NIS2 betrifft Ihr Unternehmen vermutlich nicht*

Sie sind nicht in einer Branche mit hoher oder erhöhter Kritikalität tätig

Ihr Unternehmen beschäftigt noch keine 50 Personen

Ihr Unternehmen erzielt mehr als 10 Millionen Euro Jahresumsatz.

Die EU betrachtet mit NIS2 bestimmte Branchen als Teil der schützenswerten Infrastruktur. Laut Ihrer Selbsteinschätzung gehört Ihr Unternehmen nicht zu einer Branche mit hoher oder erhöhter Kritikalität.

*Der Selbsttest stellt keine Rechtsberatung dar und SECJUR übernimmt für aus dem Ergebnis abgeleitete Entscheidungen keine Haftung.

SECJUR Kunden sind in guter Gesellschaft

So erfüllen Sie die NIS2-Anforderungen

Der Anforderungskatalog der NIS2-Richtlinie orientiert sich stark am globalen Goldstandard für Informationssicherheit, der ISO 27001.

Der erste Schritt zur NIS2-Compliance ist entsprechend der Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001.

Anne Hillmer

Head of Compliance Services bei SECJUR und TÜV-zertifizierte Informationssicherheitsexpertin

NIS2-Anforderungen

Risikomanagement-Richtlinien

Ihr Plan zum Schutz digitaler Vermögenswerte und Maßnahmen bei Sicherheitsvorfällen.

Pläne für das Vorfall-Management

Wie Ihr Unternehmen auf Sicherheitsvorfälle oder Cyberangriffe reagiert und diese handhabt.

Betriebskontinuität und Krisenmanagement

Strategien, um Ihr Unternehmen während und nach einer Katastrophe am Laufen zu halten.

Lieferketten-Sicherheit
Sicherstellen, dass Zulieferer oder Dienstleister ebenfalls sensible Daten schützen.

Wirksamkeit von Cyber-Sicherheitsmaßnahmen sicherstellen

Regelmäßige Überprüfungen der Cyber-Sicherheitsmaßnahmen.

Cyber-Sicherheitsschulungen

Schulung Ihres Teams zu digitalen Sicherheitspraktiken.

Sicherheit im Personalwesen und Zugangskontrolle
Gewährung und Entziehung des Zugangs zu Informationen.

Meldepflicht bei Vorfällen

Meldung ernsthafter Sicherheitsvorfälle an die Behörden.

Parallelen zur ISO 27001

Teil eines ISMS nach ISO 27001.

Teil eines ISMS nach ISO 27001.

Teil eines ISMS nach ISO 27001.

Teil eines ISMS nach ISO 27001, aber nicht tiefgehend wie NIS2.

Teil eines ISMS nach ISO 27001.

Teil eines ISMS nach ISO 27001.

Teil eines ISMS nach ISO 27001.

Teil eines ISMS nach ISO 27001, aber nicht tiefgehend wie NIS2.

Umsetzung leicht gemacht mit SECJUR

Asset- und  Risikomanagement-Feature zur Durchführung von Schutzbedarfsanalysen Ihrer Vermögenswerte und  der Bewertung verknüpfter Risiken sowie Risiko-Mitigationsplänen inkl. ROI-Rechner.

Richtlinien-, Asset- und Risikomanagement inkl. Intelligenter Vorlagen und automatisiertem Aufgabenmanagement.
 
Incident-Management Feature inklusive automatisierter Risikobewertung und Handlungsempfehlung.

Richtlinien-, Asset- und Risikomanagement inkl. Intelligenter Vorlagen und  automatisiertem Aufgabenmanagement.

Vendor-Management Feature: Erfassen und auditieren Sie Ihre Lieferkette. 

Vertragsmanagement-Feature:  Prüfung der Auftragsverarbeitungsverträge (AVVs).

Automatisiertes Aufgabenmanagement sowie Audit-Feature inkl. Vorlagen zur regelmäßigen Auditierung.

Informationssicherheits- und Datenschutz-Trainings über unseren Trainingsmanager

Richtlinien-, Asset- und Risikomanagement inkl. Intelligenter Vorlagen  und  automatisiertem Aufgabenmanagement.

Incident-Management Feature inklusive automatisierter Risikobewertung und  Handlungsempfehlung.

Ihr Tool zur Umsetzung der NIS2

Mit dem Digital Compliance Office (DCO) bauen Sie bequem Ihr ISMS nach dem Goldstandard ISO 27001 - und das in Rekordzeit.

Richtlinien auf Knopfdruck
Dank intelligenter Vorlagen und automatisiertem Control-Mapping, sparen Sie sich bis zu 80% der Aufwände.

Alles an einem Ort
Ob Richtlinien-, Risiko- oder Lieferantenmanagement, mit dem DCO verwalten Sie alle NIS2-relevanten Themen an einem zentralen Ort.

Inklusive Experten-Support
Unsere TÜV-zertifizierten Informationssicherheits-Experten begleiten Sie auf Ihrem Weg

Plattform entdecken

Häufig gestellte Fragen

Die wichtigsten Informationen rund um die NIS2

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine EU-Richtlinie, die darauf abzielt, ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union sicherzustellen. NIS2 ist eine überarbeitete Version der aktuellen Richtlinie für Netz- und Informationssicherheit (NIS1-Richtlinie).

Die Richtlinie legt unter anderem Kriterien fest, um Betreiber kritischer Infrastrukturen zu identifizieren und legt Mindeststandards für deren Informationssicherheit fest: Die NIS2 besagt, dass betroffene Unternehmen, Behörden und Organisationen ganz bestimmte Informationssicherheitsstandards einhalten müssen, um in den Mitgliedsstaaten der EU allgemein ein besseres Cybersicherheitsniveau zu gewährleisten. Im Falle einer Verletzung der NIS2-Richtlinie können nationale Behörden entsprechend ihrer jeweiligen Umsetzung der Vorschriften Sanktionen und Bußgelder verhängen. Die genauen Strafen können je nach nationaler Umsetzung der Richtlinie variieren.

Wer ist von der NIS2-Richtlinie betroffen?

Die NIS2-Richtlinie betrifft Unternehmen mit mehr als zehn Millionen Euro Jahresumsatz sowie mehr als 50 Mitarbeiterinnen und Mitarbeitern aus sogenannten kritischen Industrien sowie Industrien mit erhöhter Kritikalität.
Dazu gehören u.a. Unternehmen in den Sektoren Energie, Verkehr, Banken, Gesundheitswesen, digitale Infrastruktur, Cloud-Dienste aber auch Online-Marktplätze.

Unabhängig von der Größe und des Umsatzes eines Unternehmens gibt es zudem auch bestimmte Ausnahmen, bei denen selbige durch den Anwendungsbereich der NIS2 erfasst sind, beispielsweise wenn ein Unternehmen bestimmte Tätigkeiten ausübt, Auswirkungen auf die öffentliche Ordnung nimmt oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen. Gleichermaßen kann ein Unternehmen bei gewissen Ausnahmen auch gänzlich von der NIS2 ausgenommen sein.

Welche Maßnahmen müssen Unternehmen gemäß der NIS2-Richtlinie ergreifen?

Die Einführung der Network and Information Security 2 bringt für Unternehmen eine Vielzahl neuer Pflichten und Verantwortlichkeiten mit sich. Sie erfordert von Unternehmen die Umsetzung von angemessenen Sicherheitsmaßnahmen zum Schutz ihrer Netz- und Informationssysteme.

Unternehmen, die als wesentliche oder wichtige Einrichtungen eingestuft werden, sind verpflichtet, angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder zu minimieren. Dazu gehören unter anderem die Einführung von Sicherheitsrichtlinien und -verfahren, die Identifizierung und Bewältigung von Sicherheitsvorfällen sowie die Gewährleistung einer ausreichenden Widerstandsfähigkeit gegen Cyberangriffe. Fast alle Maßnahmen lassen sich unter dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS) zusammenfassen.

Welche Konsequenzen können bei Nichteinhaltung der NIS2-Richtlinie drohen?

Bei Nichteinhaltung der NIS2-Richtlinie sehen sich Unternehmen mit potenziell schwerwiegenden Konsequenzen konfrontiert. Die Richtlinie wurde entwickelt, um die Cybersicherheit in verschiedenen Sektoren, insbesondere in kritischen Infrastrukturen und digitalen Dienstleistungen, zu stärken und Risiken zu minimieren.

Demnach wird die Nichteinhaltung voraussichtlich auch verschärft sanktioniert.  Im Falle einer Verletzung der NIS2-Richtlinie können nationale Behörden entsprechend ihrer jeweiligen Umsetzung der Vorschriften Sanktionen und Bußgelder verhängen. Die Höhe der Geldstrafen und die Art der Sanktionen können je nach Schwere und Häufigkeit der Verstöße variieren, können jedoch voraussichtlich bis zu max. 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes betragen.

Es ist demnach unerlässlich, dass Unternehmen die Anforderungen der NIS2-Richtlinie ernst nehmen und proaktive Schritte unternehmen, um sicherzustellen, dass sie den geforderten Sicherheitsstandards entsprechen.