• Datenerhebung

  Gemeinsame Erhebung des aktuellen Reifegrades der IT-Security

• Auswertung

  Aufbereitung der gewonnen Daten durch unsere Experten

• Präsentation

  Besprechung der Ergebnisse, Bewertung und Priorisierung von Massnahmen

• Konzept

  Abschlussbericht mit erarbeiteten Handlungsempfehlungen

• Lösung

  Umsetzung der Empfehlungen

Link zur NIS2-Richtlinie: Amtsblatt Europäische Union

• Stellung eines externen Informationssicherheitsbeauftragten (ISB) zur Erfüllung operativer Aufgaben im Aufbau eines ISMS

• Bestandsaufnahme des aktuellen Stands der Informationssicherheit in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit

• Einführung und Umsetzung von grundlegenden ISMS-Prozessen

• Festlegung von Zuständigkeiten sowie Abgrenzung des Geltungsbereichs des ISMS

• Einführung eines Risiko-Managementsystems im Unternehmen sowie Durchführung der Risikoanalyse und Aufstellung von Risikobehandlungsplänen

• Aufbau eines internen Kontrollsystems für die kontinuierliche Überwachung und Verbesserung des ISMS

• Planung und Durchführung eines internen Audits zum Thema Informationssicherheit

• Vorbereitung und Begleitung von externen Audits durch Zertifizierungsstellen

Die NIS-2-Richtlinie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union (EU Official Journal) veröffentlicht. Seitdem arbeiten die Mitgliedsstaaten an der Umsetzung der Vorgaben in das nationale Recht, welche bis Oktober 2024 abgeschlossen sein muss. Diese Deadline betrifft allerdings nur die Überführung in nationales Recht, sie markiert nicht den Zeitpunkt, ab wann die Anforderungen für betroffene Unternehmen gültig sind. Unsere Experten gehen hier von einer angemessenen Umsetzungsfrist für betroffene Unternehmen aus, um der nationalen Richtlinie nachzukommen.

Wir begleiten Sie auf dem Weg zur Umsetzung der NIS2-Vorgaben: Von der ersten Analyse Ihres Geschäftsmodelles und Ihrer Infrastruktur um zu ermitteln, in welchem Maß Ihr Unternehmen von NIS2 betroffen ist bis hin zur Umsetzung erforderlicher Maßnahmen und der Erbringung regelmäßiger Compliance-Nachweise.

Es ist ratsam, bereits jetzt mit der Umsetzung zu beginnen: Zeitnahes Vorgehen reduziert und optimiert das Budget, Fachkräftemangel wird vermieden.

• Nachweisliche Anpassungen: Im Gegensatz zu den ursprünglichen Planungen für 2-jährige Überprüfungen werden besonders wichtige Einrichtungen und Betreiber kritischer Anlagen nun alle drei Jahre geprüft (gemäß §39). Während einige Einrichtungen weiterhin spezifische Maßnahmen umsetzen müssen, ist es nicht zwingend erforderlich, regelmäßige Nachweise darüber zu erbringen. Allerdings hat das BSI die Befugnis, sowohl Nachweise als auch Überprüfungen anzufordern und die Einhaltung von NIS2 zu kontrollieren.

• Klare Definitionen für Betreiber und Sektoren: Der Entwurf vereinfacht und präzisiert, welche Unternehmen von NIS2 betroffen sind, indem er bestimmte Kriterien wie Mitarbeiterzahl und Jahresumsatz nutzt. Hierbei spielen insbesondere die Abschnitte und Anhänge im Gesetz eine entscheidende Rolle, wobei einige Branchen wie die Versicherung nicht berücksichtigt werden.

• Maßnahmen: Unternehmen erhalten im überarbeiteten Entwurf konkrete Anhaltspunkte zur Auswahl von Sicherheitsmaßnahmen, die das Ausmaß der Risikoexposition berücksichtigen. Interessant ist hierbei die Lockerung der Anforderungen an die Lieferkettensicherheit.

• Verantwortung von Geschäftsleitern: Wichtige Änderungen betreffen auch Geschäftsleiter. Sie dürfen nun Dritte zur Überwachung von Risikomanagementmaßnahmen heranziehen. Außerdem wurde die Haftung der Geschäftsleitung in bestimmten Aspekten gelockert.

• Zeitrahmen und Fristen: Beachtenswert ist der vorgesehene Zeitplan: Das NIS-Umsetzungsgesetz soll im März 2024 verkündet werden und im Oktober 2024 in Kraft treten. Die ersten Überprüfungen werden voraussichtlich im Oktober 2027 beginnen.