Praxisnahe Umsetzung seit 2013
Ihr Experte für Datenschutz und Informationssicherheit
NIS‑2 Richtlinie einfach erklärt: Was Sie jetzt wissen müssen!
Die NIS-2-Richtlinie stärkt die Cybersicherheit in Europa und schützt Unternehmen durch strengere Sicherheitsstandards vor Cyberangriffen.
NIS-2-Richtlinie: Sind Sie vorbereitet?
Die NIS 2‑Richtlinie stellt neue Anforderungen an die Cybersicherheit von Unternehmen in Deutschland und ganz Europa. Sie betrifft viele Branchen von der Energieversorgung bis zur digitalen Infrastruktur und fordert strenge Sicherheitsmaßnahmen sowie eine schnelle Reaktion auf Cyber-Vorfälle.
Ziel ist es, kritische Infrastrukturen besser zu schützen und die Resilienz gegenüber Cyber-Bedrohungen zu stärken. Für Unternehmen bedeutet dies, dass sie ihre IT-Sicherheitsstrategien überprüfen und anpassen müssen, um den neuen Standards gerecht zu werden und Strafen zu vermeiden. NIS‑2 bietet zudem eine Chance, die eigene Sicherheit nachhaltig zu verbessern.
Was die NIS-2-Richtlinie ist, wann sie in Kraft trifft, wer sie anwenden muss und was zu tun ist, erfahren Sie auf dieser Seite.
Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
NIS-2-Überblick
Die NIS-2-Richtlinie ist eine europaweite Regelung, die die Cybersicherheit in Unternehmen und Organisationen stärkt. Sie zielt darauf ab, kritische Infrastrukturen besser gegen Cyberangriffe zu schützen.
Betroffen sind dabei nicht nur große Unternehmen, sondern auch viele kleine und mittlere Unternehmen (KMU) in Sektoren wie Energie, Gesundheit, Verkehr, digitale Infrastruktur und öffentliche Verwaltungen.
Ob ein Unternehmen unter die NIS-2-Richtlinie fällt, hängt von verschiedenen Faktoren ab, wie der Branche, in der es tätig ist, der Größe des Unternehmens und seiner Rolle in der nationalen oder europäischen Infrastruktur. Unternehmen, die als systemrelevant gelten, müssen besonders strenge Sicherheitsmaßnahmen umsetzen und bei Cybervorfällen schnell reagieren.
Mindestanforderungen
- Sicherheitsmanagement, wie z. B. Organisation und Leit- und Richtlinien
- Organisation und Personal, wie z. B. Schulung und On-/Offboarding
- Risikomanagement, d.h. Erkennung von kritischen Prozessen
- Konzeptionelle Umsetzung von Verschlüsselung, Datensicherung, Löschen, etc.
- Sicherstellung des operativen Betriebs
- Operativer Betrieb, wie z. B. IT-Administration, Anti-Malware oder Protokollierung
- Konfiguration von Anwendungen, IT-Systemen und Netzwerkkomponenten
- Sicherheit der Infrastruktur, wie z. B. Gebäude, Büroarbeitsplatz oder Homeoffice
- Erkennung und Reaktion von Sicherheitsverletzungen
Umsetzung der NIS-2-Richtlinie
- Projektstart und Akzeptanz durch die Geschäftsführung
- Reifegradprüfung und Analyse
- Planung der Vorgehensweise
- Umsetzung von Sofortmaßnahmen
- Informationssicherheitsmanagement etablieren
- Entwicklung von IT-Prozessen, Leit- und Richtlinien
- Risikomanagement entwickeln und umsetzen
- Wirksamkeitsprüfung
- Kontinuierliche Verbesserung und Optimierung
Leistungen
Ich stehe Ihrem Unternehmen für alle Fragen rund um die NIS-2-Richtlinie zur Verfügung. Als IT-Grundschutzpraktiker bin ich bestens auf diese Aufgabe vorbereitet worden.
Ich biete Ihnen an, diese Funktion als externer Informationssicherheitsbeauftragter zu übernehmen. Dazu berate und schule ich die Geschäftsführung und die entsprechenden Fachbereiche, die Informationssicherheit im Unternehmen zu verbessern.
Ich orientiere mich überwiegend an den Aussagen des Bundesamtes für Sicherheit in der Informationstechnik (BSI IT-Grundschutz). Die Unterlagen stellen den aktuellen Stand der Technik dar. Dies hilft Ihnen, auch bei Sicherheitsverletzungen Auswirkungen zu begrenzen und Bußgelder bei Verfehlungen deutlich zu verringern.
Nehmen Sie gerne unverbindlich Kontakt auf.
Details zur NIS-2-Richtlinie
Die EU-Kommission hat in der NIS-2-Richtlinie 18 Sektoren ausgewählt, die für Europa im Hinblick auf die Sicherheit und Integrität von Netz- und Informationssystemen von entscheidender Bedeutung und für das Funktionieren unserer Gesellschaft unverzichtbar sind. Die NIS-2-Richtlinie verfolgt einen „All-Gefahren-Ansatz“. Das bedeutet, dass alle Netzwerke, Informationssysteme und die physische Umgebung dieser Systeme vor Sicherheitsvorfällen geschützt werden sollen.
Wer ist betroffen und welche Strafen gibt es bei nicht-Einhaltung?
Um festzustellen, ob Ihr Unternehmen betroffen ist, müssen Sie zunächst eine bestimmte Unternehmensgröße haben, in einem bestimmten Sektor tätig sein und als wesentliche oder wichtige Einrichtung eingestuft werden.
Zu den Sektoren mit hoher Kritikalität zählen folgende Dienste:
- Energie (Elektriztät, Fernwärme und ‑kälte, Erdöl, Erdgas und Wasserstoff)
- Verkehr (Luft, Schiene, Schifffahrt, Straße)
- Bankwesen
- Finanzmarkt-Infrastrukturen
- Gesundheitswesen (Krankenhäuser, Kliniken und medizinische Dienstleistungen, medizinische Geräte und Arzneimittel)
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwalter von IKT-Dienstleistungen
- Öffentliche Verwaltung
- Weltraum
Zu den sonstigen kritischen Sektoren zählen folgende Dienste:
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Verarbeitung und Handel mit chemischen Stoffen
- Herstellung, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren, wie z. B. Medizinprodukten und In-vitro-Diagnostika, Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen, elektrischen Komponenten und Geräten, Maschinenbau, Kraftwagen und Kraftwagenteilen
- Anbieter digitaler Dienstleistungen, wie Online-Marktplätzen, Suchmaschinen und sozialen Netzwerken
- Forschungseinrichtungen
Als weiteres Kriterium zur Identifizierung der betroffenen Unternehmen wird in der NIS2 die Unternehmensgröße festgelegt.
Dabei wird wie folgt unterschieden:
Mittlere Unternehmen
- ab 50 Mitarbeiter und einem Jahresumsatz von 10 bis 50 Mio. EUR oder einer Jahresbilanz bis 43 Mio. EUR
Großunternehmen
- ab 250 Mitarbeiter und einem Jahresumsatz ab 50 Mio. EUR oder einer Jahresbilanzsumme ab 43 Mio. EUR
Wesentliche Einrichtungen umfassen unter anderem
- Einrichtungen gemäß Anhang I, die die Schwellenwerte für mittlere Unternehmen überschreiten
- qualifizierte Vertrauensdiensteanbieter, Domänennamenregister und DNS-Diensteanbieter unabhängig von der Größe;
- Anbieter öffentlicher elektronischer Kommunikationsnetze/-dienste, die als mittlere Unternehmen gelten;
- Einrichtungen der öffentlichen Verwaltung;
- weitere in Anhang I (Sektoren mit hoher Kritikalität) oder Anhang II (sonstige kritische Sektoren) genannte Einrichtungen, die von Mitgliedstaaten als wesentlich eingestuft wurden
- kritische Einrichtungen gemäß der Richtlinie (EU) 2022/2557 (kritische Infrastruktur)
- Einrichtungen, die vor dem 16. Januar 2023 als Betreiber wesentlicher Dienste eingestuft wurden.
Wichtige Einrichtungen sind solche, die im Anhang I oder II aufgeführt sind, aber nicht als wesentliche Einrichtungen gelten.
Bei Verstößen gegen die NIS2-Vorgaben können erhebliche Konsequenzen drohen. Im Einzelnen können folgende Strafen und Maßnahmen verhängt werden:
- Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes, je nachdem, welcher Betrag höher ist.
- Geldbußen für schwere Verstöße von bis zu 20 Mio. EUR oder 4 % des weltweiten Vorjahresumsatzes, je nachdem, welcher Betrag höher ist.
Nationale Behörden können Zwangsgelder verhängen, um sicherzustellen, dass Unternehmen wesentliche oder wichtige Einrichtungen dazu bringen, Verstöße gegen die Richtlinie zu beheben.
Was ist zu tun?
Setzen Sie mindestens folgende Maßnahmen angemessen und wirksam um, wenn Sie zur Einhaltung der NIS-2-Richtlinie verpflichtet sind:
- Entwickeln Sie eine Sicherheitsstrategie auf Basis einer Risikoanalyse.
- Implementieren Sie technische und organisatorische Sicherheitsmaßnahmen für Ihre Netzwerk- und Informationssysteme.
- Gewährleisten Sie die Sicherheit der Lieferkette durch sorgfältige Überwachung der Beziehungen zu Lieferanten und Dienstleistern.
- Richten Sie ein System zur Überwachung, Bewältigung und Meldung von Sicherheitsvorfällen ein.
- Implementieren Sie Sicherheitsmaßnahmen bei der Beschaffung, Entwicklung und Wartung Ihrer Systeme und gehen Sie effektiv mit Schwachstellen um.
- Verwenden Sie Kryptographie und, falls erforderlich, Verschlüsselung, um Daten zu schützen.
- Sorgen Sie für die Sicherheit Ihres Personal und richten Sie strenge Zugangskontrollen ein.
- Verwenden Sie Multi-Faktor-Authentifizierung und sichere Kommunikationssysteme für alle sensiblen Prozesse.
- Arbeiten Sie eng mit den nationalen Behörden zusammen und erfüllen Sie Ihre Meldepflichten.
- Überprüfen und aktualisieren Sie regelmäßig alle Sicherheitsmaßnahmen und schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter kontinuierlich im Bereich Cybersicherheit.
Als externer Informationssicherheitsbeauftragter stehe ich seit 2013 für eine lösungsorientierte und ganzheitliche Anwendung der Datenschutzgesetze und der Informationssicherheit — auch bei der Umsetzung der NIS-2-Richtlinie.
Matthias Niehoff
In vier Schritten zur Zusammenarbeit
Bei einem Interesse an einer Zusammenarbeit mit mir als Ihren externen Informationssicherheitsbeauftragten zur Implementierung der NIS-Richtlinie sind folgende Schritte notwendig, um zu starten:
1. Kontakt aufnehmen
Nehmen Sie gerne Kontakt mit mir auf. Bei einem kostenlosen Erstgespräch klären wir, wie ich Sie zeitnah am besten unterstützen kann. Sie haben bereits jetzt schon Fragen, die schnell zu beantworten sind — prima. Nutzen Sie meine Expertise, um weiter voranzukommen.
Ich analysiere grob Ihre Organisation aus der Sicht der Informationssicherheit. Am Telefon oder bei Ihnen vor Ort. Im Anschluss erhalten Sie ein erstes Angebot.
2. Angebot bestätigen
3. Bestandsaufnahme
4. Laufende Betreuung
Ab dem Zeitpunkt der offiziellen Bestellung bin ich für alle Themen rund um die Informationssicherheit Ihr Begleiter. Sie können mich jederzeit kontaktieren.
Je nach Leistungspaket ist die Betreuung an ein vorher abgestimmtes Stundenkontingent gebunden. In regelmäßigen Meetings vor Ort, per Telefon oder Videokonferenz sorge ich dafür, dass die festgelegten Maßnahmen umgesetzt werden. Ich sorge für eine stetige Zunahme der Informationssicherheit in Ihrem Unternehmen.
Ihre Vorteile auf einen Blick
- Jahrelange Erfahrung in der Umsetzung von Themen in der Informationssicherheit
- Fokus im norddeutschen Raum
- Zeitnah verfügbar
Häufig gestellte Fragen zur NIS-2-Richtlinie
Typische Fragen erreichen mich immer wieder zur NIS-2-Richtlinie — hier finden Sie Antworten zum Thema.
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde noch nicht erlassen. Es tritt in Kraft, sobald es vom Bundestag abschließend behandelt und beschlossen wurde. Ein konkretes Datum steht derzeit noch nicht fest. Das Bundesministerium des Innern und für Heimat (BMI) ist die zuständige Behörde für das Gesetzgebungsverfahren.
Die NIS-2-Richtlinie erweitert den Anwendungsbereich und umfasst nun mehr Branchen und Unternehmen, auch kleinere. Sie stellt höhere Anforderungen an die Cybersicherheit und verbessert die Meldepflichten bei Sicherheitsvorfällen.
Die NIS-2-Richtlinie betrifft Unternehmen in kritischen Sektoren wie Energie, Gesundheit, Verkehr und digitale Infrastruktur. Sowohl große Unternehmen als auch viele mittelständische Betriebe müssen entsprechende Sicherheitsmaßnahmen einführen und überwachen. Weitere Informationen finden Sie im oberen Bereich.
Nach der Umsetzung der NIS 2‑Richtlinie durch ein zukünftiges BSI-Gesetz werden voraussichtlich besonders wichtige und große Anlagen verschiedene Pflichten erfüllen müssen, wie z.B:
- Registrierung
- Meldung erheblicher Sicherheitsvorfälle im Bereich der Cyber- und Informationssicherheit
- Durchführung von Maßnahmen zum Risikomanagement
- Teilnahme am Informationsaustausch
- Durchführung von Genehmigungs‑, Überwachungs- und Schulungspflichten für das Management
- Betreiber kritischer Anlagen müssen darüber hinaus erweiterte Risikomanagementmaßnahmen und Nachweispflichten erfüllen.
Genauere Angaben zu den Regelungen des zukünftigen BSI-Gesetzes können erst nach Verabschiedung des Gesetzes und Umsetzung der NIS 2‑Richtlinie gemacht werden. Nach der Verabschiedung wird das BSI detaillierte Hinweise zu den Pflichten und Maßnahmen zur Verfügung stellen.
Die Richtlinie verlangt die Implementierung strengerer IT-Sicherheitsmaßnahmen, regelmäßige Risikoanalysen und die Einrichtung eines klaren Prozesses für die Meldung von Sicherheitsvorfällen. Unternehmen müssen zudem sicherstellen, dass sie aktuelle Technologien und Verfahren verwenden, um Bedrohungen abzuwehren.
Bei Verstößen gegen die NIS-2-Richtlinie können erhebliche Geldstrafen verhängt werden, abhängig von der Schwere des Verstoßes und der Unternehmensgröße. Auch Reputationsschäden und zusätzliche behördliche Kontrollen sind mögliche Konsequenzen.
Betroffene Unternehmen müssen ihre Cybersicherheitsstrategien überarbeiten und erweitern, um den neuen Vorgaben gerecht zu werden. Dies erfordert oft Investitionen in Technologie und Schulungen sowie eine Anpassung interner Prozesse.
Die NIS-2-Richtlinie fordert proaktive Maßnahmen zur Cybersicherheit, was Unternehmen hilft, Risiken frühzeitig zu erkennen und abzuwehren. Durch die Pflicht zu regelmäßigen Sicherheitsprüfungen und ‑meldungen wird eine kontinuierliche Verbesserung der IT-Sicherheit gefördert.
Die Niehoff-Systemberatung bietet maßgeschneiderte Dienstleistungen zur Implementierung der NIS-2-Richtlinie an. Dazu gehören Risikoanalysen, die Entwicklung von Sicherheitsstrategien, technische und organisatorische Maßnahmen, und Schulungen für Beschäftigte, um sicherzustellen, dass Ihr Unternehmen alle Anforderungen erfüllt und optimal gegen Cyberbedrohungen geschützt ist. Dazu gehört z. B. die Umsetzung von IT-Grundschutz oder VDS 10000.
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Ich setze regelmäßig digitale Projekte mit anspruchsvollen Kunden um. Datenschutz ist ein notwendiges Muss. Ich benötige daher einen aktiven DSB, der da ist, wenn ich ihn benötige und mit Praxiswissen zeitnah zuarbeitet. Ich will ein festes Kontingent und nicht für jeden Handschlag zusätzlich bezahlen. Am Ende wird so etwas meist teurer und aufwändiger in der Abrechnung. Herr Niehoff bringt aufgrund seiner Flexibilität mein Business voran.
Kontakt
- Direkte Betreuung bei der NIS-2-Umsetzung
- INFORMATIONSSICHERHEITSBEAUFTRAGTER IN NORDDEUTSCHLAND
- Zeitnah verfügbar
Buchen Sie ein kostenfreies Erstgespräch uns lassen Sie uns über Ihr Projekt sprechen.