NIS2 & BSIG:

Neue Pflichten für die Cybersicherheit

Neue Anforderungen, klare Verantwortlichkeiten, konkrete Maßnahmen

Termin vereinbaren

Schützen Sie Ihr Unternehmen 
– und sich selbst als Geschäftsführung.

Die Vernetzung unserer Wirtschaft bietet Chancen, birgt aber auch massive Risiken. Mit dem deutschen Umsetzungsgesetz (NIS2UmsuCG) passt der Gesetzgeber unter anderem auch das BSIG an die Vorgaben der NIS2-Richtlinie an und hebt damit das Schutzniveau. Galten strenge Vorgaben für die Informationssicherheit bisher nur für rund 2.000 KRITIS-Betreiber, betreffen die NIS2-Anforderungen nunmehr etwa 30.000 Unternehmen.

q

Es gibt keine offizielle Benachrichtigung. Unternehmen sind gesetzlich verpflichtet, eigenständig zu prüfen, ob sie unter die Richtlinie fallen.

Was ist die NIS2-Richtlinie eigentlich?

Die NIS2-Richtlinie (Network and Information Security) ist eine EU-weite Gesetzgebung mit einem klaren Ziel:
Die Cybersicherheit in Europa auf ein einheitliches, hohes Niveau zu heben.

Der Kern der Verordnung

Harmonisierung

Einheitliche Sicherheitsstandards in der EU, um das Cybersicherheitsniveau der gesamten Union auf ein hohes Niveau anzuheben.

Resilienz-Stärkung

Verbesserung der Widerstandsfähigkeit von wesentlichen und wichtigen Einrichtungen, um die Leistungserbringung auch bei laufenden Angriffen zu gewährleisten

Schutz des Binnenmarktes

Strenge Vorgaben für Sektoren, bei denen ein Ausfall das Funktionieren des Binnenmarktes gefährden kann.

In Deutschland wird diese Richtlinie durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in nationales Recht gegossen und ist damit für betroffene Unternehmen bindend. 

Sind Sie von NIS2 betroffen?

Sie können über vier Prüfungsstufen ermitteln, ob Sie von NIS2 betroffen sind. Da der Gesetzgeber keine aktive Benachrichtigung vorsieht, ist eine eigenständige Bewertung zwingend erforderlich. Besonders kritisch: Die Verantwortung für die Umsetzung der NIS2-Vorgaben ist eine nicht delegierbare Chefsache. Die Geschäftsleitung steht persönlich in der Pflicht und haftet im Falle von Versäumnissen direkt für die Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen.

Kostenloses Beratungsgespräch buchen

Warum Sie von NIS2 betroffen sein könnten

Sektorale Klassifizierung:

Die Richtlinie unterscheidet zwischen elf Sektoren mit hoher Kritikalität (z.B. Energie, Verkehr, Gesundheit, Wasser) und sieben sonstigen kritischen Sektoren (z.B. Abfallwirtschaft, Lebensmittel, Chemie, Maschinenbau). Die Zugehörigkeit zu einem dieser 18 Sektoren bildet den ersten Anknüpfungspunkt für die Anforderungen aus der NIS2-Richtlinie.

Quantitative Schwellenwerte:

 Im Regelfall greift die Pflicht für Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von über 10 Mio. €.

Besondere Relevanz

Bestimmte Einrichtungen sind unabhängig von ihrer Größe betroffen. Dies gilt u. a. für Anbieter öffentlicher Kommunikationsnetze, Vertrauensdienste sowie Unternehmen mit kritischer Bedeutung für die öffentliche Sicherheit oder das staatliche Gemeinwesen.

Indirekte Betroffenheit (Lieferkette):

Betroffene Unternehmen müssen die Sicherheit ihrer Lieferkette sicherstellen. Dadurch können Vorgaben der NIS2 vertraglich auch an Zulieferer durchgereicht werden, die für sich genommen nicht in die regulierten Sektoren fallen oder die Schwellenwerte unterschreiten.

q

Haftung und Sanktionen: Eine fehlerhafte Selbsteinschätzung schützt nicht vor Konsequenzen. Bei Nichteinhaltung  drohen Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Zudem begründet das Gesetz eine persönliche Haftung der Geschäftsführung, sofern nachweislich keine angemessenen Maßnahmen zur Risikominimierung getroffen wurden.

Was Sie jetzt tun müssen

Die 5 Säulen der Compliance

Wenn Ihr Unternehmen die Schwellwerte erfüllt, tickt die Uhr. Folgende Schritte sind zwingend erforderlich:

Registrierung

Meldung beim BSI innerhalb von 3 Monaten nach Erfüllung der Kriterien.

Risikomanagement

Implementierung fortlaufender Prozesse zum Erkennen und Behandeln von Risiken sowie der Stärkung der IT-Resilienz.

Meldewesen

Aufbau von Prozessen, um erhebliche Sicherheitsvorfälle unverzüglich zu melden.

Dokumentation

Lückenlose Nachweise über alle getroffenen Sicherheitsvorkehrungen.

Awarenes

Regelmäßige Schulungen für die Geschäftsführung und die gesamte Belegschaft.

Sie wissen nicht genau, wo Sie anfangen sollen? Wir machen es Ihnen einfach.

Der sichere Start: Unser NIS2-Initial-Audit zum Festpreis

Geführte Analyse, Gap-Prüfung und Hilfestellung bei der Umsetzung aus einer Hand.

Die Komplexität der NIS2-Anforderungen erfordert ein strukturiertes Vorgehen. Unser Beratungspaket ist darauf ausgelegt, bestehende Sicherheitsstrukturen effizient zu bewerten, Lücken (Gaps) zu identifizieren und die Geschäftsführung zu unterstützen, die gesetzlichen Vorgaben einzuhalten.

Die Leistungsphasen im Überblick:

1. Unterstützung bei der Betroffenheitsanalyse
  • Beratung zur Prüfung der Sektorenzugehörigkeit und Schwellwerte nach BSIG

  • Unterstützung bei der Einordnung als „wesentliche“ oder „wichtige“ Einrichtung.

2. Gap-Analyse (IST vs. SOLL)

  • Abgleich der vorhandenen IT-Sicherheitsmaßnahmen mit den gesetzlichen Anforderungen.

  • Besonderer Fokus auf Unternehmen mit bestehender ISO 27001 Zertifizierung: Identifikation der spezifischen Zusatzanforderungen (Deltas).

  • Überprüfung der Prozesse zur Vorfallsmeldung (24h/72h-Fristen) und des Business Continuity Managements (BCM).

3. Risikomanagement

  • Unterstützung bei der Identifikation der notwendigen technischen und organisatorischen Maßnahmen (TOMs).

  • Erstellung eines empfohlenen Maßnahmenkatalogs zur Schließung von Lücken in der Umsetzung der NIS2-Vorgaben.

  • Vermittlung von Kenntnissen im Risikomanagement
4. Dokumentations- & Richtlinien-Service

  • Unterstützung bei der Erstellung der gesetzlich geforderten internen Leitlinien.

  • Beratung zum Aufbau einer revisionssicheren Dokumentation für Behördenanfragen und Audits.

5. Executive Reporting & Reifegrad-Modell

  • Abschlussbericht mit einer klaren Reifegrad-Bewertung (Score-System) des aktuellen Umsetzungsstands.

  • Spezifisches Briefing für die Geschäftsführung zur Erfüllung der gesetzlichen Schulungs- und Sorgfaltspflichten.

  • Roadmap für die langfristige Einhaltung der Compliance.

Klarheit zum Festpreis: 4.900 € (zzgl.Mwst.)

Ihr Vorteil: Volle Budgetkontrolle für Ihr NIS2-Initial-Audit ohne versteckte Kosten und ohne Risiko durch ausufernde Honorare.

Ihr Mehrwert durch die DDSC

Wir liefern keine theoretischen Konzepte, sondern umsetzbare Strategien. Unser Ziel ist es, die regulatorischen Anforderungen so in Ihre Betriebsabläufe zu integrieren, dass die Sicherheit erhöht wird, ohne die Effizienz zu bremsen.

Termin für Experten-Erstgespräch buchen