NIS-2: Gesetzgebung auf der Zielgeraden – jetzt vorbereitet sein

NIS-2 erfasst nun nicht nur klassische KRITIS-Betreiber, sondern auch viele mittelständische Unternehmen in unterschiedlichsten Branchen. Dazu zählen unter anderem IT- und Kommunikationsdienste, Transport und Logistik, Teile der Produktion sowie öffentliche Einrichtungen.

Einen Überblick zu Branchen und Größen haben wir bereits in unserem Beitrag „NIS-2: Gesetzesgrundlage zur Resilienz gegen Cyberangriffe kündigt sich an“ zusammengestellt.

Unternehmen müssen ein wirksames Risikomanagement etablieren und nachweisbar betreiben.

Dazu gehören insbesondere:

• Risikomanagement: Bewertung und Behandlung von Risiken (akzeptieren, vermeiden, reduzieren)
• Technische & organisatorische Maßnahmen: Nach dem „Stand der Technik“ – u.a. Zugriffsschutz, Verschlüsselung, Monitoring/Logging.
• Meldepflichten: Sicherheitsvorfälle innerhalb kurzer Fristen melden – mit definierten Prozessen und Vorlagen.
• Sichere Lieferketten: Partner und Dienstleister müssen einbezogen und bewertet werden.
• Verantwortung der Geschäftsleitung: aktives Mitwirken der Geschäftsleitung wird verlangt: wer jetzt nicht handelt, riskiert Haftung.
• Sensibilisierung aller Mitarbeiter: Rollenspezifische Schulungen
• Notfall- und Krisenmanagement: z.B. Aufrechterhaltung des Betriebs durch Backupmanagement / Wiederherstellung.

Hinweis: Eine Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 ist nicht zwingend vorgeschrieben, erleichtert aber in der Praxis die Umsetzung.

Obwohl die Umsetzung in Deutschland noch nicht endgültig verabschiedet ist, sind die Kernpunkte klar. Gleichzeitig gibt es offene Fragen, die in der Praxis für Unsicherheit sorgen:

• Einstufung „wesentlich“/ „wichtig“: Die Details legt das nationale Gesetz fest.
• Nachweispflichten: die Umsetzung der erforderlichen Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen ist nachweispflichtig.
• Registrierung beim BSI: Fällt man unter NIS2 („wichtig“ oder „wesentlich“), wird eine Registrierung nötig sein. Das BIS strebt dazu eine digitalisierte Online-Portallösung an.

Eins ist jedoch sicher: funktionierende Informations-Sicherheits-Management-Prozesse baut man nicht in wenigen Wochen. Wer früh startet, reduziert Stress und Kosten.

Viele Organisationen unterschätzen den Vorbereitungsaufwand. Ein früher Start bringt klare Vorteile:

• Rechtssicherheit: Klarheit über die eigene Betroffenheit und Pflichten.
• Planbarkeit: Budget, Ressourcen und Projektplanung realistisch aufsetzen.
• Risikominimierung: Risiken früh erkennen und gezielt schließen.
• Entlastung der Geschäftsleitung: Alle Verantwortlichkeiten und Nachweise sind in klar dokumentierten Prozessen verankert.

Wir unterstützen von der Bestandsaufnahme bis zur operativen Umsetzung:

1. Betroffenheit klären: Einstufung, Anwendungsbereich und Risikoanalyse – gemeinsam festlegen.
2. GAP-Analyse & Maßnahmenplan: Bestandsaufnahme und Projektplanung für Transparenz bei der Umsetzung.
3. Begleitung bei der Prozesserstellung: Abläufe definieren, dokumentieren und verbessern.
4. Umsetzung & Verankerung: Umsetzungsbegleitung, Trainings, Vorbereitung behördlicher Prozesse (Registrierung/Meldungen).
5. Audit-Ready für KRITIS: Unterstützung bei internen und externalen Audits, denn: Betreiber kritischer Anlagen (wesentliche Einrichtungen) müssen nach Inkrafttreten des nationalen Gesetzes innerhalb drei Jahren und wiederholt alle drei Jahre, nachweisen, dass die Anforderungen von NIS2 erfüllt sind.
   Dieser Nachweis kann durch Audits, Prüfungen oder Zertifizierungen erbracht werden.
6. Schulung von Mitarbeitern und der GL: Die Leitung sowie alle Beschäftigten müssen regelmäßig zum Thema geschult werden.

Die deutsche NIS-2-Umsetzung steht unmittelbar bevor. Der Kreis betroffener Unternehmen wird deutlich größer, die Anforderungen sind umfangreich – aber machbar, wenn man jetzt strukturiert startet.

Wir beschleunigen Ihre Einführung und sorgen dafür, dass Ihr Unternehmen nicht nur gesetzeskonform, sondern nachhaltig resilient aufgestellt ist.