Online-Terminvereinbarung | +49 8034 6369 – 700 | vertrauen@hermannsdorfer.com |
Aufbau Informationssicherheit gemäß NIS-2-Richtlinie
Gemäß Art. 29 NIS2UmsuCG muss die NIS-2-Richtlinie bis 17. Oktober 2024 in nationales Recht umgesetzt werden. Risikomanagement, Dokumentation und Meldung von Vorfällen u.a. werden dann zur Pflicht. Nicht nur der Geschäftsführer, auch Führungskräfte haften persönlich.
Da die Richtlinie noch nicht in Kraft getreten ist, gilt es die Entwicklungen in Österreich und Deutschland genau zu verfolgen. Nachfolgende Informationen basieren auf meinen letzten Recherchen und können mittlerweile überholt sein!
Zielgruppen
Zur Feststellung, ob eine Organisation von der NIS-2-Richtlinie betroffen ist, sind einige Kriterien zu klären:
- Leistungserbringung und/oder Leistungsangebot erfolgen in der EU.
- Es handelt sich um ein GU, MU oder KU (großes, mittleres oder kleines Unternehmen)
- Bei dem GU, MU oder KU handelt es sich um eine „besonders wichtige Einrichtung“ oder um eine „wichtige Einrichtung“. Für diese Zuordnung gibt es zwei Listen, Sektor 1 und Sektor 2.
Unternehmensgrößen
KU kleine Unternehmen | MU mittlere Unternehmen | GU große Unternehmen |
wenn: < 50 Vollzeitäquivalente und < 10 Mio. EUR Jahresumsatz oder < 10 Mio. EUR Jahresbilanzsumme | wenn: ≥50 Vollzeitäquivalente oder ≥10 Mio. EUR Jahresumsatz und ≥10 Mio. EUR Jahresbilanzsumme | wenn: ≥250 Vollzeitäquivalente oder ≥50 Mio. EUR Jahresumsatz und ≥43 Mio. EUR Jahresbilanzsumme |
dann: Sektor 1: nicht betroffen Sektor 2: nicht betroffen oder Ausnahme: Sektor 1 „wesentliche Einrichtung“ Sektor 2 „wichtige Einrichtung“ | dann: Sektor 1 „wichtige Einrichtung“ Sektor 2 „wichtige Einrichtung“ | dann: Sektor 1 „wesentliche Einrichtung“ Sektor 2 „wichtige Einrichtung“ |
Sektoren 1 und 2
Sektor 1 „besonders wichtige“ & „wichtige“ Einrichtungen | Sektor 2 „wichtige“ Einrichtungen |
Energie Transport & Verkehr Finanz- & Versicherungswesen Gesundheit Wasser Informationstechnik & Telekommunikation Weltraum | Transport & Verkehr Abfallbewirtschaftung Produktion, Herstellung und Handel mit chemischen Stoffen Produktion, Verarbeitung und Vertrieb von Lebensmitteln verarbeitendes Gewerbe/ Herstellung von Waren Anbieter digitaler Dienste Forschung |
Ausnahme
KU sind nicht von der NIS-2-Richtlinie betroffen, außer
- verbundene oder Partner-Unternehmen
- digitale Infrastruktur
- Lieferkette (indirekt über Kunden)
- als wichtig eingestuft
Da es hierfür umfangreiche Definitionen gibt, wird nur anhand des Beispiels „digitale Infrastruktur die Klassifizierung von KU als „wesentliche“ oder „wichtige“ Einrichtung dargestellt.
Art der Einrichtung | GU | MU | KU |
TLD-Namensregister qualifizierte Vertrauensdiensteanbieter | wesentlich | wesentlich | wesentlich |
DNS Diensteanbieter (außer Betreiber von Root-Nameserver) | wesentlich | wesentlich | wesentlich |
Anbieter öffentlicher elektronischer Kommunikationsnetze oder elektronischer Kommunikationsdienste | wesentlich | wesentlich | wichtig |
Vertrauensdiensteanbieter | wesentlich | wichtig | wichtig |
Betreiber von Internetknoten | wesentlich | wichtig | nicht betroffen |
Anbieter von Cloud-Computing-Diensten | wesentlich | wichtig | nicht betroffen |
Anbieter von Rechenzentrumsdiensten | wesentlich | wichtig | nicht betroffen |
Betreiber von Content Delivery Networks (CDN) | wesentlich | wichtig | nicht betroffen |
Ihre Herausforderung
- Die NIS-2-Richtlinie ist vergleichbar mit der DSGVO – sie ist ggf. einfach als gesetzliche Vorgabe von Ihnen und Ihrem Unternehmen zu beachten.
- Sie haben weder fachkundiges Personal noch ausreichend freie Ressourcen für eine angemessene Beschäftigung mit dem Thema.
- Ihnen ist das potentielle Risiko bei Verstößen und den daraus resultierenden Sanktionen nicht transparent.
- Eine ISO 27001, die den größten Teil der Forderungen abdecken würde, hat Ihr Unternehmen nicht.
Ihre Zielsetzung
- externe Unterstützung beim Aufbau eines Informationssicherheitsmanagementsystems.
- Beratung zu bestehenden Fördermitteln und Hilfestellung im Antragsverfahren.
- Unterstützung beim Aufbau interner Kompetenzen, um die Informationssicherheit langfristig mit eigenen Ressourcen aufrecht zu erhalten.
Unser Lösungsangebot
Unserer Leitfaden Aufbau Netz- und Infosysteme ermöglicht es KMUs, trotz erheblichem Ressourcenmangel, ein Informationssicherheitsmanagementsystem (ISMS) nach NIS-2-Richtlinie innerhalb von vier Monaten zu implementieren.
Die Map-basierten Methode verknüpft alle gesetzlichen Anforderungen mit dem Managementsystem.
Musterdokumente erleichtern die individuelle Umsetzung, während eine ausgeklügelte Indizierung aller Inhalte eine flexible Auswertung und Transparenz gewährleistet.
Für das Einführungsprojekt stehen erfahrene Berater in wöchentlichen Regelterminen zur Verfügung.
Ihr Nutzen
für Geschäftsführung
- Risikomanagement: verbesserte Identifizierung von Risiken
- Rechtssicherheit: Schutz vor rechtlichen Konsequenzen
- Wettbewerbsvorteil: Vertrauen von Partnern und Investoren
für Organisation
- Infrastruktur: Implementierung von Mindeststandards
- Reaktion: Erhöhung der Resilienz gegenüber Cyberangriffen
- Zusammenarbeit: Förderung wg. Harmonisierung der Standards
für Kunden
- Datensicherheit: höherer Schutz eigener Daten
- Transparenz: Meldepflicht von Sicherheitsvorfällen
- Kontinuität: Sicherstellung der Dienstleistungskontinuität
Ihr Kontakt zu uns
Buchen Sie eine Besprechung, um weitere Informationen zu erhalten.
- Rahmenbedingungen & Preisstaffelung
- Roadmap & Terminplan
- Referenzprojekte
Online-Terminvereinbarung | +49 8034 6369 – 700 | vertrauen@hermannsdorfer.com |