Was ist NIS-2?

Für mittelständische Unternehmen ist die Gefahr von Cyber-Angriffen so hoch wie nie zuvor und nimmt stetig weiter zu. Es ist davon auszugehen, dass auch Ihr Unternehmen früher oder später betroffen sein wird. Professionell geführte mittelständische Unternehmen arbeiten bereits seit längerem intensiv am Schutz ihrer Daten und Systeme, und der Gesetzgeber fordert dies nun auch ein. Das NIS-2-Umsetzungsgesetz (NIS = Network & Information Security) setzt eine EU-Richtlinie in nationales Recht um und wird damit auch für viele mittelständische deutsche Unternehmen voraussichtlich ab März 2025 verpflichtend. 

• Sind Sie daher sicher, dass Ihre Daten, Systeme, Prozesse und Mitarbeiter angemessen und kosteneffizient geschützt sind, um eine existenzielle Bedrohung Ihres Unternehmens auszuschließen?
• Sind Sie für die Herausforderungen der digitalen Zukunft gerüstet, und können die Chancen zur Unternehmensentwicklung nutzen?
• Wissen Sie, ob ihr Unternehmen unter die NIS-2-Anforderungen fällt, und sind Sie sicher, dass Sie diese Verpflichtungen erfüllen und so persönliche Haftung ausschließen können?

Unsere Expertinnen und Experten für Cyber-Sicherheit helfen Ihnen, proaktiv einen Ausgleich zwischen Schwachstellenerkennung und -abwehr, Unternehmensschutz und NIS-2-Konformität herzustellen. Dies erfolgt unter individueller Abwägung von Risiken und Kosten, damit Sie sich weiterhin auf Ihr Kerngeschäft konzentrieren können.

Welche Auswirkungen hat NIS-2 auf Unternehmen?

Es obliegt den Unternehmen, eigenständig zu ermitteln, ob sie von der NIS-2-Richtlinie betroffen sind. Schätzungen zufolge könnten etwa 30.000 Unternehmen allein in Deutschland von dieser Richtlinie betroffen sein. Die Richtlinie führt zu einer Verschärfung der Meldepflichten sowie zu klar definierten Sanktionsmaßnahmen im Falle einer Nichteinhaltung. Dies unterstreicht die Notwendigkeit für proaktive Sicherheitsstrategien.

Der Geltungsbereich der NIS-2-Richtlinie erstreckt sich weit über die bisher bekannten Schlüsselunternehmen der kritischen Infrastruktur (KRITIS) hinaus. Die Einstufung als betroffenes Unternehmen erfolgt anhand des Tätigkeitsbereichs. Zudem spielen die Unternehmensgröße und der Jahresumsatz eine bedeutende Rolle. Dies bedeutet, dass auch eine Vielzahl von kleineren und mittelständischen Unternehmen zukünftig in die Verpflichtungen der Richtlinie einbezogen werden.

Unsere Methodik zur Erreichung Ihrer NIS-2-Compliance

Unsere BDO NIS-2 Readiness Vorgehensweise zur Erreichung der NIS-2 Compliance besteht aus insgesamt vier Phasen:

NIS-2 Betroffenheitsanalyse:

• Vorbereitung und Informationsbeschaffung 
  Zu Beginn ist es wichtig, alle relevanten Informationen zu sammeln, die für das Verständnis des Projektumfelds und der spezifischen Anforderungen notwendig sind. Mittels einer Anforderungsliste stellen wir Ihnen eine Übersicht der erforderlichen Dokumente und Nachweise zur Verfügung.
• Betroffenheitsanalyse
  Wir ermitteln, welche Ihrer Bereiche und Stakeholder von den geplanten Maßnahmen betroffen sind. Dies hilft, die Relevanz des Projekts für verschiedene Unternehmenssegmente und die möglichen Auswirkungen auf Ihre internen Prozesse zu verstehen.
• Validierung & Dokumentation des Projektscopes & Status Quo
  Gemeinsam mit Ihnen definieren wir den Umfang, indem die Ziele, Deliverables und der Zeitrahmen festgelegt werden. Zudem wird der aktuelle Stand der relevanten Prozesse und Systeme dokumentiert, um eine solide Grundlage für die weitere Projektplanung und -umsetzung zu gewährleisten.

Soll-Ist-Abgleich:

• Gap-Analyse
  Mittels eines Soll-Ist-Abgleichs vergleichen wir die gegenwärtigen Sicherheitsmaßnahmen und -praktiken Ihres Unternehmens mit den Anforderungen der NIS-2-Richtlinie. Identifizierte Lücken zwischen dem aktuellen Stand der Compliance und den geforderten Standards bilden die Grundlage für die weiteren Schritte. Diese GAP-Analyse führen wir gemeinsam mit Ihnen hybrid, durch:
  • Dokumentenprüfung

    Während der Dokumentationsprüfung werden vorhandene Dokumentationen und Schaubilder (bspw. Netzwerkstrukturpläne) gesichtet und inhaltlich gegen die Anforderungen geprüft.

  • On-site-Analyse
    Innerhalb der On-site-Analyse werden im Rahmen von Betriebsbesichtigung und Interviews mit den verantwortlichen Personen die relevanten Prozesse und wichtige Objekte betrachtet und analysiert

Im Rahmen der GAP-Analyse bewerten wir den Reifegrad Ihres Unternehmens in Bezug auf die Umsetzung der NIS-2-Richtlinie hinsichtlich folgender Themen- bzw. Maßnahmenkomplexe:

• Entwicklung und Priorisierung von Maßnahmen
  Auf Basis der Ergebnisse der Gap-Analyse erfolgt die Entwicklung und Priorisierung von Maßnahmen. Hierbei werden spezifische Handlungsanweisungen formuliert, die darauf abzielen, die identifizierten Lücken zu schließen. Die Priorisierung dieser Maßnahmen erfolgt unter Berücksichtigung der Dringlichkeit, der Ressourcenkapazität und der potenziellen Auswirkungen auf die Cybersicherheit des Unternehmens.
• Ausarbeitung einer Roadmap zur Erreichung von NIS-2-Compliance
  Im letzten Schritt wird eine detaillierte Roadmap zur Erreichung der NIS-2 Compliance ausgearbeitet. Diese beinhaltet klare Meilensteine, Zeitrahmen und Verantwortlichkeiten für jede Maßnahme.

Implementierung 

Die Implementierung Ihrer NIS-2-Compliance erfolgt durch die sorgfältige Planung und Umsetzung basierend auf der zuvor verabschiedeten Roadmap. 

Die Implementierung lässt sich in folgende Phasen aufteilen: 

• Konzeption
  Im Rahmen der Konzeption werden die benötigten Strategien und Konzepte für die Projektumsetzung in den NIS-2 Anforderungsbereichen entwickelt. Dies umfasst die Analyse der spezifischen Anforderungen der NIS-2-Richtlinie sowie die Ausarbeitung von technischen und prozessualen Maßnahmen, die auf die identifizierten Lücken aus der Gap-Analyse abzielen.
• Operationalisierung
  Hierbei erfolgt die operative Umsetzung in enger Zusammenarbeit Ihrer internen und externen Stakeholder. 

 
Gerne unterstützen wir Sie bei der Umsetzung der identifizierten technischen und prozessualen Maßnahmen mithilfe unseren weiteren BDO Cyber Services: