Was ist NIS-2?

Die Gefahr von Cyber-Angriffen für jedes mittelständische Unternehmen ist so hoch wie nie zuvor und nimmt stetig weiter zu. Früher oder später ist zweifellos auch Ihr Unternehmen betroffen. Professionell geführte mittelständische Unternehmen arbeiten zwar schon länger intensiv am Schutz ihrer Daten und Systeme, doch nun fordert dies zudem der Gesetzgeber ein. Das NIS-2-Umsetzungsgesetz (NIS = Network & Information Security) wandelt eine EU-Richtlinie in nationales Recht um und wird damit auch für viele mittelständische deutsche Unternehmen voraussichtlich ab März 2025 verpflichtend. 

• Sind Sie sicher, dass Ihre Daten, Systeme, Prozesse sowie Mitarbeiterinnen und Mitarbeiter angemessen und kosteneffizient geschützt sind, um eine existenzielle Bedrohung Ihres Unternehmens auszuschließen?
• Sind Sie für die Herausforderungen der digitalen Zukunft gerüstet und können die Chancen zur Unternehmensentwicklung nutzen?
• Wissen Sie, ob Ihr Unternehmen unter die NIS-2-Anforderungen fällt und sind Sie sicher, dass Sie diese Verpflichtungen erfüllen und so persönliche Haftung ausschließen können?

Unsere Cyber-Sicherheitsexpertinnen und -experten helfen Ihnen proaktiv all dies zu verbinden: Schwachstellen zu erkennen, Bedrohungen abzuwehren, Ihr Unternehmen zu schützen und sich NIS-2-konform aufzustellen. Unter individueller Abwägung von Risiken und Kosten. Damit Sie sich weiterhin in Ruhe auf Ihr Geschäft konzentrieren können.

Welche Auswirkungen hat NIS-2 auf Unternehmen?

Unternehmen müssen selbstständig ermitteln, ob sie von der NIS-2-Richtlinie betroffen sind. Schätzungen deuten darauf hin, dass etwa 30.000 Unternehmen allein in Deutschland betroffen sein könnten. Die Richtlinie führt zu einer Verschärfung der Meldepflichten sowie zu klaren Sanktionsmaßnahmen im Falle von Nichteinhaltung, was die Notwendigkeit für proaktive Sicherheitsstrategien unterstreicht.

Der Geltungsbereich der NIS-2-Richtlinie erstreckt sich weit über die bisher bekannten Schlüsselunternehmen der kritischen Infrastruktur (KRITIS) hinaus. Die Einstufung als betroffenes Unternehmen erfolgt anhand des Tätigkeitsbereichs, wobei auch die Unternehmensgröße und der Jahresumsatz eine bedeutende Rolle spielen. Dies bedeutet, dass auch eine Vielzahl von kleineren und mittelständischen Unternehmen zukünftig in die Verpflichtungen der Richtlinie einbezogen werden.

Unsere Methodik zur Erreichung Ihrer NIS-2-Compliance

Unsere BDO NIS-2-Readiness-Vorgehensweise zur Erreichung der NIS-2-Compliance besteht aus insgesamt vier Phasen:

NIS-2 Betroffenheitsanalyse:

• Vorbereitung und Informationsbeschaffung 
  Zu Beginn ist es wichtig, alle relevanten Informationen zu sammeln, die für das Verständnis des Projektumfelds und der spezifischen Anforderungen notwendig sind. Mittels einer Anforderungsliste stellen wir Ihnen eine Übersicht der erforderlichen Dokumente und Nachweise zur Verfügung.
• Betroffenheitsanalyse
  Wir ermitteln, welche Ihrer Bereiche und Stakeholder von den geplanten Maßnahmen betroffen sind. Dies hilft, die Relevanz des Projekts für verschiedene Unternehmenssegmente und die möglichen Auswirkungen auf Ihre internen Prozesse zu verstehen.
• Validierung & Dokumentation des Projektscopes & Status Quo
  Gemeinsam mit Ihnen definieren wir den Umfang, indem die Ziele, Deliverables und der Zeitrahmen festgelegt werden. Zudem wird der aktuelle Stand der relevanten Prozesse und Systeme dokumentiert, um eine solide Grundlage für die weitere Projektplanung und -umsetzung zu gewährleisten.

Soll-Ist-Abgleich:

• Gap-Analyse
  Mittels eines Soll-Ist-Abgleichs vergleichen wir die gegenwärtigen Sicherheitsmaßnahmen und -praktiken Ihres Unternehmens mit den Anforderungen der NIS-2-Richtlinie. Identifizierte Lücken zwischen dem aktuellen Stand der Compliance und den geforderten Standards bilden die Grundlage für die weiteren Schritte.
• Entwicklung und Priorisierung von Maßnahmen
  Auf Basis der Ergebnisse der Gap-Analyse erfolgt die Entwicklung und Priorisierung von Maßnahmen. Hierbei werden spezifische Handlungsanweisungen formuliert, die darauf abzielen, die identifizierten Lücken zu schließen. Die Priorisierung dieser Maßnahmen erfolgt unter Berücksichtigung der Dringlichkeit, der Ressourcenkapazität und der potenziellen Auswirkungen auf die Cyber-Sicherheit des Unternehmens.
• Ausarbeitung einer Roadmap zur Erreichung von NIS-2-Compliance
  Im letzten Schritt wird eine detaillierte Roadmap zur Erreichung der NIS-2-Compliance ausgearbeitet. Diese beinhaltet klare Meilensteine, Zeitrahmen und Verantwortlichkeiten für jede Maßnahme.

Implementierung 

Die Implementierung Ihrer NIS-2-Compliance erfolgt durch die sorgfältige Planung und Umsetzung basierend auf der zuvor verabschiedeten Roadmap. 

Die Implementierung lässt sich in folgende Phasen aufteilen: 

• Konzeption
  Im Rahmen der Konzeption werden die benötigten Strategien und Konzepte für die Projektumsetzung in den NIS-2-Anforderungsbereichen entwickelt. Dies umfasst die Analyse der spezifischen Anforderungen der NIS-2-Richtlinie sowie die Ausarbeitung von technischen und prozessualen Maßnahmen, die auf die identifizierten Lücken aus der Gap-Analyse abzielen.
• Operationalisierung
  Hierbei erfolgt die operative Umsetzung in enger Zusammenarbeit Ihrer internen und externen Stakeholder. 

 
Gerne unterstützen wir Sie bei der Umsetzung der identifizierten technischen und prozessualen Maßnahmen mithilfe unseren weiteren BDO Cyber Security Services: