Sie haben von der neuen NIS-2-Richtlinie gehört und sind sich jetzt nicht ganz sicher, ob Ihr Unternehmen darunterfällt? Und wenn ja, welche Strafen drohen könnten, wenn Sie sich nicht rechtzeitig um die Umsetzung kümmern? Neben bis zu 10 Millionen Euro Bußgeld, können Geschäftsführer auch persönlich haftbar gemacht werden.

Mit der NIS-2-Richtlinie verfolgt die EU das Ziel, ein europaweites Cybersicherheits-Niveau für bestimmte Sektoren zu schaffen. Betroffen sind tausende von Unternehmen, die Risikomanagementmaßnahmen einführen und künftig Berichts- und Meldepflichten nachkommen müssen.

Grund für diese neue Richtlinie ist, dass die Bedrohung durch Cybercrime so hoch ist wie noch nie. Ganz vorne mit dabei sind Bedrohungen und Erpressungen durch Ransomware, DDos-Angriffen, Malware, Phishing und über tausende Schwachstellen in Softwareprodukten.

Die EU hat sich deshalb das Thema IT-Sicherheit vorgenommen. Im Januar 2023 ist so die NIS-2-Richtlinie in Kraft getreten, die in der ganzen EU gilt. Sie hat das erklärte Ziel, ein europaweites Cybersicherheits-Niveau für gesellschaftlich wichtige Bereiche, wie z.B. dem Gesundheits- oder den Energiesektor, zu schaffen. Das entsprechende deutsche Gesetz, das sog. NIS2UmsuCG, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird voraussichtlich zum 1. Oktober 2024 in Kraft treten. Bis dahin müssen alle von dem Gesetz betroffenen Unternehmen, die notwendigen Schritte im Unternehmen bereits umgesetzt haben.

Was müssen Sie als Unternehmer nun also tun?

Als erstes müssen Sie feststellen, ob Ihr Unternehmen in den Anwendungsbereich fällt. Betroffen sind Unternehmen, die in einen von 18 definierten Sektoren tätig sind und eine Größe von mehr als 50 bzw. 250 Mitarbeitern haben oder einen Umsatz von mehr als 10 Millionen Euro jährlich erwirtschaften. Aber Achtung: manche Sektoren sind auch unabhängig von Größe oder Umsatz vom Gesetz betroffen, z.B. die KRITIS-Betreiber. 

Welche Maßnahmen müssen ergriffen werden?

Betroffene Unternehmen werden vor allem Risikomanagementmaßnahmen im Unternehmen etablieren müssen, sie werden Berichts- und Meldepflichten nachkommen müssen und sie werden das alles zur Chefsache machen müssen, weil es eine persönliche Haftung der von Geschäftsführern und Vorständen geben wird.

Wie fangen Sie nun am besten damit an?

Wir empfehlen, sich rechtzeitig mit der Cybersicherheit zu beschäftigen, nicht nur aus Compliance-Gründen, sondern auch, weil ein Cybersicherheitsvorfall tatsächlich das Wohl eines Unternehmens gefährden und dramatische finanzielle Folgen haben kann.

So können wir Sie unterstützen 

Der erste Schritt für Ihr Unternehmen ist nun, festzustellen, ob Sie überhaupt unter das Gesetz fallen. Falls dem so ist, muss in einem zweiten Schritt geprüft werden, welche Maßnahmen im Einzelnen auf den jeweiligen Sektor bzw. Ihr Unternehmen in der spezifischen Größe (manche Sektoren sind auch größenunabhängig betroffen!) zukommen. Bei beiden Schritten stehen Ihnen die Teams der INES AG und der LiiDU GmbH, die sich aus Juristen und Cybersicherheitsberatern zusammensetzen, tatkräftig zur Seite. Sie werden von der Ermittlung der Betroffenheit über die GAP-Analyse, bis hin zur Implementierung eines funktionierenden Informationssicherheitsmanagementsystems und der dazugehörigen Prozesse (z.B. ISO2001) auf fachlicher, technischer und personeller Ebene unterstützt.

Sofern die ersten beiden Punkte positiv beantwortet werden, müssen in einem dritten Schritt die im Gesetz geregelten Maßnahmen umgesetzt und im Unternehmen etabliert werden. Beispielsweise dürfte die Einführung eines Risikomanagements und eines Meldewesens zum Absetzen eines Sicherheitsvorfalls innerhalb von 24 Stunden für viele Unternehmen eine Herausforderung werden.

Gerne vereinbaren wir ein erstes kostenloses Kennenlerngespräch mit Ihnen, um die Frage zu klären, ob Sie von NIS2 betroffen sind. Eine erste Einschätzung erhalten Sie mit dem NIS-2 Checker. Falls ja, führen wir in Zusammenarbeit mit Ihnen eine GAP-Analyse zur Identifizierung der erforderlichen Umsetzungsmaßnahmen durch und bieten Ihnen Hilfestellung bei der Umsetzung und Implementierung der erforderlichen Maßnahmen.

Unsere Vorgehensweise:

• Vereinbarung eines ersten kostenlosen 30-minütigen Kennenlerngesprächs
• Ermittlung der eigenen Betroffenheit von NIS2
• Schulung des Managements hinsichtlich Cyberrisiken und Risikomanagement
• GAP-Analyse zur Identifizierung der erforderlichen Umsetzungsmaßnahmen
• Hilfestellung bei der Umsetzung der erforderlichen Maßnahmen (Meldepflichten, etc.)
• Unterstützung bei der Implementierung von geeigneten Risikomanagementmaßnahmen und eines Informationssicherheitsmanagementsystems (z.B. ISO27001)
• Ansprechpartner für Ihre Anliegen und offene Fragen

Rufen Sie uns an oder schreiben Sie uns eine E-Mail, damit wir mit Ihnen gemeinsam eine vernünftige und praktische Lösung erarbeiten können, um Cybersicherheitsvorfälle zu vermeiden und Ihr Unternehmen sicher aufzustellen.

Wir freuen uns auf Sie!

Online-Seminar

IT-Sicherheitsrecht 3.0 nach NIS-2-Richtlinie, NIS2UmsuCG und Cyber Resilience Act

Das Online-Seminar wird die wichtigsten Inhalte des Entwurfs systematisch aufbereitet darstellen. Das Seminar bietet damit die frühzeitige Möglichkeit, sich mit den neuen IT-sicherheitsrelevanten Inhalten auseinanderzusetzen und rechtzeitig die notwendigen Weichen im eigenen Unternehmen oder in der Beratungspraxis zu stellen.