Wir unterstützen Sie bei der Umsetzung der NIS-2-Richtlinie
- Erfahrene ISMS-Berater
- Einsatz von Best-Practice-Methoden
- Umsetzung des risikobasierten Ansatzes für Cybersicherheit
- Etablierung von Sicherheit in der Lieferkette
- Schulung und Sensibilisierung Ihrer Mitarbeiter
- Vorbereitung und Begleitung zu einer ISMS-Zertifizierung,
bspw. ISO 27001, TISAX® oder IT-Grundschutz
Mit unserer NIS-2-Betroffenheitsanalyse erhalten Sie in wenigen Schritten eine erste Einschätzung, ob Sie von der NIS-2-Richtlinie betroffen sind.
Unter die NIS-2 Richtlinie fallen Einrichtungen, die Dienstleistungen in der EU erbringen, in bestimmten Sektoren tätig sind und bestimmte Schwellwerte überschreiten. Dazu gehören die Beschäftigtenzahl, der Jahresumsatz sowie die Bilanzsumme.
Unternehmen, die betroffen sind, müssen sich selbständig identifizieren, gegebenenfalls registrieren und ein entsprechendes Informationssicherheitsniveau aufbauen und betreiben.
Unsere Leistungen
- Konzeptionierung eines Informationssicherheits-Managementsystems (ISMS) auf Basis der NIS-2 Anforderungen bzw. ISO 27001
- Unterstützung bei der Implementierung des ISMS
- Unterstützung bei der Dokumentation der ISMS-Richtlinien und -Prozesse
- Unterstützung bei der Durchführung von Risikoanalyse und -bewertung sowie Risikobehandlung
- Bereitstellung von Vorlagen und unseres Dokumentationswerkzeugs EDIRA
- Vorbereitung und Unterstützung bei internen Audits
- Begleitung bei Zertifizierungsmaßnahmen
Preise
Wir besprechen mit Ihnen gerne Ihre individuelle Situation und Unternehmenswerte und machen Ihnen ein faires Angebot.
Prozess einer NIS-2 Umsetzung
Zu Beginn werden unsere Experten in einem Workshop mit Ihnen gemeinsam die Ist-Situation in Ihrem Unternehmen analysieren. Wir unterstützen Sie bei der Konzeption, Festlegung und Beschreibung Ihrer Informationssicherheitsanforderungen und der dafür zu implementierenden Prozesse und sonstigen Maßnahmen zu deren Sicherstellung. Hierfür steht unser Tool EDIRA mit seinen integrierten Vorlagen zur Verfügung.
Notwendige Dokumentationen und Anweisungen für das ISMS können anhand von Vorlagen in EDIRA erstellt und gepflegt werden. Nach Etablierung der ISMS-Organisation und einer gewissen Umsetzungszeit werden Nachweise dokumentiert und die Wirksamkeit des ISMS überprüft.
Im Anschluss daran kann die Durchführung eines internen Audits die Folge sein. Gemeinsam mit Ihnen prüfen wir, ob alle Nachweise und Unterlagen auditfähig sind.
Auf Ihren Wunsch und Bedarf stehen wir Ihnen während und bis zu Ihrem Zertifizierungsaudit bspw. nach ISO 27001 mit Rat und Tat zur Seite. Mit Abschluss des Zertifizierungsaudits nach ISO 27001 erhalten Sie ein nach internationalen Standards etabliertes ISMS mit einem Zertifikat.
Als optionale Unterstützung und Erleichterung des Projektes stellen wir Ihnen unser Informationssicherheitsmanagementsystem EDIRA zur Verfügung. Mit EDIRA können Sie Risikobewertungen vornehmen und die geforderte ISMS-Dokumenation auf Basis von umfangreichen Vorlagen erstellen. Sie erhalten einen Überblick über das Fortschreiten Ihres Projektes und Ihre Umsetzungsaufgaben. Dies erleichtert Ihnen die Nachweisbarkeit bei Audits und liefert Ihnen bessere Ergebnisse innerhalb des Managementprozesses.
Ihre Vorteile
- Effektive und dokumentierte Cyber- und IT-Sicherheit in Ihrem Unternehmen
- Schutz Ihrer Informationen durch technische und organisatorische Vorkehrungen entsprechend dem Stand der Technik
- Erfüllung der geforderten Anforderungen der NIS-2 Richtlinie
- Positive Außenwirkung gegenüber Kunden, Lieferanten, Gesetzgebung und weiteren Anspruchsgruppen
- Schutz vor Bußgeldern, Reputationsverlust sowie wirtschaftlichen Nachteilen
NIS-2 und ISO 27001
NIS-2 verlangt nicht die Anwendung von ISO 27001, erwähnt aber in der Präambel die ISO/IEC 27000-Reihe als eine Möglichkeit, Maßnahmen zum Risikomanagement im Bereich der Cyber-Sicherheit umzusetzen. Im Hauptteil von NIS-2 wird empfohlen, internationale Standards anzuwenden. Ein näherer Vergleich von NIS-2 und ISO 27001 zeigt, dass die ISO 27001 ein hervorragendes Rahmenwerk bietet, um die von NIS-2 geforderten Maßnahmen zum Risikomanagement im Bereich der Cyber-Sicherheit umsetzen zu können.
Häufig gestellte Fragen
Für wesentliche (besonders wichtige) Einrichtungen sind strengere Aufsichts- und Durchsetzungsmaßnahmen vorgesehen als für wichtige Einrichtungen (Art, 32, Art. 33)
Für besonders wichtige Unternehmen - bis zu 10 Millionen Euro oder 2 % des gesamten Jahresumsatzes. Für wichtige Unternehmen - bis zu 7 Mio. Euro oder 1,4 % des gesamten Jahresumsatzes.
Die NIS-2 verlangt keine Zertifizierung der wesentlichen und wichtigen Einrichtungen. Die EU-Mitgliedsstaaten können jedoch von betroffenen Einrichtungen die Verwendung von IT-Produkten oder Dienstleistungen verlangen, die nach dem europäischen Zertifizierungsschema für Cybersicherheit gemäß dem Cybersicherheitsgesetz (EU-Verordnung 2019/881) zertifiziert sind.
Je nach Vertrag erhält jeder Kunde die zeitliche Betreuung, die er benötigt. Dies ist abhängig von der Unternehmenssituation und den internen Ressourcen des Unternehmens. Wir betreuen Sie so lange und intensiv, wie notwendig und gewünscht. Auch regelmäßige Jour fixe Termine und einzelne Beratungsgespräche können vereinbart werden.
Mit der NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) wurde im Januar 2023 die im Jahr 2016 eingeführten EU-Vorschriften zur Cybersicherheit aktualisiert. Die neue Richtlinie ist für KRITIS-Unternehmen und Organisationen in der Europäischen Union verbindlich und muss bis zum 17.10.2024 wirksam umgesetzt werden.
Die NIS-2-Richtlinie dient zur Harmonisierung, Erweiterung und Anpassung der bisherigen Cybersicherheitsanforderungen und Sanktionierung innerhalb der EU-Mitgliedsstaaten und möchte der zunehmenden Digitalisierung und einer wachsenden Bedrohungslandschaft der Cyberkriminalität begegnen.
Ziel ist es, das Sicherheitsniveau der EU-Mitgliedsstaaten zu stärken und die Reaktionsfähigkeit, sowie die Resilienz öffentlicher und privater Einrichtungen, zuständiger Behörden und der EU insgesamt zu verbessern. Darüber hinaus erweitert die Richtlinie die Zahl der Unternehmen und Organisationen, die zur kritischen Infrastruktur (KRITIS) gehören.
Mit der Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird die europäische NIS-2-Richtlinie in deutsches Recht überführt.
Weitere Dienstleistungen für Ihre Sicherheit