Europäische NIS-2-Richtlinie

Betroffenheitsanalyse

Die Behörden teilen Ihnen nicht mit, ob Ihr Unternehmen von NIS-2 betroffen ist. Ihr Unternehmen oder Ihre Institution muss sich selbst anhand der Kriterien beurteilen, die sowohl Branchenelemente als auch Größenüberlegungen beinhalten. Wenn eine Organisation mit einem großen Marktanteil in einem bestimmten Sektor „wichtig“ ist, kann sie aufgrund ihrer Größe sogar als „wesentlich“ eingestuft werden.

Gap Assessment mit Roadmap

In einem strukturierten Vorgehen – bestehend aus Kick-off, Interviews und Onsite-Begehungen – analysieren wir Ihr aktuelles Cyber-Security-Reifegradniveau im Vergleich zu den Anforderungen der NIS-2-Richtlinie. Als Ergebnis erhalten Sie von uns konkrete Handlungsempfehlungen sowie eine Roadmap für die Umsetzung der notwendigen Maßnahmen.

NIS-2 Compliance der EU

Die EU-Mitgliedstaaten setzen NIS-2 unterschiedlich streng um – insbesondere in Bezug auf nationale Anforderungen, Bußgelder und Ausnahmeregelungen. Viele Unternehmen mit mehreren EU-Entities stehen daher vor der Frage, wie sie Compliance einheitlich, kosteneffizient und realistisch terminierbar erreichen. Wir unterstützen Sie mit einer umfassenden Betroffenheitsanalyse für all Ihre EU-Entities. Dabei identifizieren wir, welche Entities in welchen Ländern NIS-2-Pflichten erfüllen müssen, führen für jede dieser Entities ein Gap-Assessment durch und entwickeln eine harmonisierte, konsolidierte Roadmap. So erreichen Sie die Einhaltung der Anforderungen mit minimalem Aufwand, optimierten Kosten und in möglichst kurzer Zeit.

NIS-2-Implementierung

Sie sind von NIS-2 betroffen und haben bereits ein Gap Assessment durchgeführt – und nun? Die zentrale Herausforderung besteht darin, die identifizierten Lücken systematisch und priorisiert zu schließen. Genau hier setzen wir an:

Basierend auf den Empfehlungen der ENISA sowie den Ergebnissen Ihrer Roadmap begleiten wir Sie bei der Implementierung aller erforderlichen Maßnahmen – strategisch, organisatorisch, prozessual und technisch.

Dazu gehören u. a.:

• Aufbau klarer Governance- und Verantwortlichkeitsstrukturen
• Etablierung und Umsetzung von Sicherheitsrichtlinien und -prozessen
• Technische Maßnahmen wie Monitoring, Logging, Incident Response und Reporting nach NIS-2
• Integration von Lieferketten- und Dienstleisteranforderungen
• Umsetzung von Awareness- und Trainingsmaßnahmen für Mitarbeitende 
• Verankerung von Business Continuity und Disaster-Recovery-Plänen

Am Ende steht eine nachhaltige Umsetzung Ihrer Roadmap, sodass Ihr Unternehmen nicht nur formal NIS-2-konform wird, sondern auch einen höheren Reifegrad in Cybersicherheit erreicht – kosteneffizient und praxisnah.

Mehr zum Definieren von Zuständigkeitsbereichen: Die erhöhten Anforderungen an das Risikomanagement und die Widerstandsfähigkeit bedeuten, dass Ihre Organisation mit Risiken umgehen können muss und sowohl Maßnahmen zur Schadensvermeidung als auch zur Schadensminimierung umsetzen muss, um Risiken und Auswirkungen zu verringern. Angemessene Maßnahmen werden z. B. in den Bereichen Störungsmanagement, Cybersicherheit in Lieferketten, Netzwerksicherheit, Risikomanagement, Zugangskontrolle und Verschlüsselung erwartet.

Mehr zum Einrichten der Meldepflichten: Organisationen müssen über Verfahren verfügen, die eine ordnungsgemäße Meldung von Sicherheitsvorfällen an die Behörden gewährleisten. Hierzu ist der vierstufige Meldeweg einzuhalten: Stufe 1 – frühe Erstmeldung, Stufe 2 – bestätigende Erstmeldung, Stufe 3 – Zwischenmeldung, Stufe 3a – Fortschrittsmeldung und Stufe 4 – Abschlussmeldung. Zusätzliche Meldung für Betreiber kritischer Anlagen: Art der betroffenen Anlage, der kritischen Anlage bzw Dienstleistung und die Auswirkungen.

Doch wissen Sie, was ein erheblicher Sicherheitsvorfall ist? Wer zu melden hat? Was zu melden ist? Ob Datenschutzverantwortliche und Jurist:innen bei der Meldung einbezogen werden müssen? Und wie deren Einbeziehung die fristgerechte Meldung gefährdet? Wir helfen Ihnen bei der Einhaltung des Meldeverfahrens.

Leadership Training Workshop

Die Führungskräfte in Ihrem Unternehmen sollten mit den Anforderungen der Richtlinie und den Maßnahmen zum Risikomanagement vertraut sein. Sie sind direkt dafür verantwortlich, dass Cyberrisiken erkannt und angegangen werden und dass die Anforderungen erfüllt werden.

Wir bieten Leadership-Training in zwei Formaten:

• Intensiv-Workshop (1–2 Tage): Unsere NIS-2-Experten erarbeiten gemeinsam mit Ihren Führungskräften die Anforderungen der Richtlinie im Detail. Zusätzlich entwickeln wir eine erste Evaluierung Ihrer Cybersecurity-Landschaft (inkl. OT-Sicherheit) und geben Ihnen direkt im Anschluss einen klaren Überblick über den Status quo. 
• Kompakt-Training (60 Minuten bis halber Tag): In diesem Format sensibilisieren wir Ihre C-Level und Entscheider für die Anforderungen, strategischen Implikationen, Pflichten und Risiken der NIS-2-Richtlinie – prägnant und praxisorientiert.

Compliance als Managed Service

Über die NIS-2-Compliance hinaus bieten wir Ihnen erweiterte Compliance Managed Services: Wir analysieren branchenspezifische Regularien und Standards, identifizieren bestehende Lücken und definieren geeignete Maßnahmen zu deren Schließung. Da viele Regulatoriken wiederkehrende Nachweise fordern, stellen wir sicher, dass Ihr Unternehmen jederzeit compliant, audit-ready und bestens auf externe Prüfungen vorbereitet ist.

Dazu entwickeln wir kontinuierliche Kontroll- und Überwachungsmechanismen, um die Wirksamkeit Ihrer Maßnahmen dauerhaft sicherzustellen. Gemeinsam mit Ihnen implementieren wir Verfahren, die eine laufende Überprüfung und Nachweisführung ermöglichen.