Online-Terminvereinbarung +49 8034 6369 – 700 vertrauen@hermannsdorfer.com

Aufbau Informationssicherheit gemäß NIS-2-Richtlinie

Gemäß Art. 29 NIS2UmsuCG muss die NIS-2-Richtlinie bis 17. Oktober 2024 in nationales Recht umgesetzt werden. Risikomanagement, Dokumentation und Meldung von Vorfällen u.a. werden dann zur Pflicht. Nicht nur der Geschäftsführer, auch Führungskräfte haften persönlich.

Da die Richtlinie noch nicht in Kraft getreten ist, gilt es die Entwicklungen in Österreich und Deutschland genau zu verfolgen. Nachfolgende Informationen basieren auf meinen letzten Recherchen und können mittlerweile überholt sein!

Zielgruppen

Zur Feststellung, ob eine Organisation von der NIS-2-Richtlinie betroffen ist, sind einige Kriterien zu klären:

  • Leistungserbringung und/oder Leistungsangebot erfolgen in der EU.
  • Es handelt sich um ein GU, MU oder KU (großes, mittleres oder kleines Unternehmen)
  • Bei dem GU, MU oder KU handelt es sich um eine „besonders wichtige Einrichtung“ oder um eine „wichtige Einrichtung“. Für diese Zuordnung gibt es zwei Listen, Sektor 1 und Sektor 2.

Unternehmensgrößen

KU
kleine Unternehmen		MU
mittlere Unternehmen		GU
große Unternehmen
wenn:
< 50 Vollzeitäquivalente
und
< 10 Mio. EUR Jahresumsatz
oder
< 10 Mio. EUR Jahresbilanzsumme		wenn:
≥50 Vollzeitäquivalente
oder
≥10 Mio. EUR Jahresumsatz
und
≥10 Mio. EUR Jahresbilanzsumme		wenn:
≥250 Vollzeitäquivalente
oder
≥50 Mio. EUR Jahresumsatz
und
≥43 Mio. EUR Jahresbilanzsumme
dann:
Sektor 1: nicht betroffen
Sektor 2: nicht betroffen
oder Ausnahme:
Sektor 1 „wesentliche Einrichtung“
Sektor 2 „wichtige Einrichtung“		dann:
Sektor 1 „wichtige Einrichtung“
Sektor 2 „wichtige Einrichtung“		dann:
Sektor 1 „wesentliche Einrichtung“
Sektor 2 „wichtige Einrichtung“
Tabelle Unternehmensgrößen – ohne Gewähr

Sektoren 1 und 2

Sektor 1
„besonders wichtige“ &
„wichtige“ Einrichtungen		Sektor 2
„wichtige“ Einrichtungen
Energie
Transport & Verkehr
Finanz- & Versicherungswesen
Gesundheit
Wasser
Informationstechnik & Telekommunikation
Weltraum		Transport & Verkehr
Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
verarbeitendes Gewerbe/ Herstellung von Waren
Anbieter digitaler Dienste
Forschung
Tabelle Sektoren 1 und 2 – ohne Gewähr

Ausnahme

KU sind nicht von der NIS-2-Richtlinie betroffen, außer

  • verbundene oder Partner-Unternehmen
  • digitale Infrastruktur
  • Lieferkette (indirekt über Kunden)
  • als wichtig eingestuft

Da es hierfür umfangreiche Definitionen gibt, wird nur anhand des Beispiels „digitale Infrastruktur die Klassifizierung von KU als „wesentliche“ oder „wichtige“ Einrichtung dargestellt.

Art der EinrichtungGUMUKU
TLD-Namensregister
qualifizierte Vertrauensdiensteanbieter		wesentlichwesentlichwesentlich
DNS Diensteanbieter (außer Betreiber von Root-Nameserver)wesentlichwesentlichwesentlich
Anbieter öffentlicher elektronischer Kommunikationsnetze oder elektronischer Kommunikationsdienstewesentlichwesentlichwichtig
Vertrauensdiensteanbieterwesentlichwichtigwichtig
Betreiber von Internetknotenwesentlichwichtignicht betroffen
Anbieter von Cloud-Computing-Dienstenwesentlichwichtignicht betroffen
Anbieter von Rechenzentrumsdienstenwesentlichwichtignicht betroffen
Betreiber von Content Delivery Networks (CDN)wesentlichwichtignicht betroffen
Klassifizierung von Einrichtungen bei digitaler Infrastruktur – ohne Gewähr

Ihre Herausforderung

  • Die NIS-2-Richtlinie ist vergleichbar mit der DSGVO – sie ist ggf. einfach als gesetzliche Vorgabe von Ihnen und Ihrem Unternehmen zu beachten.
  • Sie haben weder fachkundiges Personal noch ausreichend freie Ressourcen für eine angemessene Beschäftigung mit dem Thema.
  • Ihnen ist das potentielle Risiko bei Verstößen und den daraus resultierenden Sanktionen nicht transparent.
  • Eine ISO 27001, die den größten Teil der Forderungen abdecken würde, hat Ihr Unternehmen nicht.

Ihre Zielsetzung

  • externe Unterstützung beim Aufbau eines Informationssicherheitsmanagementsystems.
  • Beratung zu bestehenden Fördermitteln und Hilfestellung im Antragsverfahren.
  • Unterstützung beim Aufbau interner Kompetenzen, um die Informationssicherheit langfristig mit eigenen Ressourcen aufrecht zu erhalten.

Unser Lösungsangebot

Unserer Leitfaden Aufbau Netz- und Infosysteme ermöglicht es KMUs, trotz erheblichem Ressourcenmangel, ein Informationssicherheitsmanagementsystem (ISMS) nach NIS-2-Richtlinie innerhalb von vier Monaten zu implementieren.
Die Map-basierten Methode verknüpft alle gesetzlichen Anforderungen mit dem Managementsystem.
Musterdokumente erleichtern die individuelle Umsetzung, während eine ausgeklügelte Indizierung aller Inhalte eine flexible Auswertung und Transparenz gewährleistet.
Für das Einführungsprojekt stehen erfahrene Berater in wöchentlichen Regelterminen zur Verfügung.

Das ISMS Informationssicherheitsmanagementsystem verknüpft Anforderungen der NIS-2-Richtlinie mit der organisatorischen Umsetzung im Unternehmen

Ihr Nutzen

für Geschäftsführung

  • Risikomanagement: verbesserte Identifizierung von Risiken
  • Rechtssicherheit: Schutz vor rechtlichen Konsequenzen
  • Wettbewerbsvorteil: Vertrauen von Partnern und Investoren

für Organisation

  • Infrastruktur: Implementierung von Mindeststandards
  • Reaktion: Erhöhung der Resilienz gegenüber Cyberangriffen
  • Zusammenarbeit: Förderung wg. Harmonisierung der Standards

für Kunden

  • Datensicherheit: höherer Schutz eigener Daten
  • Transparenz: Meldepflicht von Sicherheitsvorfällen
  • Kontinuität: Sicherstellung der Dienstleistungskontinuität

Ihr Kontakt zu uns

Buchen Sie eine Besprechung, um weitere Informationen zu erhalten.

  • Rahmenbedingungen & Preisstaffelung
  • Roadmap & Terminplan
  • Referenzprojekte
Online-Terminvereinbarung +49 8034 6369 – 700 vertrauen@hermannsdorfer.com