NIS2 Richtlinie in Deutschland.
Wer ist betroffen?
Der NIS2 Referentenentwurf vom 2.10.2024 ist derzeit noch in Abstimmung. Das NIS2 Umsetzungsgesetz sollte ursprünglich im Oktober 2024 in Kraft treten. Geplant ist nun das Inkrafttreten für März 2025.
Hier können Sie den aktuellen Umsetzungsstand (BMI) einsehen.
Die NIS2 Sektoren werden in Anlagen 1 und 2 des NIS2 Referentenentwurf definiert und weiter in „wichtige“ und „besonders wichtige Einrichtungen“ unterteilt.
Sowohl besonders wichtige als auch wichtige Einrichtungen sind gemäß NIS2 verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
Zusätzlich zu den NIS2 Sekttoren bleiben auch weiterhin die Sektoren der kritischen Infrastrukturen erhalten. KRITIS-Betreiber mit identifizierten kritischen Anlagen bleiben entsprechend reguliert und erhalten aus der NIS2 Richtlinie weitere Anforderungen.
1. Wichtige Einrichtungen
Wichtige Einrichtungen sind Unternehmen oder Organisationen, die wesentliche Dienste anbieten, deren Beeinträchtigung zwar ernste, aber nicht unbedingt katastrophale Auswirkungen auf das öffentliche Wohl oder die Wirtschaft haben würde. Die Klassifizierung als "wichtig" zieht spezifische Sicherheits- und Meldepflichten nach sich, die sicherstellen sollen, dass diese Einrichtungen angemessene Schutzmaßnahmen gegen Cyberbedrohungen ergreifen.
Wichtige Einrichtungen sind:
-
Vertrauensdiensteanbieter.
-
Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
a) weniger als 50 Beschäftigte haben und
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro
oder weniger aufweisen.
-
Aus Anlagen 1 und 2 des NIS2 Referentenentwurf bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 50 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.
2. Besonders wichtige Einrichtungen
Besonders wichtige Einrichtungen sind solche, deren Beeinträchtigung zu schwerwiegenden, landesweiten oder branchenübergreifenden Krisen führen. Diese Einrichtungen unterliegen den strengsten Vorschriften der NIS2 Richtlinie, einschließlich Audits und fortlaufender Überwachung.
Besonders wichtige Einrichtungen sind:
-
Betreiber Kritischer Anlagen.
-
Qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter
-
Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
a) mindestens 50 Mitarbeiter beschäftigen oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.
-
Aus Anlage 1 des NIS2 Referentenentwurf bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 250 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.
3. Betreiber kritischer Anlagen
Eine Anlage ist kritisch, wenn Sie den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung zuzuordnen ist und festgelegte Schwellenwerte überschreitet.
Die Sektoren für Betreiber kritischer Anlagen sind separat zu den Einrichtungen und sowohl in der NIS-2 Richtlinie als auch im KRITIS-Dachgesetz definiert. Kritische Anlagen sind solche, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die Versorgungssicherheit oder die öffentliche Sicherheit haben könnte. Die kritischen Dienstleistungen und Anlagen müssen teilweise noch in einer Verordnung festgelegt werden. Das KRITIS Dachgesetz ist noch in Bearbeitung. Schwellenwerte für kritische Anlagen werden in der "Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz" BSI-KritisV festgelegt.
Betreiber kritischer Anlagen werden unabhängig von ihrer Unternehmensgröße als besonders wichtiges Unternehmen eingestuft.
❗️ Unternehmen sind für die Identifikation von KRITIS-Anlagen und Feststellung der Betroffenheit als NIS2 Einrichtung selbst verantwortlich.
Unsere Services
Erhebung der Anforderungen: Gap-Analyse
Erstellen der Lösungsarchitektur
-
Wir erstellen eine Gap-Analyse gegen Security Best Practices und spezifischen Standards
-
Durchführung einer Risiko-Analyse zur Bewertung der konkreten Cyber Security Risiken durch.
-
Das Ergebnis wird als Heatmap über den gesamten Kontrollstandard aufgearbeitet.
-
Wir erstellen einen Maßnahmenplan mit Priorisierung und und Etappenziele.
-
Beratung und Umsetzungsplanung zur Behebung von Audit-Issues
-
IS Policies: Erstellung unternehmensangepasster Information Security Vorgaben
Projektmanagement
-
Business Plan (Scope, Kosten, Nutzen, Risiken, Roadmap)
-
Projektorganistion
-
Projekt-Management,
-
Programm-Management.
Zertifikate:
Prince2 (classic & agil)
Scrum Product Owner
Scrum Master
ITIL4
CISSP
Business Analysis
Requirements Engineering
Vereinbaren Sie eine Beratungstermin
Dr. Johannes Faassen
mobil: +49 170 4168039