Compliance-Beratung zu EU-Richtlinien NIS2 und CER
Ab Oktober 2024 treten die beiden europäischen Richtlinien NIS2 (Cybersicherheit) und CER (physische Sicherheit kritischer Einrichtungen) auch in Deutschland in Kraft. Wir unterstützen betroffene Unternehmen bei der Analyse und Einhaltung ihrer Anforderungen.
Das übernehmen wir für Sie
Aufgaben
Mit einer Betroffenheitsanalyse stellen wir zunächst fest, ob und in welcher Weise die Regulierung auf Ihr Unternehmen anzuwenden ist. Gemeinsam mit Ihnen entwickeln wir die technischen und organisatorischen Maßnahmen, die im neuen Rechtsrahmen nötig sind. Standbein dieser Compliance: ein umfassendes Risikomanagement.
- Begleitung und Beratung im Verfahren
- Betroffenheitsanalyse
- Evaluierung und Anpassung des Risikomanagements
- Strategische Beratung zur Implementierung der Anforderungen
- Dokumentation und Berichtswesen
- Einführung und Durchsetzung spezifischer Dokumentationspflichten
- Beratung zur Meldepflicht bei Störfällen
- Registrierung und Kommunikation mit den AUfsichtsbehörden
Sie haben Interesse oder konkreten Bedarf an einem der aufgeführten Themen? Sprechen Sie uns an.
Vorteile
Auf einen Blick
Standards und Best Practices
Wir bringen internationale Normen, Regulierungsvorschriften und branchenspezifische Vorgehensweisen in Einklang mit der Unternehmensrealität.
Politische Gremienarbeit
Wir nehmen schon am Gesetzgebungsprozess als Sachverständige und Interessenvertreter teil und beraten Verbände und Unternehmen bei Positionierung und Umsetzung.
Praktisches Know-how
Unser Team verfügt über Kenntnisse und persönlich nachgewiesene Fähigkeiten in allen relevanten Bereichen: Risiko-, Business-Continuity- und Informationssicherheitsmanagement, Datenschutz und die Umsetzung auf allen Ebenen in Organisation und Technik.
Strategische Beratung
Informationssicherheit ist Sache der Geschäftsführung. Wir beraten die Unternehmensleitung und ihre Organisation zur strategischen Implementierung von Cybersicherheit und der technischen Compliance. <br /><br />
Informationen
Hintergründe und Details<
Die im Januar 2023 in Kraft getretene NIS2-Richtlinie der Europäischen Union regelt die Anforderungen an die Cybersicherheit für Unternehmen in allen als kritisch betrachteten Sektoren. Sie unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen, die einer Regulierung ihrer Informationssicherheit, Risikomanagement und Meldepflichten unterliegen. Um die Resilienz der Einrichtungen zu gewährleisten, schreibt die Richtlinie verbindliche Maßnahmen vor:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Wie jede europäische Richtlinie muss auch die NIS2 per Gesetz in den deutschen Rechtsrahmen überführt werden. Die Frist dafür endet am 17. Oktober 2024. Bis dahin müssen Betreiber der betroffenen Einrichtungen mindestens bereit sein, die Einhaltung dieser Anforderungen nachzuweisen.
Die NIS2 wird als Cybersicherheitsrichtlinie flankiert von der CER-Richtlinie, die gleichzeitig in Kraft trat und ebenfalls zur Umsetzung - als "KRITIS-Dachgesetz" - in Deutschland ansteht. CER steht für "critical entities resilience" und bildet den Überbau für Sabotageschutz und physische Sicherheit kritischer Einrichtungen.
Während die NIS2 den Bereich der Cybersicherheit regelt, ist die "Critical Entities Resilience" (CER) das Herzstück der Reform für die Regulierung der physischen Sicherheit bei Anbietern kritischer Dienste. Sie regelt vor allem die Pflicht zur Einführung eines Risikomanagements mit einem "Allgefahrenansatz", also unter Einbeziehung aller Faktoren, die den fortlaufenden Betrieb gefährden könnten:
- Die Anzahl der betroffenen Sektoren erhöht sich von acht auf 18. Insgesamt vergrößert sich der Kreis der Betroffenen dadurch auf etwa 30.000 Unternehmen (von nur ca. 3.000 nach der bisherigen Regulierung)
- Der Bußgeldkatalog bei Missachtung der Vorschriften sieht jetzt auch Strafen vor, die nicht bei einem absoluten Geldbetrag gedeckelt sondern bis zu 2,4 Prozent des Weltjahresumsatzes des Unternehmens ausmachen können, das zu einem Bußgeld verurteilt wird.
- Erstmals wird eine Geschäftsleiterhaftung eingeführt, die bei Zuwiderhandlung gegen die Vorschriften auf das persönliche Vermögen durchgreifen kann.
Zu diesen bereits erheblichen Erweiterungen und Verschärfung werden bestimmte Sektoren besonders eng geführt. Für Domain-Name-Services, Vertrauensdiensteanbieter und ähnlich "superkritische" Dienste zum Beispiel gelten noch strengere Regeln als für andere Bereiche.
Drei fundamentale Änderungen werden im Zuge der NIS2 für die betroffenen Unternehmen relevant:
- Die Anzahl der betroffenen Sektoren erhöht sich von acht auf 18. Insgesamt vergrößert sich der Kreis der Betroffenen dadurch auf etwa 30.000 Unternehmen (von nur ca. 3.000 nach der bisherigen Regulierung)
- Der Bußgeldkatalog bei Missachtung der Vorschriften sieht jetzt auch Strafen vor, die nicht bei einem absoluten Geldbetrag gedeckelt sondern bis zu 2,4 Prozent des Weltjahresumsatzes des Unternehmens ausmachen können, das zu einem Bußgeld verurteilt wird.
- Erstmals wird eine Geschäftsleiterhaftung eingeführt, die bei Zuwiderhandlung gegen die Vorschriften auf das persönliche Vermögen durchgreifen kann.
Zu diesen bereits erheblichen Erweiterungen und Verschärfung werden bestimmte Sektoren besonders eng geführt. Für Domain-Name-Services, Vertrauensdiensteanbieter und ähnlich "superkritische" Dienste zum Beispiel gelten noch strengere Regeln als für andere Bereiche.
Wie bei bisher als KRITIS-Unternehmen eingestuften Betreibern auch gibt es mehrere zuständige Aufsichtsbehörden, die mit der Durchsetzung der Anforderungen und gegebenenfalls Bußgeldverfahren betraut sind. Dazu gehören je nach Sektor und Kritikalität:
- Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
- Bundesnetzagentur (für Telekommunikations- und Stromnetzbetreiber)
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
Team
Zuverlässige Ansprechpartner
Vom Erstgespräch bis zum fertigen Sicherheitskonzept stehen wir eng an Ihrer Seite und sorgen dafür, dass Sie mit einem geringen Gesamtaufwand gemäß der gesetzlichen Anforderungen bestens aufgestellt sind.
Mathias Handsche
Geschäftsführer
Kontakt
Wir helfen gerne!!!
Kontaktieren Sie uns per Post, persönlich oder per E-Mail!