0
0
NIS-2 Pflichten erfüllen
ISMS Einführung Schulung & Beratung

Home > NIS-2 Umsetzung

NIS-2 Anforderungen erfolgreich meistern

Die Implementierung der NIS-2-Richtlinie stellt strenge Anforderungen an die Cybersecurity für an ein breites Spektrum von Unternehmen. Die Richtlinie ist seit Anfang 2023 auf EU-Ebene in Kraft und ist bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Als Experten für Informationssicherheitssysteme nach ISO 27001 können wir betroffene Unternehmen bei der Umsetzung der Richtlinie an die Hand nehmen.

Was bedeutet NIS-2 für dein Unternehmen?

Die NIS-2-Richtlinie ist eine erweiterte Fassung der ersten Richtlinie zur Netz- und Informationssystemsicherheit in der Europäischen Union. Sie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten. Mit der neuen Richtlinie werden die Anforderungen an die Sicherheit und die Meldung von Vorfällen für eine breitere Palette von Unternehmen und Sektoren verschärft.

Die Bedeutung von ISO 27001 im Kontext von NIS-2

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 bietet die ideale Grundlage, um die Anforderungen von NIS-2 zu erfüllen. ISO 27001 ist ein international anerkannter Standard, der die Planung, Implementierung, Überwachung und Verbesserung der Informationssicherheit in Unternehmen systematisiert.

Dein Partner für Informationssicherheit

  • Ausbildung und Zertifizierung: Wir bieten eine umfassende, dreistufige Ausbildung im Bereich ISO 27001 an, in denen du und dein Team lernt, wie ein ISMS nach ISO 27001 aufgebaut, implementiert und stetig verbessert wird, was eine Schlüsselrolle bei der Einhaltung der NIS-2-Anforderungen spielt.
  • Beratung und Unterstützung: Unsere Experten stehen bereit, um dein Unternehmen bei der Einführung eines ISMS nach ISO 27001 zu unterstützen. Von der ersten Analyse bis hin zur Unterstützung bei Audits bieten wir einen umfassenden Beratungsservice, um sicherzustellen, dass dein Unternehmen den neuen Anforderungen gerecht wird.

ISO 27001 Foundation

Du erlernst in diesem zweitägigen Grundlagenseminar zum Thema Information Security Management praxisnah die Mindestanforderungen der ISO-Norm 27001. Wir gehen auf die Maßnahmen zur Umsetzung der Norm ein und bereiten dich intensiv auf die Zertifizierungsprüfung am Ende der Weiterbildung vor. Du brauchst für diese Schulung keine Vorkenntnisse. Kurs und Prüfung sind in deutscher Sprache.

Termin Termingarantie Ort Preis* Prüfung*
Mo 29.04. bis
Di 30.04.2024 		Termingarantie Termingarantie Infos
Online ! Online Zoom Session mit Live Trainer
990,- 190,-**
Mo 13.05. bis
Di 14.05.2024 		Termingarantie Termingarantie Infos
Online ! Online Zoom Session mit Live Trainer
990,- 190,-**
Mo 13.05. bis
Di 14.05.2024
Dresden ! Dresden Der genaue Schulungsort wird zwei Wochen vorher bekannt gegeben.
990,- 190,-**
Mo 13.05. bis
Di 14.05.2024
Berlin ! Berlin Der genaue Schulungsort wird zwei Wochen vorher bekannt gegeben.
990,- 190,-**
Mo 13.05. bis
Di 14.05.2024
Köln ! Köln Der genaue Schulungsort wird zwei Wochen vorher bekannt gegeben.
990,- 190,-**
Weitere Termine *Nettopreise **optional
Mehr Informationen

ISO 27001 Information Security Officer

Innerhalb von fünf Tagen bilden wir dich zum Information Security Officer nach ISO 27001 aus. Dabei gehen wir intensiv und anschaulich auf die Planung, Implementierung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) auf Basis der internationalen Norm ISO/IEC 27001 ein. Kurs und Prüfung sind in deutscher Sprache.

Termin Termingarantie Ort Preis* Prüfung*
Mo 13.05. bis
Fr 17.05.2024
Stuttgart ! Stuttgart Der genaue Schulungsort wird zwei Wochen vorher bekannt gegeben.
2.590,- 220,-**
Mo 13.05. bis
Fr 17.05.2024
Hannover ! Hannover Der genaue Schulungsort wird zwei Wochen vorher bekannt gegeben.
2.590,- 220,-**
Mo 13.05. bis
Fr 17.05.2024
Nürnberg ! Nürnberg Der genaue Schulungsort wird zwei Wochen vorher bekannt gegeben.
2.590,- 220,-**
Mo 13.05. bis
Fr 17.05.2024
Köln ! Köln Der genaue Schulungsort wird zwei Wochen vorher bekannt gegeben.
2.590,- 220,-**
Mo 03.06. bis
Fr 07.06.2024 		Termingarantie Termingarantie Infos
München ! München mITSM Schulungszentrum im NEWTON Ridlerstraße 57 80339 München
2.590,- 220,-**
Weitere Termine *Nettopreise **optional
Mehr Informationen

NIS-2-Beratung: ISMS Einführung (nach ISO 27001)

Mit einem effektiven ISMS nach ISO 27001 entspricht deine Organisation den Sicherheitsanforderungen, die NIS-2 stellt. Gerne beraten wir dich, nutze unser Angebot eines kostenlosen und unverbindlichen, rund dreißigminütigen Beratungsgesprächs am Telefon. Vereinbare dazu einen Termin mit einem unserer Experten telefonisch unter +49 89 – 44 44 31 88 0 oder über unseren Anfrage-Service:

Stefan Krause

Stefan ist Trainer, Consultant und Auditor im Bereich Information Security Management beim mITSM. Er baute als Software Developer im Konzern- und KMU-Umfeld umfassende IT-Expertise auf und verschaffte sich tiefen Einblick in die Bereiche Informationssicherheit, Cybersecurity und Risikomanagement. Nun gibt er sein Wissen und seine Erfahrung in unseren Trainings weiter und nimmt Organisationen bei der ISMS-Einführung und -Optimierung an die Hand.

Wunschtermin anfragen

Warum jetzt handeln wichtig ist

Die Einhaltung von NIS-2 ist nicht nur eine rechtliche Anforderung, sondern bietet auch die Möglichkeit, das Vertrauen deiner Kunden in die Sicherheit ihrer Daten zu stärken. Mit einem zertifizierten ISMS nach ISO 27001 demonstrierst du ein klares Engagement für höchste Sicherheitsstandards.

?

FAQ - Häufige Fragen und Antworten zu NIS-2

  • Was ist die NIS-2-Richtlinie?

    Die NIS-2-Richtlinie ist eine EU-weite Richtlinie zur Verbesserung der Netz- und Informationssystemsicherheit.

    Sie erweitert die Anforderungen der ursprünglichen NIS-Richtlinie und gilt für eine größere Anzahl von Unternehmen und Sektoren, um ein hohes Sicherheitsniveau in der gesamten EU sicherzustellen. Zum Wortlaut der NIS2-Richtlinie im Amtsblatt der Europäischen Union

  • Was fordert NIS-2?

    Verstärkung der Sicherheitsanforderungen

    NIS-2 fordert explizit die Erstellung von Konzepten zur Risikoanalyse und der Sicherheit für Informationssysteme. Darüberhinaus umfassende Maßnahmen zur Aufrechterhaltung der Business Continuity im Ernstfall und die Berücksichtigung der gesamten Supply Chain. Ebenso werden nun auch Schulungen im Bereich der Cybersicherheit explizit gefordert.

    Schulung Cybersecurity & Pentesting

    Schulung Cybersecurity Awareness

    Schulung Informationssicherheit

    Verschärfung der Meldepflichten

    Es sollen für besonders wichtige Einrichtungen und wichtige Einrichtungen konkretisierte Meldepflichten für Sicherheitsvorfälle gelten. Bei erheblichen Sicherheitsvorfällen sollen demnach „unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung“ Frühwarnungen erfolgen (NIS2UmsuCG, Stand 03.07.2023).

    Meldungen, einschließlich Bewertung, sollen „unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung“ erfolgen. Spätestens nach einem Monat muss ein Abschlussbericht vorliegen.

  • Ab wann gilt NIS-2

    Die Richtlinie ist seit Anfang 2023 auf EU-Ebene in Kraft und ist bis zum 17. Oktober 2024 in nationales Recht umzusetzen.

  • Wer ist von der NIS-2-Richtlinie betroffen?

    Unter den Anwendungsbereich der NIS-2-Richtlinie können Unternehmen fallen, die mindestens 50 Mitarbeiter und einen Jahresumsatz oder einer Jahresbilanz von über 10 Mio. Euro haben und in den betroffenen Sektoren tätig sind:

    Sektoren mit hoher Kritikalität:

    • Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
    • Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
    • Bankwesen (Kreditinstitute)
    • Finanzmarktinfrastruktur (Handelsplätze, Zentrale Gegenpartien)
    • Gesundheit (Gesundheitsdienstleister; EU-Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
    • Trinkwasser (Wasserversorgung)
    • Abwässer (Abwasserentsorgung)
    • Digitale Infrastruktur (Internet-Knoten (IXP), DNS (ohne Root), TLD Registries, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP), Elektronische Kommunikation)
    • IKT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers
    • Öffentliche Verwaltungen (Zentralregierung, regionale Regierung)
    • Weltraum (Bodeninfrastruktur)

    Sonstige kritische Sektoren:

    • Post- und Kurierdienste (Postdienste)
    • Abfallwirtschaft (Abfallbewirtschaftung)
    • Herstellung, Produktion und Vertrieb von Chemikalien
    • Lebensmittelproduktion, -verarbeitung und -vertrieb
    • Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten
    • Anbieter digitaler Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
    • Forschung (Forschungsinstitute)

    Wenn ein Unternehmen essenzielle Funktionen ausführt, Einfluss auf die öffentliche Sicherheit hat oder wenn systemische Risiken und internationale Auswirkungen auftreten würden, sollte es ausfallen, kann es in den Geltungsbereich der Richtlinie fallen, auch wenn es weniger als 50 Mitarbeiter beschäftigt oder unter 10 Millionen Jahresumsatz aufweist.

    Generell von NIS-2 betroffene Organisationen (unabhängig von ihrer Größe):

    • Vertrauensdiensteanbieter
    • Domänennamenregister der Domäne oberster Stufe
    • DNS-Diensteanbieter
    • Anbieter öffentlicher elektronischer Kommunikationsnetze mit mittlerer Unternehmensgröße
    • Öffentliche Verwaltung
    • Unternehmen, die als einziger Anbieter eines Dienstes in einem EU-Mitgliedsstaat gesehen werden, der kritisch für das öffentliche Leben ist
    • Unternehmen, deren Störung einen wesentlichen Effekt auf die öffentliche Ordnung, Sicherheit oder Gesundheit haben
    • Unternehmen, die laut der Resilienz-Richtlinie der EU als kritisch einzustufen sind
    • Unternehmen, die vor dem 16. Januar 2023 schon als kritisch eingestuft wurden
  • Werden die von NIS-2 betroffenen Einrichtungen benachrichtigt?

    In Deutschland werden Einrichtungen nicht angeschrieben und darüber informiert, wenn sie von NIS-2 betroffen sind. Diese Organisationen müssen sich hierzulande selbstständig beim BSI als wichtiger oder wesentlicher Betrieb registrieren. Eine entsprechende Meldestelle sowie die personellen und organisatorischen Voraussetzungen muss das BSI allerdings erst noch schaffen. (Stand 04/2024)

  • Wer trägt nach NIS-2 die Verantwortung für organisatorische Maßnahmen?

    Laut NIS-2 sind Vorstände und Geschäftsführungen explizit für die Umsetzung der Maßnahmen verantwortlich und können für mögliche Verstöße persönlich haftbar gemacht werden.

  • Was passiert, wenn mein Unternehmen den Anforderungen von NIS-2 nicht entspricht?

    NIS-2 fordert, dass die EU-Mitgliedstaaten Geldbußen verhängt für Verstöße wesentlicher und wichtiger Einrichtungen gegen die Richtlinie. Artikel 34 definiert den entsprechenden Rahmen.

    Wesentliche Einrichtungen: Höchstbetrag von mindestens 10.000.000 € oder mindestens 2 Prozent des weltweiten Umsatzes (Artikel 34 (4))

    Wichtige Einrichtungen: Höchstbetrag von mindestens 7.000.000 € oder mindestens 1,4 Prozent des weltweiten Umsatzes (Artikel 34 (5))

  • Wie hilft ISO 27001 bei der Einhaltung von NIS-2?

    ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS).

    Die Implementierung eines ISMS nach ISO 27001 hilft Unternehmen, systematisch Risiken zu managen, Sicherheitskontrollen einzuführen und die Anforderungen von NIS-2 in Bezug auf Informationssicherheit und Berichterstattung über Sicherheitsvorfälle zu erfüllen.

  • Muss mein Unternehmen nach ISO 27001 zertifiziert sein, um NIS-2 zu entsprechen?

    Während eine Zertifizierung nach ISO 27001 nicht explizit von der NIS-2-Richtlinie gefordert wird, ist sie ein effektives Mittel, um die Einhaltung der Sicherheits- und Berichterstattungsanforderungen zu demonstrieren. Eine ISO 27001-Zertifizierung zeigt, dass dein Unternehmen branchenführende Praktiken für Informationssicherheit implementiert hat.

  • Wie lange dauert die Implementierung eines ISMS nach ISO 27001?

    Die Zeit, die benötigt wird, um ein ISMS nach ISO 27001 zu implementieren, variiert je nach Größe und Komplexität deines Unternehmens sowie dem aktuellen Stand deiner Informationssicherheitspraktiken. In der Regel kann dieser Prozess zwischen drei Monaten und einem Jahr dauern.

  • Kann ich die ISO 27001-Zertifizierung intern durchführen oder benötige ich externe Berater?

    Während es möglich ist, ein ISMS intern zu implementieren und auf die Zertifizierung vorzubereiten, kann die Unterstützung durch externe Berater den Prozess beschleunigen und sicherstellen, dass alle Anforderungen effektiv erfüllt werden. Externe Experten bringen Erfahrung und objektive Einsichten in den Prozess ein.

  • Wie oft muss die ISO 27001-Zertifizierung erneuert werden?

    Die ISO 27001-Zertifizierung ist in der Regel drei Jahre gültig. Um die Zertifizierung aufrechtzuerhalten, sind jährliche Überwachungsaudits erforderlich, und am Ende des Dreijahreszeitraums ist ein Re-Zertifizierungsaudit notwendig.

+49 89 - 44 44 31 88 0