Menu

NIS2 Richtlinie: Anforderungen und Vorgaben erfolgreich umsetzen

Home » Informationssicherheit » NIS2 Beratung
Die Europäische Union strebt mit der neuen NIS2 Richtlinie die Schaffung eines europaweiten, einheitlichen und hochwertigen Niveaus der Cybersicherheit für Organisationen in bestimmten Sektoren an. Grund dafür ist, dass die Bedrohung durch Cyberkriminalität aktuell auf einem bisher nie dagewesenen Höchststand liegt. Sicherheitsvorfälle nehmen länderübergreifend kontinuierlich zu und IT-Infrastrukturen erweisen sich immer wieder als anfällig für Cyberangriffe. Die Umsetzung der in der EU-Direktive festgelegten Maßnahmen und Vorgaben soll zu mehr Sicherheit bei betroffenen Unternehmen führen.

Das sollten Sie zur NIS2 Richtlinie wissen

Am 27. Dezember 2022 wurde die Network and Information Security (NIS) Richtlinie im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Ursprünglich sollten die EU-Mitgliedsstaaten die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Die Einführung wird sich aber noch etwas verzögern. Experten rechnen aktuell mit einem Inkrafttreten im März 2025. In Deutschland wurde bereits im Juli 2023 ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS2 Richtlinie vorgestellt. Dieses Gesetz ist unter dem Namen NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bekannt. Mittlerweile liegt der vierte Entwurf des Bundesamts des Innern vor. Der aktuelle Regierungsentwurf des Umsetzungsgesetzes wurde im Juli 2024 verabschiedet und der Beschluss steht nun unmittelbar bevor. 

Die neue Richtlinie bzw. das Umsetzungsgesetz führt zu einem starken Anstieg der Zahl der betroffenen Unternehmen und vorgeschriebenen Sicherheitsanforderungen. Einrichtungen stehen nun vor der Herausforderung bis März 2025 zahlreiche Maßnahmen zur Verbesserung der Sicherheit umzusetzen, wie zum Beispiel die Implementierung eines Risikomanagements, um mögliche Strafen zu vermeiden.

Warum Sie mit der Umsetzung von NIS2 jetzt starten sollten

Angesichts der möglicherweise umfassenden Anpassungen und der Komplexität der Umsetzung ist es ratsam, sich bereits jetzt intensiv mit der Richtlinie auseinanderzusetzen und rechtzeitig mit den Vorbereitungen zu beginnen, bevor das deutsche Umsetzungsgesetz in Kraft tritt. Das ermöglicht, frühzeitig angemessene Maßnahmen zur Verbesserung der Informationssicherheit zu ergreifen und einen reibungslosen Übergang zur Einhaltung der Pflichten zu gewährleisten. Darüber hinaus wird das Risiko minimiert, dass die Nachfrage kurz vor Inkrafttreten der Richtlinie so stark ansteigt, dass es zu Engpässen in der Kapazität von Beratungsunternehmen kommt.

Wer ist von der NIS2 Richtlinie betroffen?

Nicht nur kritische Infrastrukturen fallen unter NIS2. Im Vergleich zu NIS1 hat sich der Anwendungsbereich deutlich erweitert, und die Zahl der betroffenen Sektoren ist erheblich gestiegen. Schätzungen zufolge werden durch das deutsche Umsetzungsgesetz von NIS2 rund 30.000 zusätzliche Unternehmen von der Ausweitung des Anwendungsbereichs erfasst, überwiegend mittlere und Großunternehmen. In wenigen ausgewählten Teilsektoren spielt die Größe jedoch keine Rolle. Dabei wird zwischen Betreibern von "besonders wichtigen Einrichtungen" und "wichtigen Einrichtungen" unterschieden.

Definition: Großunternehmen und mittlere Unternehmen

Großunternehmen und mittlere Unternehmen sind unter bestimmten Voraussetzungen von der NIS2 Richtlinie betroffen. Falls Sie einer der beiden Größen angehören, können Sie im nächsten Schritt überprüfen, ob Sie ein Anbieter einer 'besonders wichtigen' oder einer 'wichtigen' Einrichtung sind.
Mittlere Unternehmen

ab 10 Mio. € Umsatz und ab 10 Mio. € Bilanzsumme

ODER

ab 50 Mitarbeitenden

Großunternehmen

ab 50 Mio. € Umsatz und ab 43 Mio. € Bilanzsumme

ODER

ab 250 Mitarbeitenden

Besonders wichtige und wichtige Einrichtungen bei NIS2

Je nachdem, in welchem Sektor Sie tätig sind und ob es sich um ein mittleres oder ein Großunternehmen handelt, wird es entweder als 'besonders wichtige Einrichtung' oder als 'wichtige Einrichtung' eingestuft. Diese Klassifizierung hat Auswirkungen auf die Sanktionen sowie auf die Überwachung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die nachfolgende Übersicht soll Ihnen eine Orientierung geben. Eine individuelle Analyse der Betroffenheit ist aber unerlässlich, denn es greifen häufig mehrere und zum Teil auch granulare Kriterien.

Besonders wichtige Einrichtungen

Energie
Finanzen / Versicherungen
Gesundheit
IT und TK
KRITIS-Betreiber
Transport / Verkehr
Wasser / Abwasser
Weltraum
Großunternehmen in der Energie-Branche werden als besonders wichtige Einrichtung klassifiziert. Darunter fallen beispielsweise Anbieter in folgenden Branchen: 
Stromversorgung
Fernwärme und -kälteversorgung
Kraftstoff- und Heizölversorgung
Gasversorgung
Großunternehmen, die im Bankwesen oder in der Finanzmarktinfrastruktur tätig sind, werden als Betreiber besonders wichtiger Einrichtungen betrachtet. Mittlere Unternehmen gelten jedoch als wichtige Einrichtung. 
Im Gesundheits-Sektor liegen für Großunternehmen granulare Kriterien vor, um als besonders wichtige Einrichtung klassifiziert zu werden. Beispielsweise sind folgende Einrichtungsarten betroffen:
Erbringer von Gesundheitsdienstleistungen
EU-Referenzlaboratorien
Tätigkeit im Bereich der Forschungs- und Entwicklung für die Arneimittel
Herstellung von pharmazeutischen Erzeugnissen
Herstellung von Medizinprodukten, die während einer Notlage für die öffentliche Gesundheit als kritisch eingestuft werden
Bei der Informationstechnik und Telekommunikation liegen mehrere Kriterien vor. Zu beachten ist hierbei auch, dass manche Teilsektoren unabhängig von der Unternehmensgröße als besonders wichtig eingestuft werden. Außerdem werden nicht nur Großunternehmen, sondern auch teilweise mittlere Unternehmen in diese Kategorie eingestuft. Als besonders wichtige Betreiber werden beispielsweise folgende Unternehmen klassifiziert. 
DNS-Dienstanbieter
TLD-Namensregister
Qualifizierte Vertrauensdienstanbieter
Anbieter öffentlicher elektronischer Kommunikationsnetze
Anbieter öffentlich zugänglicher Kommunikationsdienste
Managed Services Provider
und viele weitere.
Da für KRITIS-Betreiber bereits vor Jahren gesetzliche Regularien in Kraft getreten sind, steht die Betroffenheit in der Regel bereits fest. Der Schwellenwert ist in der Regel, wenn eine Anlage mehr als 500.000 Personen versorgt. 
Großunternehmen aus dem Sektor Transport und Verkehr werden in der NIS-2-Richtlinie als Betreiber besonders wichtiger Einrichtungen klassifiziert. Es sind beispielsweise folgende Branchen betroffen:
Luftverkehr
Schienenverkehr
Schifffahrt
Straßenverkehr
Großunternehmen, die die Trinkwasserversorgung und die Abwasserbeseitigung betreiben, gelten als besonders wichtig. 
Großunternehmen, die die Erbringung von weltraumgestützen Diensten unterstützen, gelten als besonders wichtiger Betreiber in der NIS2 Richtlinie. 
Another Tab Contents
Another Tab Contents
Another Tab Contents
Another Tab Contents

Wichtige Einrichtungen

Abfallentsorgung
Anbieter digitaler Dienste
Chemie
Energie
Finanzen / Versicherungen
Forschung
Gesundheit
IT und TK
Lebensmittel
Transport / Verkehr
Wasser / Abwasser
Weltraum
Verarbeitendes Gewerbe
Mittlere Unternehmen und Großunternehmen, die in der Siedlungsabfallentsorgung sind, werden als wichtig eingestuft.
Mittlere Unternehmen und Großunternehmen, die Online-Marktplätze, Online-Suchmaschinen oder Dienste sozialer Netzwerke betreiben, gelten als wichtige Einrichtung.
Mittlere Unternehmen und Großunternehmen, die chemische Stoffe produzieren, herstellen oder damit handeln, werden als wichtig klassifiziert.
Mittlere Unternehmen in der Energie-Branche werden als wichtige Einrichtung klassifiziert. Darunter fallen beispielsweise Betreiber aus folgenden Branchen: 
Stromversorgung
Fernwärme und -kälteversorgung
Kraftstoff- und Heizölversorgung
Gasversorgung
Großunternehmen dieses Sektors werden im Gegensatz dazu als besonders wichtige Einrichtung eingestuft.
Mittlere Unternehmen, die im Bankwesen oder in der Finanzmarktinfrastruktur tätig sind, werden als besonders wichtige Einrichtung betrachtet. Großunternehmen gelten im Gegensatz dazu als besonders wichtig. 
Mittlere und große Forschungseinrichtungen gelten in der NIS2 Richtlinie als wichtige Einrichtung.
Im Gesundheits-Sektor liegen für mittlere Unternehmen granulare Kriterien vor, um als wichtige Einrichtung klassifiziert zu werden. Beispielsweise sind folgende Einrichtungsarten betroffen:
Erbringer von Gesundheitsdienstleistungen
EU-Referenzlaboratorien
Tätigkeit im Bereich der Forschungs- und Entwicklung für die Arneimittel
Herstellung von pharmazeutischen Erzeugnissen
Herstellung von Medizinprodukten, die während einer Notlage für die öffentliche Gesundheit als kritisch eingestuft werden
Bei der Informationstechnik und Telekommunikation liegen mehrere Kriterien vor. Zu beachten ist hierbei auch, dass manche Teilsektoren unabhängig von der Unternehmensgröße als wichtig eingestuft werden. 

Mittlere Unternehmen in folgenden Branchen werden beispielsweise als wichtig eingeordnet:
Vertrauensdienstanbieter
Managed Services Provider
und viele weitere.
Mittlere Unternehmen und Großunternehmen, die Lebensmittel produzieren, verarbeiten oder vertreiben, gelten als wichtige Einrichtung. 
Mittlere Unternehmen, die beispielsweise Anbieter im Luft-, Straßen oder Schienenverkehr sind, gelten als wichtige Einrichtung. 
Großunternehmen in diesen Sektoren werden jedoch als besonders wichtig eingestuft. 

Ebenso stellen auch Großunternehmen, die als Post- oder Kurierdienst tätig sind, eine wichtige Einrichtung dar. 
Mittlere Unternehmen, die in der Trinkwasserversorgung und in der Abwasserbeseitigung tätig sind, gelten als wichtig.
Großunternehmen fallen unter die besonders wichtigen Einrichtungen.
Mittlere Unternehmen, die die Erbringung von weltraumgestützen Diensten unterstützen, gelten als wichtig in der NIS2 Richtlinie. Großunternehmen in diesem Sektor gelten als besonders wichtige Einrichtung.
Mittlere Unternehmen und Großunternehmen in folgenden Sektoren werden beispielsweise als wichtig klassifiziert:
Maschinenbau
Herstellung von Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau
Herstellung von Datenverarbeitungsgeräten

Welche Anforderungen der NIS2 Richtlinie müssen erfüllt werden?

Mit NIS2 wird Informationssicherheit nun „noch mehr“ zur Chefsache. Die Geschäftsleitung oder die Führungskräfte auf Managementebene tragen die Verantwortung dafür, dass die IT-Standards und somit die Compliance-Anforderungen der NIS2 Richtlinie umgesetzt werden. Bei Verstößen drohen Sanktionen in Form von Bußgeldern in Millionenhöhe und die persönliche Haftung.

Wichtige Anforderungen und Maßnahmen der NIS2 Richtlinie, die betroffene Organisationen in Deutschland umsetzen müssen, sind beispielsweise:
Risikomanagementsystem als Anforderung der NIS-2 Richtlinie

Etablierung eines effektiven Risikomanagementsystems

Um die digitale und physische Sicherheit der Netzwerke und Informationssysteme zu garantieren sowie um potenzielle Gefahren für die IT-Infrastruktur angemessen zu bewerten.
Meldeplfichten als Anforderung der NIS-2 Richtlinie

Beachtung von Berichts- und Meldepflichten an das BSI

z. B. die Verpflichtung, einen schwerwiegenden Sicherheitsvorfall innerhalb von 24 Stunden an das BSI zu melden und auf Nachfrage auch Zwischenberichte vorzulegen.
Schulung als Anforderung der NIS-2 Richtlinie

Verpflichtung zur Schulung und Sensibilisierung

Die Management-Ebene sowie die Mitarbeitenden müssen über Risiken für die Cybersicherheit sowie Maßnahmen zur Verbesserung der IT-Sicherheit geschult werden.

Wie können wir Sie auf dem Weg zur NIS2 Konformität unterstützen?

Unsere Experten stehen Ihnen bei der Umsetzung mit geballtem IT-Wissen und fundierter rechtlicher Expertise zur Seite und entwickeln auch für Sie individuelle Lösungen auf dem Weg zur Compliance und zur Stärkung Ihrer digitalen Sicherheit, gemäß den Anforderungen der NIS2 Richtlinie. Unser Ziel ist es nicht nur, Ihre NIS2 Konformität sicherzustellen, sondern Ihnen mit unseren Dienstleistungen auch dabei zu helfen, das Risiko, Opfer eines Sicherheitsvorfalls zu werden, auf ein Minimum zu reduzieren und Ihre Informationssicherheit nachhaltig zu stärken.
Feststellung der Betroffenheit NIS-2 Icon Betroffenheit NIS-2

Feststellung der Betroffenheit

Wir führen eine gründliche Analyse durch, um festzustellen, ob Ihre Einrichtung unter NIS2 fällt. Die zuständige Behörde (BSI) werden nicht aktiv auf Sie zukommen, um Sie über die Anforderungen des neuen Umsetzungsgesetzes zu informieren. Stattdessen liegt es in Ihrer Verantwortung, proaktiv zu ermitteln, ob Ihre Organisation den Anforderungen und Pflichten von NIS2 unterliegt.

GAP-Analyse NIS-2 GAP-Analyse, um Maßnahmen zu identifizieren

Analyse der Konformitätslücken

Unsere umfassende GAP-Analyse zielt darauf ab, bestehende Lücken in Bezug auf die künftigen Anforderungen von NIS2 zu identifizieren. Der Fokus liegt dabei auf der Überprüfung von Abweichungen im Hinblick auf die erforderlichen Kriterien, dem aktuellen Stand des nationalen Umsetzungsgesetzes (NIS2UmsuCG) und Veröffentlichungen von Behörden, beispielsweise des BSI.

NIS-2 Maßnahmenkonzept Maßnahmen für NIS-2

Entwicklung eines Maßnahmenkonzepts

Wir entwickeln auf Grundlage der GAP-Analyse ein Konzept mit gezielten Sicherheitsmaßnahmen, die exakt auf Ihre individuellen Anforderungen abgestimmt sind. Dadurch stellen wir sicher, dass eine nachhaltige Sicherheitsstrategie für Ihre IT-Infrastruktur implementiert wird. Zu diesem Konzept zählt z.B. ein Risikomanagement oder die kompetente Handhabung von Meldepflichten bei Sicherheitsvorfällen.

Risikomanagement der IT Risikomanagement als Maßnahme der NIS-2-Richtlinie

Etablierung eines Risikomanagement

Die verschärften Anforderungen an das Risikomanagement nehmen Einrichtungen in die Pflicht, angemessen mit Bedrohungen und Risiken im betrieblichen Kontext umzugehen. In enger Zusammenarbeit mit Ihnen entwickeln und etablieren wir ein maßgeschneidertes und angemessenes Risikomanagementsystem. 

Schulungen für Informationssicherheit Schulung für IT-Sicherheit

Security Awareness Schulungen

Unsere Schulungen zu IT-Sicherheitsthemen bieten Ihnen praxisorientierte Einblicke und vermitteln Ihren Mitarbeitenden ein grundlegendes Verständnis für die alltäglichen Bedrohungen und Risiken im Cyberraum. Awareness-Maßnahmen, wie z. B. Phishing-Simulationen festigen die vermittelten Inhalte nachhaltig. 

ISMS einführen ISMS zur Umsetzung der NIS-2-Richtlinie

Einführung eines ISMS

Wir überprüfen regelmäßig die Wirksamkeit der implementierten Sicherheitsmaßnahmen und passen diese an die sich stetig veränderte Bedrohungslage sowie an neue Anforderungen an. Ein umfangreiches ISMS bietet den optimalen Rahmen, um Ihre IT-Sicherheit ganzheitlich und proaktiv voranzutreiben sowie das deutsche Umsetzungsgesetz zu erfüllen.


Wie gestaltet sich die Beratung und Umsetzung der NIS2 Richtlinie?

1
Erstberatung & Kennenlernen
2
Betroffenheit überprüfen
3
GAP-Analyse
4
Maßnahmen umsetzen
5
Managementsysteme implementieren
6
Informationssicher-heitsbeauftragter
Wir freuen uns darauf, Sie und Ihre Organisation in einem 30-minütigen kostenlosen Beratungsgespräch kennenzulernen.
Im nächsten Schritt ist es notwendig, erst einmal festzustellen, ob Ihre Einrichtung überhaupt unter das Umsetzungsgesetz der EU-Direktive fällt. Dabei stehen Ihnen Cybersecurity-Experten der INES AG und Rechtsanwältin Sabine Sobola von LiiDU tatkräftig zur Seite.

Falls Handlungsbedarf besteht, wird mithilfe der GAP-Analyse festgestellt, welche Maßnahmen und Anforderungen für eine erfolgreiche Umsetzung der EU-Direktive noch fehlen und im Einzelnen auf Sie zukommen, um die Vorgaben zu erfüllen.

Anschließend müssen die im Umsetzungsgesetz festgelegten Maßnahmen in Ihre IT-Infrastruktur implementiert und etabliert werden. Herausfordernd könnte dabei beispielsweise die Einführung eines Risikomanagements oder das Vorgehen beim Absetzen eines Sicherheitsvorfalls an das BSI innerhalb einer bestimmten Frist werden.
Wir unterstützen Sie auf personeller, fachlicher und technischer Ebene bei der Implementierung eines geeigneten Risikomanagements und die Einführung eines Informationssicherheits-Managementsystems (z. B. ISO 27001).
Auch nach der erfolgreichen Umsetzung der NIS2 Richtlinie stehen wir Ihnen weiterhin für offene Fragen oder Anliegen zur IT-Sicherheit zur Seite und unterstützen Sie gerne auch als externer Informationssicherheitsbeauftragter bei der Optimierung Ihrer IT-Infrastruktur.

Geballtes IT-Wissen & rechtliche Expertise zur NIS2 Richtlinie

Gemeinsam mit LiiDU aus Regensburg möchten wir Sie auf personeller, fachlicher und technischer Ebene unterstützen. LiiDU steht für "Licht im Dunkeln" und beantwortet individuelle Fragen an der Schnittstelle von Recht und IT. Sabine Sobola ist Gründerin von LiiDU und Rechtsanwältin. Ihre rechtliche Expertise wird durch unser geballtes Cybersecurity-Knowhow optimal ergänzt. 
LiiDU - rechtliche Expertise für unsere Beratung zur NIS 2 Richtlinie

Jetzt kostenfreie Erstberatung zur NIS2 Richtlinie sichern!

Ihre NIS-2 Berater Florian Wiesenbauer und Sabine Sobola
Florian Wiesenbauer (Cybersecurity-Experte, INES AG) und Sabine Sobola (Rechtsanwältin, LiiDU GmbH) 
bündeln Ihr rechtliches und technisches Know-How und beraten Sie zur Betroffenheit und Umsetzung der NIS2 Richtlinie.

Welche Sanktionen sind bei Nichteinhaltung von NIS2 zu erwarten?

Konsequenzen Bußgelder Geldstrafen bei NIS-2

Mögliche Geldstrafen

Die Sanktionen durch die nationalen Behörden werden erheblich erweitert, sodass Geschäftsführer:innen oder die Management-Ebene in den relevanten Sektoren persönlich haftbar gemacht werden können. Die Bußgelder können von 7 Millionen € bis zu 10 Millionen € betragen oder zwischen 1,4 % und 2 % des Gesamtumsatzes.
Konsequenzen bei fehlender Umsetzung der NIS-2

Fehlender Schutz

Das Risiko Opfer eines Cyberangriffs zu werden, ist heutzutage größer denn je. Bisher können Organisationen selbst entscheiden, welches Risiko sie beim Thema Cybersicherheit eingehen wollen. Mit der Verabschiedung des neuen IT-Gesetzes strebt die EU an, durch gesetzliche Vorgaben ein einheitliches hohes Sicherheitsniveau zu schaffen und schwerwiegende Sicherheitsvorfälle zu verhindern.

FAQ zur NIS2 Richtlinie

Warum wurde die NIS2 Richtlinie im Januar 2023 von der EU in Kraft gesetzt?

Die Richtlinie ist eine Antwort der EU auf die zunehmende Bedrohungslage im Cyberraum. Cyberangriffe werden zunehmend professioneller, raffinierter und treten häufiger auf, was die IT-Infrastrukturen von Einrichtungen vor immer größere Herausforderungen stellt. Die Europäische Union möchte damit Schwachstellen in der Krisenbewältigung einheitlich beheben. Die Betreiber in den festgelegten Sektoren sind außerdem von zentraler Bedeutung für die Versorgung und Sicherheit von Gesellschaft und Wirtschaft des Landes und deshalb besonders schützenswert. Diese neue EU-Direktive bzw. das deutsche Umsetzungsgesetz markiert also einen entscheidenden Schritt hin zu erhöhter Cybersicherheit in der EU.

Wie ist der aktuelle Stand des deutschen Umsetzungsgesetzes der EU-Richtlinie?

Der erste Referentenentwurf wurde im April 2023 veröffentlicht. Inzwischen liegt bereits der vierte Entwurf in Form der beschlossenen Kabinettsversion vor. Dieser Entwurf wurde im Juli 2024 veröffentlicht. In den letzten Monaten hat der Umsetzungsprozess deutlich an Fahrt aufgenommen, was die Dringlichkeit dieses Sachverhalts unterstreicht. Nun muss der Entwurf noch den Gesetzgebungsprozess auf Bundesebene durchlaufen. Die Zuständigkeit für das Inkrafttreten liegt beim Bundesministerium des Innern und für Heimat. Vorrausichtlich wird das Umsetzungsgesetz im Frühjahr 2025 Inkrafttreten. Der aktuelle Stand der Umsetzung ist hier einsehbar.

Sind alle deutschen Unternehmen von der NIS2 Richtlinie betroffen?

Die Richtlinie betrifft KRITIS-Betreiber und Organisationen aus 18 Sektoren. Ob man ein darunterfällt, ist von drei Faktoren abhängig: der Mitarbeiterzahl, dem Sektor und dem Jahresumsatz. Eine individuelle Betroffenheitsanalyse ist aufgrund der Komplexität aber unerlässlich.
Die NIS2 Richtlinie richtet sich direkt an Betriebe ab 50 Mitarbeitenden in bestimmten Sektoren, die als Betreiber besonders wichtiger oder wichtiger Einrichtungen eingestuft werden. Aber auch kleinere Einrichtungen können indirekt, durch ihre Position in der Lieferkette, die Auswirkungen spüren. Daher ist es zwingend erforderlich, sich auch unabhängig von der Größe mit der Sicherheit der eigenen IT-Infrastruktur auseinanderzusetzen. Die betroffenen Einrichtungen haben wir für Sie auf dieser Seite ausführlich zusammengefasst.

Was könnte bei der Umsetzung von NIS2 herausfordernd sein?

Die Richtlinie erfordert, dass spezifische technische und organisatorische Pflichten zur Verbesserung der Informationssicherheit erfüllt werden. Darunter z.B. die Etablierung eines Risikomanagements, die Einführung von Meldepflichten an die nationalen Behörden und ein effektives Krisenmanagement. Die Umsetzung und Etablierung dieser Prozesse könnte sich als eine anspruchsvolle Aufgabe erweisen, bei der wir Sie gerne unterstützen.

Reicht eine ISO-Zertifizierung z.B. nach ISO 27001 aus, um die Anforderungen von NIS2 zu erfüllen?

Ein Informationssicherheits-Managementsystem (ISMS), z.B. nach ISO 27001, bildet bereits eine solide Grundlage für die Erlangung der Konformität, da das ISMS viele grundlegende Sicherheitsmaßnahmen abdeckt und zeigt, dass die Sicherheit der IT-Infrastruktur in Ihrem Betrieb ernst genommen wird. Dennoch müssen noch wenige zusätzliche bzw. konkretere Anforderungen und Maßnahmen umgesetzt werden.

Wie aufwendig ist es, die Anforderungen der NIS2 Richtlinie umzusetzen?

Der Aufwand zur Umsetzung der Maßnahmen ist bei jedem Unternehmen individuell zu betrachten, eine pauschale Antwort ist daher leider nicht möglich. Mithilfe der GAP-Analyse analysieren wir die individuellen Konformitätslücken und führen die Unterschiede des IST-Zustands zur Erfüllung der Vorgaben auf. Danach liegt eine transparente Übersicht vor, welche Sicherheitsmaßnahmen noch umgesetzt werden müssen.

Informieren Sie sich jetzt zur Umsetzung der NIS2 Richtlinie!

Wir beraten Sie mit einer fundierten rechtlichen Expertise sowie unserer langjährigen Erfahrung in der Implementierung von sicheren IT-Lösungen und Informationssicherheits-Managementsystemen.




    Kontakt und mehr