterstützt Unternehmen dabei, regulatorische Anforderungen und Sicherheitsstandards effizient umzusetzen und Risiken in der Informationssicherheit nachhaltig zu minimieren. Er hält außerdem die Zertifizierung als Certified Information Security Manager (CISM).
June Snyder-Kamen ist Cybersecurity-Beraterin bei Eraneos im Bereich IT-Regulatorik und Compliance. Darüber hinaus verfügt sie über weitreichende Erfahrung in der Prüfung von ERP-Systemen, vor allem SAP. Zu Ihren aktuellen Schwerpunktthemen zählt der Umgang mit EU-Rechtsakten wie DORA, NIS2 oder dem Cyber Resilience Act.
[1] BMI – Gesetzgebungsverfahren – Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheits­managements in der Bundesverwaltung: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html
[2] NIS-2-Betroffenheitsprüfung dient als automatische Orientierungshilfe auf Grundlage von Eigenangaben, deren Ergebnis nicht rechtlich bindend. https://betroffenheitspruefung-NIS2.bsi.de/
[3] Zurzeit basieren die Abfragen der NIS-2-Betroffenheitsprüfung auf der NIS2-Richtlinie der EU.

 


Für die Meldung im Rahmen der Pflicht zur Registrierung werden die folgenden Daten benötigt:

  • Name der Einrichtung, einschließlich der Rechtsform und falls einschlägig der Handelsregisternummer
  • Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse, öffentliche IP-Adressbereiche und Telefonnummern
  • relevanter in Anlage 1 oder 2 genannter Sektor oder falls einschlägig Branche
  • Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringt
  • die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes und der Länder

 


NIS2: Ausweitung der Anforderungen

Die Maßnahmen müssen mindestens folgende Punkte umfassen:

  • Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

 

 


Meldewesen und Zusammenarbeit
NIS2 bringt strenge Informations- und Meldepflichten, die deutlich über die bisherigen Meldepflichten hinausgehen:

  • Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, spätestens aber innerhalb von 24 Stunden
  • Folgemeldung über einen erheblichen Sicherheitsvorfall innerhalb von 72h mit Bewertung der Erstmeldung (Schwere, Auswirkungen, Kompromittierung)
  • Zwischenmeldungen auf Nachfrage des BSI
  • Abschlussmeldung oder Fortschrittsmeldung innerhalb eines Monats mit Beschreibung, Ursachen, Maßnahmen, grenzüberschreitenden Auswirkungen
  • Betreiber kritischer Anlagen müssen zusätzlich die Anlagen, kritische Dienstleistung und Auswirkungen melden

 

Grafik: Eraneos Germany

Grafik: Eraneos Germany

 

195 Artikel zu „NIS2“

Whitepaper IT-Sicherheit:  Zur NIS2-Readiness in sechs Schritten

  Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die Bedrohung im Cyberraum so hoch wie nie zuvor [1]. Besonders Ransomware-Attacken nehmen gravierend zu. Es geht nicht mehr darum, ob, sondern wann ein Unternehmen mit einem Cyberangriff konfrontiert wird – und wie sich dies bestmöglich abwenden lässt, um den Geschäftsbetrieb nicht…

90 % der EMEA-Unternehmen waren von Cybersecurity-Vorfällen betroffen, die NIS2 hätte verhindern können

Rund 80 % der Unternehmen sind zwar zuversichtlich, die NIS2-Richtlinie umsetzen zu können, dennoch werden 66 % die Compliance-Frist am 18. Oktober 2024 verpassen.   Angesichts des bevorstehenden Inkrafttretens der NIS2-Richtlinie (Network and Information Security Directive 2022/2555) am 18. Oktober 2024 zur Stärkung der Cybersicherheit in der EU durch Erweiterung des Anwendungsbereichs und Verschärfung der…

Business Continuity Management mit modernen Tools – NIS2: Excel wird zum Risiko für Unternehmen und Geschäftsführer

Mit der Einführung der NIS2-Richtlinie stehen Unternehmen in der EU vor verschärften Anforderungen in der Cybersicherheit. Eine elementare Änderung: Durch NIS2 werden Geschäftsführer persönlich haftbar, falls die erforderlichen Maßnahmen nicht umgesetzt werden. Business Continuity Management (BCM) spielt nun eine entscheidende Rolle, denn es trägt maßgeblich zur Resilienz und Sicherheit von Unternehmen bei. Doch viele Unternehmen setzen noch auf veraltete Technologien wie Excel, was erhebliche Risiken birgt.

Mehr als ein Viertel der Unternehmen ist nicht auf NIS2 vorbereitet

Die NIS2-Richtlinie ist ab dem 18. Oktober 2024 auf nationaler Ebene rechtsverbindlich. Insbesondere für Betreiber kritischer Infrastrukturen und wesentlicher Dienste gehen die Anforderung weit über die bisherigen Compliance-Vorgaben hinaus. Zudem können Geschäftsführer bei Verstößen persönlich haftbar gemacht werden. Eine Studie von Threema mit Fokus auf Instant-Messaging zeigt, dass mehr als ein Viertel der betroffenen Unternehmen…

NIS2 als Chance begreifen – trotz zögerlicher Umsetzung

Die Europäische Union hat als Antwort auf den deutlichen Anstieg von Cyberangriffen die NIS2-Richtlinie verabschiedet. Diese überarbeitete Richtlinie verfolgt das Ziel, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten. Zudem fallen deutlich mehr Unternehmen und Organisationen unter die Regulierung, die für das gesellschaftliche System wichtig sind. Die Mehrheit der…

NIS2 und E-Mail-Verschlüsselung

In einer zunehmend vernetzten Welt, in der digitale Kommunikation eine zentrale Rolle spielt, ist der Schutz sensibler Informationen von höchster Bedeutung. Die NIS2-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit) ist am 27.12.2022 im Amtsblatt der Europäischen Union veröffentlicht worden und muss von Mitgliedsstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden [1].   Kommentar von Stephan…

KMU: Diese Fehleinschätzungen kursieren rund um NIS2

Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt – und verunsichert.   Das Risiko, Opfer einer Cyberattacke zu werden, ist derzeit höher denn je – und Unternehmen sind dafür…

NIS2 Compliance vereinfachen – mit SASE

Die Frist für die neue Richtlinie 2022/0383 über Netz- und Informationssysteme, besser bekannt als »NIS2«, rückt unaufhaltsam näher. Unternehmen stehen nun vor der Herausforderung, die geeignete Technologie zu implementieren, um den Anforderungen gerecht zu werden. Das wachsende Interesse der Branche an Sicherheitsplattformen wird eine entscheidende Rolle dabei spielen, die Einhaltung der NIS2-Vorgaben zu erleichtern. Organisationen…

Die Qualität der Sicherheitsmaßnahmen verbessern – »NIS2 wird zur neuen Norm in der Sicherheits­landschaft werden«

In Zeiten zunehmender Cybersicherheitsbedrohungen sind Unternehmen gefordert, ihre Schutzmaßnahmen kontinuierlich zu verbessern. Dr. Matthias Rosche, Managing Director bei Orange Cyberdefense, erklärt, dass nicht nur die klassischen Bedrohungen, sondern auch neue Compliance-Anforderungen und -Regularien wie NIS2 die Unternehmen vor Probleme stellen.

Die Hausordnung für IT-Systeme: NIS2

NIS2 sorgt in vielen Köpfen für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen: Die europaweite Direktive ist das Regelwerk (Hausordnung), deren Einhaltung Dienstleister (analog zum Hausmeister) für Unternehmen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS2? Welche Maßnahmen müssen Firmen implementieren? Die nachfolgende…

NIS2: In 5 Schritten zu mehr OT-Cybersicherheit

Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter. Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt…

NIS2 und KRITIS-Dach: Neun Bausteine für sichere industrielle Steuerungs- und Automatisierungssysteme

Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000: eco Verband gibt 9 Tipps zur Steigerung der Cyberresilienz industrieller Steuerungsanlagen.   Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Zudem ändert sich die Regulierung dieses Jahr deutlich mit dem KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz: Die Anzahl künftig regulierter Unternehmen erweitert…

EU-Direktive NIS2: So stellen Sie Ihre Task Force zusammen

Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.   Die neue NIS2-Direktive stellt konkrete Anforderungen an die technischen…

NIS2: Das kommt im 2. Halbjahr 2024 auf Unternehmen zu

Umsetzung der EU-Richtlinie zum Schutz vor Cyberbedrohungen.   Auf viele Unternehmen kommen in puncto Cybersicherheit ab 2024 neue Herausforderungen zu. Die sogenannte Network and Information Security Directive 2, kurz NIS2, ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die bis spätestens Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein muss. Damit soll der Gesetzgeber…

NIS2: Jedes dritte Unternehmen setzt die Richtlinie bereits um

Bei einem weiteren Drittel der Befragten ist die Umsetzung noch in Planung.   38 Prozent der deutschen Unternehmen haben noch nicht mit der Umsetzung der NIS2-Richtlinie begonnen. Dabei ist es höchste Zeit: Mit dem Gesetzentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) hat das Bundesministerium des Innern und für Heimat die Weichen gestellt. Bis zum 17. Oktober 2024 soll…

Welche Erkenntnisse sich aus der DSGVO für DORA und NIS2 einsetzen lassen

Was mit der DSGVO begann, setzt die EU mit NIS2 und DORA konsequent fort. Sie reglementiert die Datenindustrie und die digitalen Prozesse vieler Firmen, um Daten und Netze robuster zu machen gegen Angriffe. Gleichzeitig lassen sich aus der Einführung der DSGVO einige wichtige Schlüsse zum Umgang mit den neuen Regeln für Unternehmen ziehen. Welche das…

Countdown zur NIS2-Richtlinie: So können IT-Teams Blind Spots im eigenen Netzwerk fristgerecht eliminieren

NIS2 soll die Cyber- und Informationssicherheit EU-weit maßgeblich stärken. Zum Stichtag am 17. Oktober 2024 muss die Direktive in nationales Recht umgewandelt werden. Angesichts der sich zuspitzenden Cyber-Security-Lage ist das auch absolut notwendig, weiß Ali Moniri, Senior Sales Engineer bei Gigamon. Für Unternehmen bedeutet das: ranklotzen! Denn es bleibt nur noch wenig Zeit für die…

Sich effektiv auf die NIS2-Richtlinie vorbereiten

Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting.   Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in…

IT-Compliance: NIS2 – Vorbereitung ist alles!

Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten.   Gesetzliche Regularien sind…