NIS2

NETWORK AND INFORMATION SECURITY DIRECTIVE (NIS2) | Bureau Veritas

Die Network and Information Security Directive (NIS2) ist eine EU-weite Gesetzgebung zur Cybersicherheit, die rechtliche Maßnahmen zur Erhöhung des allgemeinen Sicherheitsniveaus und zur Standardisierung der Cyberresilienz in der EU bietet. 

Die EU-Mitgliedstaaten sind verpflichtet, NIS2 bis zum 17. Oktober 2024 in ihr nationales Recht aufzunehmen. Organisationen sollen somit frühzeitig bereit sein, den Anforderungen konform zu werden. EU-Organisationen, die in den Anwendungsbereich von NIS2 fallen, müssen die Vorschriften einhalten. Bureau Veritas unterstützt Sie gerne dabei.

DiE NIS2-Richtlinie

NIS2 ist die zweite Netzwerk und Informationssicherheits Richtlinie, die den Anwendungsbereich auf mehrere Sektoren ausdehnt, strengere Anforderungen stellt und im Vergleich zur bestehenden NIS-Richtlinie größere Strafen für die Nichteinhaltung beinhaltet. Abgesehen von wenigen Ausnahmen gilt sie für mittelgroße und große Unternehmen (50 oder mehr Mitarbeiter oder ein Jahresumsatz von 10 Millionen Euro). Betroffen sind zum Beispiel die Sektoren Gesundheitswesen, digitale Dienste und Infrastruktur, Banken und Finanzen sowie der Lebensmittelsektor. Das Hauptziel der NIS2-Richtlinie ist die Förderung einer Cybersicherheitskultur sowie die Sicherstellung der Resilienz wesentlicher Dienste in drei Hauptbereichen:

  • Risikomanagement und Incident Response

    NIS2 verlangt von Organisationen, regelmäßige Risikobewertungen durchzuführen, um potenzielle Bedrohungen zu identifizieren. Robuste Incident Response-Pläne sollten vorliegen, um sicherzustellen, dass sie auf Cyber-Vorfälle effektiv reagieren und sich davon erholen können.

  • Sicherheitsmaßnahmen

    Organisationen werden dazu angehalten, technische und organisatorische Maßnahmen zu implementieren, um die Sicherheit der Netzwerke und Informationssysteme zu gewährleisten. Dies umfasst Zugangskontrollen, Verschlüsselung und regelmäßige Sicherheitsupdates.

  • Meldepflichten

    Organisationen müssen bedeutende Cyber-Vorfälle den zuständigen Behörden melden.

WAS UNTERNEHMEN WISSEN MÜSSEN

Zu den Änderungen, die im Oktober 2024 in Kraft treten, gehört die Aufnahme von Managed Service Providern. Damit gilt die NIS2-Richtlinie für Organisationen, die innerhalb des Anwendungsbereichs Tätigkeiten für EU-Unternehmen durchführen oder ausüben. 
Dazu gehören Unternehmen, die der Beschreibung einer „wesentlichen“ oder „wichtigen“ Organisation in einer definierten Liste von Sektoren entsprechen. Dazu zählen unter anderem Internetanbieter, Energieversorger, Trinkwasserversorger, Abfallverarbeiter, Banken, Transportunternehmen, Gesundheitseinrichtungen, Lebensmittelfabriken und Anbieter digitaler Infrastruktur.

Im Rahmen der NIS2 können die nationalen Behörden im Vergleich zur NIS ein breiteres Spektrum an Sanktionen verhängen, weswegen Versäumnisse schnell kostspielig werden können. Zu den Saktionen zählt zum Beispiel: 

  • Der Geschäftsführer und das Management können persönlich für Versäumnisse bei der Umsetzung haftbar gemacht werden
  • Die Geldbußen können bis zu 10 Mio. € oder 2 % des Gesamtumsatzes (für wesentliche Unternehmen) bzw. 7 Mio. € oder 1,4 % des Gesamtumsatzes (für wichtige Unternehmen) betragen
  • Die Behörden können den Geschäftsbetrieb aussetzen, wenn dies für die Netzsicherheit erforderlich ist.

Anwendbare Sektoren sind:

NIS2-KONFORMITÄTSDIENSTLEISTUNGEN VON BUREAU VERITAS


Unsere Experten bei Secura, einem Tochterunternehmen von Bureau Veritas, bieten eine Reihe von Dienstleistungen an, die Sie bei der Einhaltung von NIS2 unterstützen, ganz gleich, wo Sie sich auf Ihrem Weg zur Cybersicherheit befinden. 
Ihre Schritte zur Konformität, einschließlich unserer Dienstleistungen, helfen Ihnen dabei, diese zu erreichen:

  • Prüfen Sie, ob NIS2 für Ihre Organisation gilt
    Der erste Schritt besteht darin, festzustellen, ob Ihre Organisation in den Anwendungsbereich fällt. Die NIS2 gilt für wichtige und wesentliche Einrichtungen. Ob ein Unternehmen als solches eingestuft wird, hängt von der Größe und dem Sektor ab, in dem das Unternehmen tätig ist.
  • Schulungen für Ihren Vorstand und Ihre Mitarbeiter
    Die Schulung Ihrer Mitarbeiter, sowohl auf Vorstandsebene als auch auf anderen Ebenen, ist ein wesentlicher Bestandteil der NIS2-Richtlinie. Das NIS2-Schulungsprogramm für die Geschäftsleitung und das SAFE-Bewusstseins-Programm von Secura/Bureau Veritas hilft Ihnen dabei, die Anforderungen auf allen Ebenen zu erfüllen.
  • Stellen Sie fest, wo Ihre Organisation derzeit steht
    Um herauszufinden, welche Schritte Sie unternehmen müssen, um die Anforderungen von NIS2 zu erfüllen, benötigen Sie eine gute Vorstellung darüber, wie hoch der Sicherheitsstand in den verschiedenen Bereichen Ihrer Organisation derzeit ist. Unser NIS2-Gap-Assessment-Service misst, wo Sie stehen und wo Sie hinmüssen. Mit diesem Einblick identifizieren Sie die notwendigen Schritte für die Erfüllung der NIS2-Anforderungen.
  • Verbesserungen umsetzen
    Nach der Bestandsaufnahme Ihres Unternehmens können Sie alle erforderlichen Verbesserungsmaßnahmen umsetzen. Unsere breite Palette an Lösungen, einschließlich CISO-Support und Incident Response Services, kann Sie sowohl bei der Umsetzung als auch bei der Auswertung der Maßnahmen unterstützen.
  • Erreichen der NIS2-Konformität 
    Nach Abschluss der Schritte sind Sie NIS2-konform und Ihre Organisation ist sicherer vor Cyber-Bedrohungen. Wir unterstützen Sie auch während des gesamten Prozesses mit unserem CyberCare-Programm. 

WELCHE VORTEILE BIETET DIE EINHALTUNG VON NIS2? 

Image
NIS2

Die Einhaltung der Vorschriften ist für einige Organisationen verpflichtend. Allerdings bringt die Einhaltung von NIS2 auch andere Vorteile mit sich:  

  • Verbesserte Cyber-Resilienz und bessere Planung für Cyber-Bedrohungen
  • Besseres Verständnis der Cyberrisiken in der gesamten Organisation
  • Bessere Reaktion auf Vorfälle und Berichterstattung  

WARUM SOLLTEN SIE SICH FÜR BUREAU VERITAS ENTSCHEIDEN, WENN SIE NIS2-COMPLIANCE BENÖTIGEN? 

  • Erfahrenes Team mit jahrzehntelanger Erfahrung in den Bereichen Governance, Risiko und Compliance
  • Eine Reihe von Dienstleistungen, die speziell entwickelt wurden, um Ihre NIS2-Anforderungen zu erfüllen und Ihnen zu helfen, NIS2-konform zu werden
  • Cybersecurity-Experten in den Bereichen Menschen, Prozesse und Technologie
  • Ein einziger Ansprechpartner und ein bewährter partnerschaftlicher Ansatz
  • Ein klarer Fahrplan, um NIS2-konform zu werden und zu bleiben
  • Unterstützt durch die globale Expertise von Bureau Veritas, einem weltweit führenden Anbieter von Test-, Inspektions- und Zertifizierungsdienstleistungen
  • WIE UNTERSCHEIDET SICH NIS2 VON NIS?

    Die NIS2 verfolgt dieselben Ziele wie die NIS, deckt allerdings ein breiteres Spektrum von Sektoren ab, hat strengere Anforderungen an das Risikomanagement und die Meldung von Vorfällen und sieht höhere Strafen bei Nichteinhaltung vor. Außerdem erweitert sich der Kreis der erfassten Organisationen.

  • WAS SIND DIE WICHTIGSTEN ANFORDERUNGEN VON NIS2 ZUSAMMENGEFASST?

    NIS2 besagt, dass Prozesse für die Risikoanalyse und das Risikomanagement, die Informationssicherheit sowie das Management von Cyber-Vorfällen eingerichtet werden müssen. Dabei müssen Kontinuitäts- und Wiederherstellungspläne vorhanden sein, um auf Notfälle reagieren zu können. Signifikante Vorfälle sind den zuständigen Behörden zu meldet. Der unternehmensweite Einsatz von Verschlüsselungstechnologien und Multi-Faktor-Authentifizierung ist erforderlich. Außerdem müssen alle Mitarbeiter regelmäßig geschult werden, um ihnen die besten Praktiken im Bereich der Informationssicherheit zu vermitteln.

  • WIE VERHÄLT SICH NIS2 ZU ISO 27001?

    Sowohl ISO 27001 als auch NIS2 zielen darauf ab, die Cybersicherheit zu verbessern, unterscheiden sich jedoch in ihrem Geltungsbereich, ihrer Anwendbarkeit und ihrem Gesamtkonzept für die Cybersicherheit. Wenn Ihr Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 zertifiziert ist, sind Sie auf dem Weg zur NIS2-Konformität jedoch werden wahrscheinlich zusätzliche Maßnahmen und Prozesse erforderlich sein, um als  NIS2 konform zu gelten.  

NICHT DEN PASSENDEN SERVICE GEFUNDEN?

Finden Sie weitere Dienstleistungen im Solution Finder oder lassen Sie uns Ihre Nachricht zukommen