NIS-2: Wir checken Ihre Cyberabwehrkräfte
Jetzt kostenfreien Beratungstermin für Ihren individuellen NIS-2-Workshop vereinbaren!
SHD-Experten beantworten Ihre Fragen!
Erfahren Sie in unserem individuellen Workshop alles zu den Anforderungen des Gesetzes und wie cybersicher Ihr Unternehmen ist.
- Was kommt mit dem neuen NIS-2-Gesetz auf Ihr Unternehmen zu?
- Wie beurteilen BSI und Experten von SHD das NIS-2-Gesetz?
- Wie bauen Sie einen umfassenden Schutz auf?
- Häufige Fragen zu NIS-2 kompakt beantwortet
Was für Sie bei NIS-2 wichtig wird
Durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) der Bundesregierung werden rund 29.500 Unternehmen aus diversen Branchen zum Aufbau und der Pflege einer Cyberabwehr verpflichtet. Der Gesetzentwurf der Bundesregierung umfasst 79 Seiten und 65 Paragraphen sowie diverse Anhänge. Wir können Ihnen sagen, was davon für Sie wichtig ist.
Falls Ihr Unternehmen unter das NIS2UmsuCG fällt, kommen konkrete Aufgaben auf Sie zu - angefangen bei der Registrierung bis hin zur Erfüllung diverser Mindestanforderungen an die IT-Sicherheit. Erhebliche Sicherheitsvorfälle müssen Sie zudem in Zukunft melden und auch, welche Gegenmaßnahmen erfolgreich waren. Das Gute ist: Mit all diesen Maßnahmen erfüllen Sie nicht nur die Anforderungen des neuen Gesetzes, sondern Sie stärken auch nachhaltig die Cyber-Resilienz Ihres Unternehmens. Wir unterstützen Sie dabei, damit dies bestmöglich gelingt.
„In dem Gesetz steht nichts, was Unternehmen komplett überraschen würde, sondern: Ihr müsst Euch um Eure IT kümmern. Und ihr habt eine Verantwortung, Euch darum zu kümmern. Wenn ein Unternehmen nur nachweisen will, dass es die Mindestanforderungen erfüllt, dann verkennt es das eigentliche Problem. Das Gesetz gibt Firmen etwas an die Hand, damit sie sagen können: Wir müssen uns darum kümmern. Hier stehts. Und jetzt machen wir es auch.”
BSI-Präsidentin Claudia Plattner im Podcast „Security Insider”
So bauen Sie einen umfassenden Schutz auf
Wir machen Ihnen den Einstieg so einfach wie möglich: Mit einer Betroffenheitsprüfung klären wir grundsätzliche Fragen und unsere Gap-Analyse verschafft Ihnen einen Überblick über den Cyber-Resilienz-Status Ihres Unternehmens. Diese Workshops sind der erste, wichtige Schritt zum Aufbau eines permanenten Schutzschilds gegen Cyberangriffe. Gemeinsam mit Ihnen erweitern wir ihn dann Schritt für Schritt.
Lücken schließen, Verhalten ändern, Cyberangriffe abwehren
Interview mit Frau Dr. Keller - Team Lead „Digital Transformation” bei SHD
Frau Dr. Keller, wie geht ihr Unternehmen SHD bei der Gap-Analyse, also der Suche nach Sicherheitslücken, strategisch vor?
Im Rahmen einer Gap-Analyse betrachten wir sowohl die bestehenden IT-Sicherheitsprozesse als auch die IT-Systeme. Dann bewerten wir den aktuellen Sicherheitsstatus und stellen potenziellen Handlungsbedarf fest. Auch branchenübliche Best Practice-Beispiele und spezifische Anforderungen des Kunden fließen in die Analyse ein. Wir zeigen unseren Kunden den Weg auf, wie sie ein robustes Sicherheitsniveau erreichen. Dies bildet die Grundlage für die anschließende Einführung und Entwicklung eines ISMS gemäß ISO 27001.
-
Mehr erfahren
Für den Aufbau eines ISMS müssen Sie viele Interna aus einem Unternehmen erfahren. Ist das ein Problem?
Es kommt häufig vor, dass Kunden anfangs Bedenken haben, sensible Unternehmensinformationen zu teilen. Wir erklären ihnen detailliert, wie wir mit ihren Daten umgehen und welche Sicherheitsvorkehrungen wir treffen, um diese zu schützen. Darüber hinaus unterzeichnen wir umfassende Vertraulichkeitsvereinbarungen und bieten eine offene Kommunikation, die es den Kunden ermöglicht, den gesamten Prozess nachzuvollziehen.
Beim Erfüllen von ISMS-Compliance-Anforderungen geht es auch um die Veränderung des Verhaltens aller Beschäftigten. Wie erreichen Sie das?
Dafür setzen wir auf gezielte Schulungen und Sensibilisierungsprogramme. Wir bieten zum Beispiel User-Awareness-Schulungen an, sowohl auf technischer als auch auf organisatorischer Basis. Beschäftigte müssen zum Beispiel in einem Test entscheiden, ob eine E-Mail ein Fake ist oder echt. Wir können auch den Umgang mit externen USB-Sticks testen, indem wir solche Sticks an die Belegschaft verteilen und sehen, wie die Personen damit umgehen. Diese Maßnahmen sollen das Bewusstsein für IT-Sicherheitsrisiken schärfen und sicherstellen, dass die neuen Routinen verstanden und im Alltag angewendet werden.
Das BSI ist die Aufsichtsbehörde für die Umsetzung der NIS-2-Richtlinie in Deutschland. Wie eng ist der Austausch von SHD mit dem BSI?
SHD ist Mitglied im Cyber-Sicherheitsnetzwerk des BSI und verfügt über mehrere Vorfall-Experten, deren Wissen rund um die Bewältigung von IT-Sicherheitsvorfällen vom BSI mit einem Zertifikat bestätigt wurde. Wir arbeiten also kontinuierlich mit dem BSI zusammen. Das hilft uns dabei, unsere Kunden bestmöglich zu unterstützen und sicherzustellen, dass alle NIS-2-Anforderungen ordnungsgemäß umgesetzt werden.
Cyber-Resilienz ist eine Kernkompetenz von SHD
Je vernetzter und digitaler Unternehmen ihre Geschäfte abwickeln, desto angreifbarer werden sie für gezielte kommerzielle, staatlich oder politisch motivierte Cyberangriffe. Unternehmen sind gefordert, stabile Abwehrmechanismen zu etablieren, damit ihre Daten und Kommunikation geschützt sind und ihre Server nicht gekapert werden. Warum Sie bei SHD gerade jetzt besonders gut aufgehoben sind, erklärt Geschäftsführer Dr. Frank Karow.
Zeitnahe Hilfe bei Sicherheitsvorfällen
Interview mit Herrn Dr. Karow - Geschäftsführung SHD
Herr Dr. Karow, warum ist das Thema Cyberabwehr im Jahr 2024 bei SHD so wichtig?
Das Thema Cyber-Resilienz beschäftigt uns in diesem Jahr besonders intensiv, weil die Angriffe auf die IT-Systeme aller Unternehmen und Behörden vor allem durch die Konflikte in der Welt wie Ukraine-Krieg, Handelsembargos usw. stark zunehmen. Wir betreuen Betreiber von kritischen Infrastrukturen – insbesondere Krankenhäuser und Energieversorger – Behörden sowie Mittelständler. Über unser eigenes Incident Response Team (IRT) gewinnen wir permanent neue Erfahrungswerte, die dann in die Beratung aller Kunden einfließen.
-
Mehr erfahren
Wie engagiert sich SHD darüber hinaus in der IT-Branche zu diesem Thema?
Wir sind seit über 30 Jahren Mitglied der Compass Gruppe. Sie wurde als IT-Unternehmensverbund gegründet und bietet für uns heute den größten Mehrwert durch den Austausch mit IT-Fachkräften aus ganz Deutschland. In der Compass Gruppe gibt es hochspezialisierte Facharbeitskreise wie das DIRT.-Netzwerk, das wir mitgegründet haben. DIRT. ist ein deutschlandweites Incident Response Team, das sich auf die schnelle Reaktion und Bewältigung von Sicherheitsvorfällen spezialisiert hat. Es koordiniert Maßnahmen bei Cyberangriffen und führt forensische Untersuchungen durch. Die Gruppe verfügt über mehr als 50 BSI-Vorfall-Experten, 4.500 IT-Spezialisten und einen breiten Erfahrungsschatz.
Wie hilft SHD Unternehmen, die unter das NIS-2-Umsetzungsgesetz fallen, eine sichere Cyberabwehr aufzubauen?
SHD steht seinen Kunden mit umfassenden Security-Lösungen und -Services zur Seite. Ein aktuell sehr gefragtes Beispiel ist unser Security Operations Center (SOC). Das ist eine Sicherheitsleitstelle, in der alle sicherheitsrelevanten Systeme unserer Kunden überwacht werden – dazu zählen das Unternehmensnetzwerk, die Server oder Internetservices. Unser Team untersucht Warnmeldungen und Log-Dateien auf Unregelmäßigkeiten, schlägt bei Sicherheitsvorfällen Alarm und leitet sofortige Gegenmaßnahmen ein. In der Regel passiert dies, bevor die Angriffe für unsere Kunden in den Auswirkungen spürbar sind. Und falls Sie doch kritisch werden, ist unser Incident Response Team sofort für Sie da, um schnell alle notwendigen Maßnahmen zu ergreifen.
Haben Sie noch Fragen?
Wir beantworten Sie Ihnen gern.
Wann sollen wir miteinander telefonieren? Wir rufen Sie innerhalb von 24 Stunden (Next Business Day) zurück.
FAQs: Acht Fragen zum Thema NIS-2
-
Wie ernst ist die aktuelle Bedrohungslage durch Cyberangriffe?
In Deutschland wird wie überall auf der Welt ein starkes Wachstum von Cyberangriffen auf Unternehmen registriert. Dies hat unter anderem mit den globalen Krisen (Ukraine, Israel etc.) zu tun. Die häufigsten Angriffe kommen aus China und Russland. Sie erfolgen aus kommerziellen und/oder politischen Motiven. Am bekanntesten sind Ransomware-Attacken, bei denen die IT-Systeme des angegriffenen Unternehmens verschlüsselt werden und eine Lösegeldforderung erhoben wird. Die Cyberkriminellen gehen dabei ebenso professionell wie arbeitsteilig vor.
-
Was ist die NIS-2-Richtlinie und wo kann ich sie einsehen?
Die Abkürzung „NIS“ steht für „Netzwerk- und Informationssicherheit“ und gibt der NIS-Richtlinie der Europäischen Union ihren Namen. Die erste NIS-Richtlinie der EU wurde im Jahr 2016 beschlossen und in Deutschland in nationales Recht umgesetzt. Die NIS-2-Richtlinie stellt ein inhaltliches Update zur ersten NIS-Richtlinie dar. Sie wurde am 27. Dezember 2022 veröffentlicht und muss bis zum 17. Oktober 2024 in deutsches Recht umgesetzt werden. Der Text der NIS-2-Richtlinie ist hier auf deutsch zu finden: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555.
-
Wie ist der Stand des Gesetzgebungsverfahrens in Deutschland?
Das Bundeskabinett hat am 24. Juli 2024 den Entwurf zum deutschen „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) verabschiedet. Die Pressemitteilung dazu finden Sie hier und den Text des Gesetzentwurfs hier. Zuvor hatte es zwei Referentenentwürfe gegeben, zu dem zahlreiche Träger Öffentlicher Belange wie Bundesverbände und Fachleute, etwa von der AG KRITIS, UP KRITIS und vom Bitkom e.V., ihre Stellungnahmen abgegeben hatten. Der Gesetzentwurf muss nun noch vom Deutschen Bundestag beraten und beschlossen werden und kann voraussichtlich termingerecht im Oktober in Kraft treten.
-
Welche Kriterien bestimmen, ob ein Unternehmen von der NIS-2-Richtlinie betroffen ist?
Künftig werden rund 29.500 Unternehmen in Deutschland zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet sein. In der Anlage zum NIS2UmsuCG werden die Branchen aufgeführt, die das Gesetz betreffen, und im § 28 werden die quantitativen Maßstäbe (Zahl der Mitarbeitenden, Umsatz) festgelegt. Dort gibt es auch Ausführungen dazu, in welchen Fällen kleinere Betriebe, die zu einem Unternehmensverbund gehören, von dem Gesetz betroffen sind und wann nicht.
-
Was müssen betroffene Unternehmen tun?
Betroffene Unternehmen haben Risikomanagement-, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten, die im Kapitel 2 des Gesetzes (§§ 38-42) genauer dargelegt werden. Dazu gehören zum Beispiel Konzepte und Verfahren zum Backup-, Notfall- und Krisenmanagement sowie zur Sicherung der Lieferkette. Erhebliche Sicherheitsvorfälle müssen bei einer gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eingerichteten Stelle gemeldet werden.
-
Welche Aktion ist für NIS-2-betroffene Unternehmen zeitkritisch?
In den ersten drei Monaten nach Inkrafttreten des Gesetzes müssen sich betroffene Unternehmen bei der Meldestelle von BSI und BBK registrieren.
-
Wer ist in einem betroffenen Unternehmen für die Umsetzung verantwortlich und haftbar?
Im § 38 des Gesetzes steht sinngemäß: Die Geschäftsleitungen müssen die vorgeschriebenen Risikomanagementmaßnahmen umsetzen und überwachen und sie müssen sich dafür schulen lassen, um Risiken erkennen und bewerten zu können. Geschäftsleitungen haften gemäß des Gesellschaftsrechts für einen schuldhaft verursachten Schaden.
-
Wie kann ich das Thema NIS-2 in meinem Unternehmen strategisch angehen?
Eine Bestandsaufnahme und eine Lückenanalyse steht am Anfang der Auseinandersetzung mit dem Thema Cybersicherheit. Danach sollte man gemeinsam mit einem externen Beratungsunternehmen planmäßig ein Information Security Management System (ISMS) aufbauen. Es kann zu einem Business Continuity Management Systems (BCMS) ausgebaut werden. Ein solches System erlaubt rund um die Uhr mit einem internen oder externen Monitoring die Überwachung und Optimierung des Schutzschilds gegen Cyberangriffe. Die SHD System-Haus-Dresden GmbH steht Ihnen dabei mit ihrer strategischen Kompetenz und Erfahrung gern zur Seite.
Lassen Sie sich von unseren Experten beraten!
Was könnte der Inhalt Ihres individuellen NIS-2 Workshops mit SHD sein? Finden wir es im gemeinsamen Gespräch heraus. Wir rufen Sie innerhalb von 24 Stunden (Next Business Day) zurück.
Haben Sie weitere Fragen?
Kerstin Zubke, Senior Marketing & PR Managerin SHD, beantwortet sie gern.