0
NIS-2 Pflichten erfüllen
ISMS Einführung Schulung & Beratung

NIS-2 Anforderungen erfolgreich meistern

Die Implementierung der NIS-2-Richtlinie stellt strenge Anforderungen an die Cybersecurity an ein breites Spektrum von Unternehmen. Die Richtlinie ist seit Anfang 2023 auf EU-Ebene in Kraft und sollte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Das Inkrafttreten des Umsetzungsgesetzes verzögert sich und ist für März 2025 geplant. Als Experten für Informationssicherheit können wir betroffene Unternehmen bei der Umsetzung der Richtlinie an die Hand nehmen.

Was bedeutet NIS-2 für dein Unternehmen?

Die NIS-2-Richtlinie ist eine erweiterte Fassung der ersten Richtlinie zur Netz- und Informationssystemsicherheit in der Europäischen Union. Sie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten. Mit der neuen Richtlinie werden die Anforderungen an die Sicherheit und die Meldung von Vorfällen für eine breitere Palette von Unternehmen und Sektoren verschärft.

Die Bedeutung von ISO 27001 im Kontext von NIS-2

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 bietet die ideale Grundlage, um die Anforderungen von NIS-2 zu erfüllen. ISO 27001 ist ein international anerkannter Standard, der die Planung, Implementierung, Überwachung und Verbesserung der Informationssicherheit innerhalb der Organisation systematisiert. Wer nach ISO 27001 zertifiziert ist, hat schon den größten Schritt zur Compliance mit NIS-2 gemacht.

Dein Partner für die NIS2-Umsetzung

Wir unterstützen dich gerne bei der Umsetzung der NIS2-Richtlinie. Wir bieten dir passgenaue Lösungen, sowohl für Unternehmen, die bereits ein ISMS (zB nach ISO 27001) etabliert haben und dieses um die Anforderungen der NIS2 ergänzen wollen, als auch für Unternehmen, die sowohl ein ISMS aufbauen als auch die NIS2-Anforderungen erfüllen möchten. In folgenden Bereichen können wir dich unterstützen:

  • Gap-Analyse nach NIS-2: wir gleichen die Anforderungen der NIS2 mit den bestehenden Dokumenten im Bereich Informationssicherheit ab.
  • Gap-Analyse nach 27001 & NIS-2: wir gleichen die Anforderungen der NIS2 mit deinem bestehenden ISMS ab.
  • Umsetzungsberatung NIS-2: wir unterstützen bei der Umsetzung der NIS2-Anforderungen.
  • NIS-2 Ausbildung und Zertifizierung: wir bieten unterschiedliche Seminare im Bereich NIS2 an:
    • NIS-2 Koordinator
    • NIS-2 Praxis Workshop
    • NIS-2 für Geschäftsführung und Management
  • ISO 27001-Ausbildung und Zertifizierung: Wir bieten eine umfassende, dreistufige Ausbildung im Bereich ISO 27001 an, in denen du und dein Team lernt, wie ein ISMS nach ISO 27001 aufgebaut, implementiert und stetig verbessert wird, was eine Schlüsselrolle bei der Einhaltung der NIS-2-Anforderungen spielt.

Unsere Experten stehen bereit, um dein Unternehmen bei der Einführung eines ISMS nach ISO 27001 sowie der Erfüllung der NIS2-Anforderungen zu unterstützen. Von der ersten Analyse bis hin zur Unterstützung bei Audits bieten wir einen umfassenden Beratungsservice, um sicherzustellen, dass dein Unternehmen den neuen Anforderungen gerecht wird.

NIS-2 Koordinator

In unserem zweitägigen Training zeigen wir allen, die noch kein professionelles ISMS im Unternehmen haben, wie sie Informationssicherheit effektiv managen können. Du erhältst einen klaren Überblick über die Anforderungen der NIS-2 Richtlinie und deren Auswirkungen auf Unternehmen und Organisationen. Wir zeigen dir, mit welchen Werkzeugen du die Anforderungen umsetzt und geben dir wichtige Best Practices an die Hand.

Termin Termingarantie Ort Preis* Prüfung*
Di 04.02. bis
Mi 05.02.2025
Online ! Online Zoom Session mit Live Trainer
1.090,-
Di 01.04. bis
Mi 02.04.2025
München ! München mITSM Schulungszentrum im NEWTON Ridlerstraße 57 80339 München
1.090,-
*Nettopreise **optional
Mehr Informationen

NIS-2 Praxis Workshop

In unserem eintägigen NIS-2 Praxisworkshop bieten wir allen, die bereits ein ISMS im Unternehmen haben und die Norm ISO 27001 kennen, einen klaren Überblick über die neuen Anforderungen der NIS-2 Richtlinie. Wir geben wichtige Werkzeuge und Best Practices an die Hand und zeigen Schritt für Schritt, wo das bestehende ISMS ergänzt werden muss, um NIS-2 zu erfüllen.

Termin Termingarantie Ort Preis* Prüfung*
Mo 03.02.2025
Online ! Online Zoom Session mit Live Trainer
690,-
Mo 31.03.2025
Online ! Online Zoom Session mit Live Trainer
690,-
*Nettopreise **optional
Mehr Informationen

NIS-2 für Geschäftsführung und Management

In diesem dreistündigen NIS-2 Workshop für Geschäftsführer und Manager erhältst du einen klaren Überblick über die NIS-2 Richtlinie und deren Auswirkungen auf Unternehmen und Organisationen. Du weißt, was dein Unternehmen erfüllen muss, um Compliance-konform zu sein und minimierst so mögliche Haftungsrisiken. Am Ende des Workshops erhältst du einen Nachweis, dass du die verpflichtende NIS-2 Unterweisung erhalten hast.

Termin Termingarantie Ort Preis* Prüfung*
Fr 14.03.2025
Online ! Online Zoom Session mit Live Trainer
340,-
*Nettopreise **optional
Mehr Informationen

Stefan Krause

Stefan ist Trainer, Consultant und Auditor im Bereich Information Security Management beim mITSM. Er baute als Software Developer im Konzern- und KMU-Umfeld umfassende IT-Expertise auf und verschaffte sich tiefen Einblick in die Bereiche Informationssicherheit, Cybersecurity und Risikomanagement. Nun gibt er sein Wissen und seine Erfahrung in unseren Trainings weiter und nimmt Organisationen bei der ISMS-Einführung und -Optimierung an die Hand.

Warum jetzt handeln wichtig ist

Die Einhaltung von NIS-2 ist nicht nur eine rechtliche Anforderung, sondern bietet auch die Möglichkeit, das Vertrauen deiner Kunden in die Sicherheit ihrer Daten zu stärken. Mit einem zertifizierten ISMS nach ISO 27001 demonstrierst du ein klares Engagement für höchste Sicherheitsstandards.

?

FAQ - Häufige Fragen und Antworten zu NIS-2

  • Was ist die NIS-2-Richtlinie?

    Die NIS-2-Richtlinie ist eine EU-weite Richtlinie zur Verbesserung der Netz- und Informationssystemsicherheit.

    Sie erweitert die Anforderungen der ursprünglichen NIS-Richtlinie und gilt für eine größere Anzahl von Unternehmen und Sektoren, um ein hohes Sicherheitsniveau in der gesamten EU sicherzustellen. Zum Wortlaut der NIS2-Richtlinie im Amtsblatt der Europäischen Union

  • Was fordert NIS-2?

    Verstärkung der Sicherheitsanforderungen

    NIS-2 fordert explizit die Erstellung von Konzepten zur Risikoanalyse und der Sicherheit für Informationssysteme. Darüberhinaus umfassende Maßnahmen zur Aufrechterhaltung der Business Continuity im Ernstfall und die Berücksichtigung der gesamten Supply Chain. Ebenso werden nun auch Schulungen im Bereich der Cybersicherheit explizit gefordert.

    Schulung Cybersecurity & Pentesting

    Schulung Cybersecurity Awareness

    Schulung Informationssicherheit

    Verschärfung der Meldepflichten

    Es sollen für besonders wichtige Einrichtungen und wichtige Einrichtungen konkretisierte Meldepflichten für Sicherheitsvorfälle gelten. Bei erheblichen Sicherheitsvorfällen sollen demnach „unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung“ Frühwarnungen erfolgen (NIS2UmsuCG, Stand 03.07.2023).

    Meldungen, einschließlich Bewertung, sollen „unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung“ erfolgen. Spätestens nach einem Monat muss ein Abschlussbericht vorliegen.

  • Ab wann gilt NIS-2

    Die Richtlinie ist seit Anfang 2023 auf EU-Ebene in Kraft und ist bis zum 17. Oktober 2024 in nationales Recht umzusetzen.

  • Wer ist von der NIS-2-Richtlinie betroffen?

    Unter den Anwendungsbereich der NIS-2-Richtlinie können Unternehmen fallen, die mindestens 50 Mitarbeiter und einen Jahresumsatz oder einer Jahresbilanz von über 10 Mio. Euro haben und in den betroffenen Sektoren tätig sind:

    Sektoren mit hoher Kritikalität:

    • Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
    • Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
    • Bankwesen (Kreditinstitute)
    • Finanzmarktinfrastruktur (Handelsplätze, Zentrale Gegenpartien)
    • Gesundheit (Gesundheitsdienstleister; EU-Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
    • Trinkwasser (Wasserversorgung)
    • Abwässer (Abwasserentsorgung)
    • Digitale Infrastruktur (Internet-Knoten (IXP), DNS (ohne Root), TLD Registries, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP), Elektronische Kommunikation)
    • IKT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers
    • Öffentliche Verwaltungen (Zentralregierung, regionale Regierung)
    • Weltraum (Bodeninfrastruktur)

    Sonstige kritische Sektoren:

    • Post- und Kurierdienste (Postdienste)
    • Abfallwirtschaft (Abfallbewirtschaftung)
    • Herstellung, Produktion und Vertrieb von Chemikalien
    • Lebensmittelproduktion, -verarbeitung und -vertrieb
    • Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten
    • Anbieter digitaler Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
    • Forschung (Forschungsinstitute)

    Wenn ein Unternehmen essenzielle Funktionen ausführt, Einfluss auf die öffentliche Sicherheit hat oder wenn systemische Risiken und internationale Auswirkungen auftreten würden, sollte es ausfallen, kann es in den Geltungsbereich der Richtlinie fallen, auch wenn es weniger als 50 Mitarbeiter beschäftigt oder unter 10 Millionen Jahresumsatz aufweist.

    Generell von NIS-2 betroffene Organisationen (unabhängig von ihrer Größe):

    • Vertrauensdiensteanbieter
    • Domänennamenregister der Domäne oberster Stufe
    • DNS-Diensteanbieter
    • Anbieter öffentlicher elektronischer Kommunikationsnetze mit mittlerer Unternehmensgröße
    • Öffentliche Verwaltung
    • Unternehmen, die als einziger Anbieter eines Dienstes in einem EU-Mitgliedsstaat gesehen werden, der kritisch für das öffentliche Leben ist
    • Unternehmen, deren Störung einen wesentlichen Effekt auf die öffentliche Ordnung, Sicherheit oder Gesundheit haben
    • Unternehmen, die laut der Resilienz-Richtlinie der EU als kritisch einzustufen sind
    • Unternehmen, die vor dem 16. Januar 2023 schon als kritisch eingestuft wurden

    Wer sich unsicher ist, ob sein Unternehmen von der NIS-2-Richtlinie betroffen ist, kann auf der Website des BSI mit der NIS-2-Betroffenheitsprüfung eine erste Orientierung finden.

  • Werden die von NIS-2 betroffenen Einrichtungen benachrichtigt?

    In Deutschland werden Einrichtungen nicht angeschrieben und darüber informiert, wenn sie von NIS-2 betroffen sind. Diese Organisationen müssen sich hierzulande selbstständig beim BSI als wichtiger oder wesentlicher Betrieb registrieren. Eine entsprechende Meldestelle sowie die personellen und organisatorischen Voraussetzungen muss das BSI allerdings erst noch schaffen. (Stand 04/2024)

  • Wer trägt nach NIS-2 die Verantwortung für organisatorische Maßnahmen?

    Laut NIS-2 sind Vorstände und Geschäftsführungen explizit für die Umsetzung der Maßnahmen verantwortlich und können für mögliche Verstöße persönlich haftbar gemacht werden.

  • Was passiert, wenn mein Unternehmen den Anforderungen von NIS-2 nicht entspricht?

    NIS-2 fordert, dass die EU-Mitgliedstaaten Geldbußen verhängt für Verstöße wesentlicher und wichtiger Einrichtungen gegen die Richtlinie. Artikel 34 definiert den entsprechenden Rahmen.

    Wesentliche Einrichtungen: Höchstbetrag von mindestens 10.000.000 € oder mindestens 2 Prozent des weltweiten Umsatzes (Artikel 34 (4))

    Wichtige Einrichtungen: Höchstbetrag von mindestens 7.000.000 € oder mindestens 1,4 Prozent des weltweiten Umsatzes (Artikel 34 (5))

  • Wie hilft ISO 27001 bei der Einhaltung von NIS-2?

    ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS).

    Die Implementierung eines ISMS nach ISO 27001 hilft Unternehmen, systematisch Risiken zu managen, Sicherheitskontrollen einzuführen und die Anforderungen von NIS-2 in Bezug auf Informationssicherheit und Berichterstattung über Sicherheitsvorfälle zu erfüllen. Wer nach ISO 27001 zertifiziert ist, hat schon den größten Schritt zur Compliance mit NIS-2 gemacht. ISO 27001 konzentriert sich allerdings auf die internen Prozesse. NIS-2 berücksichtigt auch externe Faktoren wie Lieferanten sowie die Resilienz- und Reaktionskapazitäten gegenüber Angriffen.

  • Muss mein Unternehmen nach ISO 27001 zertifiziert sein, um NIS-2 zu entsprechen?

    Während eine Zertifizierung nach ISO 27001 nicht explizit von der NIS-2-Richtlinie gefordert wird, ist sie ein effektives Mittel, um die Einhaltung der Sicherheits- und Berichterstattungsanforderungen zu demonstrieren. Eine ISO 27001-Zertifizierung zeigt, dass dein Unternehmen branchenführende Praktiken für Informationssicherheit implementiert hat.

  • Wie lange dauert die Implementierung eines ISMS nach ISO 27001?

    Die Zeit, die benötigt wird, um ein ISMS nach ISO 27001 zu implementieren, variiert je nach Größe und Komplexität deines Unternehmens sowie dem aktuellen Stand deiner Informationssicherheitspraktiken. In der Regel kann dieser Prozess zwischen drei Monaten und einem Jahr dauern.

  • Kann ich die ISO 27001-Zertifizierung intern durchführen oder benötige ich externe Berater?

    Während es möglich ist, ein ISMS intern zu implementieren und auf die Zertifizierung vorzubereiten, kann die Unterstützung durch externe Berater den Prozess beschleunigen und sicherstellen, dass alle Anforderungen effektiv erfüllt werden. Externe Experten bringen Erfahrung und objektive Einsichten in den Prozess ein.

  • Wie oft muss die ISO 27001-Zertifizierung erneuert werden?

    Die ISO 27001-Zertifizierung ist in der Regel drei Jahre gültig. Um die Zertifizierung aufrechtzuerhalten, sind jährliche Überwachungsaudits erforderlich, und am Ende des Dreijahreszeitraums ist ein Re-Zertifizierungsaudit notwendig.

+49 89 - 44 44 31 88 0 Chat starten
4.9
Basierend auf 107 Rezensionen
powered by Google
js_loader