Gofore

Wir bieten Expertenwissen in Sachen Digitalisierung.

Einhaltung von Gesetzen und Vorschriften sicherstellen

NIS2 – Die neue Gesetzgebung zur Cyber­sicherheit

Die Verantwortung für Cybersicherheitsrisiken liegt bei der gesamten Organisation. Für Unternehmen mit gesellschaftskritischer Bedeutung ist sie eine zentrale Kompetenz. Ist dein Unternehmen bereits NIS2-konform?

Nimm Kontakt auf

NIS2 kurz erklärt

Was ist der Kern der NIS2-Richtlinie?

Die NIS2-Richtlinie erweitert die bestehende NIS-Richtlinie und wird in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Das Gesetz umfasst eine größere Bandbreite an Sektoren, die als kritisch gelten.

Dazu zählen:

  • Energie, Gesundheitswesen, Transport, Trink- und Abwasser, Raumfahrt sowie der Finanzsektor
  • Öffentliche Verwaltung, IKT-Sektor (Sicherheits- und Betriebsdienste) und digitale Infrastruktur
  • Lebensmittelindustrie, Abfallwirtschaft, Post- und Kurierdienste
  • Verarbeitende Industrie, z. B. Hersteller medizinischer Geräte und Chemiebranche
  • Digitale Dienste wie Marktplätze und Suchmaschinen sowie Forschung
  • Gesundheitsdienstleister, EU-Referenzlabore, pharmazeutische Forschung und Hersteller
  • Hersteller kritischer medizinischer Geräte für öffentliche Gesundheitsnotfälle

Es ist wichtig zu beachten, dass Unternehmen, die Kunden oder Partner haben, die von der Gesetzgebung als kritisch eingestuft werden, wahrscheinlich Teil deren Lieferkette sind. Daher gelten die gesetzlichen Anforderungen auch für diese Unternehmen. In der Regel erstrecken sich diese Pflichten mindestens auf die Hauptsubunternehmer.

Welche Pflichten ergeben sich aus der neuen Gesetzgebung?

Mit der neuen Gesetzgebung erweitern sich die Pflichten für Unternehmen:

  • Unternehmen müssen ein Risikomanagementmodell einführen, das Bedrohungen und Risiken im täglichen Betrieb erkennt und steuert.
  • Das bloße Identifizieren und Dokumentieren von Risiken reicht nicht aus – auch die Wirksamkeit der Risikominderungsmaßnahmen muss gemessen werden.
  • Die Fähigkeit zum Incident Management muss ausgebaut werden, sodass im Ernstfall ein klar definiertes und abgestimmtes Vorgehensmodell sowie klare Verantwortlichkeiten für die Wiederherstellung des Betriebs bestehen.
  • Sicherheitsvorfälle müssen detaillierter und zeitnah gemeldet werden.
  • Verstöße gegen die Vorschriften können mit erheblichen Geldstrafen geahndet werden. Zudem erhalten die Behörden erweiterte Befugnisse zur Durchsetzung der Gesetzgebung.

Was ist das Ziel der neuen Gesetzgebung?

Die neue Gesetzgebung erweitert die Verantwortung der zuvor genannten kritischen Einrichtungen. Ihr Ziel ist es, die Cyber-Resilienz der EU-Mitgliedstaaten zu stärken, indem sie die Unternehmensführung in die Pflicht nimmt, Cyberrisiken zu managen und Maßnahmen zur Verbesserung der Cybersicherheit umzusetzen. Zudem fordert sie eine kontinuierliche Vorbereitung auf Vorfälle sowie eine effektive Wiederherstellung nach Sicherheitsvorfällen.

Services

Wie kann man sich auf Cyberbedrohungen vorbereiten?

Entwicklung eines Lagemanagements

Im Falle eines Sicherheitsvorfalls ist es entscheidend, dass sowohl die Führungsebene als auch die IT-Abteilung über starke Fähigkeiten im Lagemanagement verfügen. Die regelmäßige Übung des Lagemanagements ist essenziell, da gut vorbereitete Organisationen sich schneller erholen und finanzielle sowie reputative Schäden minimieren können.

Bereite Führungskräfte und IT mit folgenden Services vor:

  • Analyse des aktuellen Stands des Lagemanagements
  • Schulungen zu Lagemanagement-Modellen
  • Praktische Übungen zum Lagemanagement

Entwicklung von Fähigkeiten

Bist du dir der gesetzlich vorgeschriebenen Fähigkeiten für dein Unternehmen bewusst – und verfügst du über diese? Bereite dich und deine Organisation auf die bevorstehenden Veränderungen vor. Dabei sollte nicht vergessen werden, dass diese den Alltag der Mitarbeitenden beeinflussen. Eine erfolgreiche Umsetzung erfordert daher ein strukturiertes, menschenzentriertes Change Management.

Unsere Services zur Entwicklung organisationaler Cybersicherheitsfähigkeiten:

  • Klärung der spezifischen Compliance-Anforderungen für dein Unternehmen
  • Bewertung der Compliance deines Unternehmens im Hinblick auf die geltenden Anforderungen
  • Entwicklung eines Cybersecurity-Risikomanagementmodells
  • Entwicklung eines Incident-Management-Modells
  • Verbesserung der Cybersicherheit in der Lieferkette
  • Begleitung des organisatorischen Wandels, Unterstützung des Change Managements und Messung des Veränderungsprozesses

Mehr erfahren

Die NIS2-Richtlinie und das kommende Gesetz zum Cybersecurity Risk Management

Lies den aktuellen Blogbeitrag von Markus Asikainen, Director of Cybersecurity Business bei Gofore.

Lies den Blog

Nimm Kontakt auf

Zum Seitenanfang