Die NIS-2-Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Organisationen, die Ihren Sitz in einem EU-Mitgliedsstaat haben oder innerhalb der Europäischen Union tätig sind, müssen ab dem 18. Oktober nachweisen können, dass sie ihre Cybersicherheit wirksam stärken. Damit einher gehen Berichtspflichten bei Vorfällen, der Einbezug der Lieferkette, empfindliche Strafandrohungen sowie zahlreiche Querschnittsdisziplinen aus den Bereichen Governance, Risikomanagement und Compliance (GRC). Eine GRC-Software unterstützt Sie optimal beim Nachweis Ihrer NIS-2-Einhaltung.
OMNINET unterstützt Kunden bereits bei der Vorbereitung in puncto Compliance nach NIS-2.
NIS-2-Abdeckung im OMNITRACKER GRC Center
- Risikobasierter Ansatz
(integriertes Risikomanagement) - Krisen- und Notfallmanagement
(Business-Continuity-Management) - Assetmanagement
(Ermittlung des Schutzbedarfs und Bewertung von Assetabhängigkeiten) - Lieferantenspezifische Risiken
(risikobasiertes Lieferkettenmanagement) - Einleiten und Dokumentieren von Maßnahmen und Kontrollen
(Pflichtinhalt von Berichten) - Audits optimal vorbereiten und effizient durchführen
- Einrichtung einer Kontakt- und Meldestelle
- Dokumentenablage im zentralen Dokumentenmanagement
- ISMS-Pflicht für kritische Bereiche
Individuelle Beratung zu Ihrer NIS-2-Compliance
Die NIS-2-Richtlinie hat viele thematische Überschneidungen zu anderen Bereichen des Themenkomplexes Governance, Risikomanagement und Compliance. Die Multinorm-Lösung OMNITRACKER GRC Center unterstützt Sie, indem alle Compliance-, Audit-, Risikomanagement- und Dokumentationsthemen zentral gesteuert werden. So entstehen Synergieeffekte und Sie halten die kommenden Anforderungen der NIS-2-Richtline auditsicher und effizient ein.
Hintergründe, Pflichten und betroffene Branchen der NIS-2-Richtlinie
Hintergrund
Zielsetzung der NIS-2-Richtlinie (Link zum Amtsblatt der EU) ist es, die Cybersicherheit von wichtigen und relevanten Organisationen zu stärken. Die für eine funktionierende digitale Gesellschaft wichtigsten Branchen sowie Organisationen ab einer gewissen Größe müssen daher mit dem Inkrafttreten des jeweiligen nationalen Gesetzes nachweisen (in Deutschland durch das NIS2UmsuCG; aktueller Stand), dass sie einen wirksamen, risikobasierten Cyberschutz betreiben. In der Gesamtverantwortung steht das Management, das unter anderem sicherheitsrelevante Schulungen absolvieren muss. Auch die Awareness des Personals muss sichergestellt werden. Bei Pflichtverletzungen drohen den geschätzt 30.000 betroffenen Organisationen Sanktionen.
Pflichten
Im Falle eines Vorfalls, muss dieser einer Kontrollbehörde in einer Vorwarnung, gegebenenfalls Zwischenberichten und einem Abschlussbericht gemeldet werden. Diese Berichte müssen Informationen enthalten, welche Organisationsbereiche von dem Cybersicherheitsvorfall betroffen sind (Assetmanagement hilfreich), welche Maßnahmen eingeleitet wurden sowie mithilfe welcher Maßnahme ähnliche Vorfälle in Zukunft vermieden oder abgemildert werden können.
Relevanz und Betroffenheit
Von der NIS-2-Richtlinie sind zahlreiche Branchen und Sektoren betroffen, die in zwei Anhängen definiert werden. Mittlere Institutionen mit mehr als 50 Mitarbeitenden und über 10 Millionen, aber unter 50 Mio. Euro Jahresumsatz (oder höchstens 43 Mio. Euro Jahresbilanz), die in einer Branche der Anhänge 1 oder 2 gelistet sind, müssen sich darauf einstellen, die NIS-2-Richtlinie ab Oktober 2024 umzusetzen. Gleiches gilt für große Unternehmen mit mehr als 250 Beschäftigten und einem Jahresumsatz von mehr als 50 Mio. Euro oder einer Jahresbilanz von mehr als 43 Mio. Euro.
Wesentliche und wichtige Einrichtungen werden unabhängig vom Umsatz oder der Beschäftigtenzahl in den Geltungsbereich von NIS-2 fallen.
Zusätzlich können auch kleinere Organisationen auf behördliche Anweisung unter NIS-2 fallen, etwa wenn sie zur digitalen Infrastruktur zählen, DNS-Anbieter sind oder kritische Dienste anbieten – die öffentliche Verwaltung bildet hier ebenfalls eine Ausnahme. Bisher als KRITIS eingestufte Organisationen sind alle von NIS-2 betroffen.
In welche Kategorie eine Institution fällt, wirkt sich auf potenzielle Sanktionen und auf die Aufsicht (reaktiv/proaktiv) aus.
Anhang 1: Sektoren mit hoher Kritikalität
Energie
Verkehr
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastrukturen
Verwaltung von IKT-Diensten
Öffentliche Verwaltung
Weltraum
Anhang 2: Sonstige kritische Sektoren
Post- und Kurierdienste
Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/Herstellung von Waren
Anbieter digitaler Dienste
Forschung
Das Tool für Ihre NIS-2-Compliance.
Jetzt 30 Tage kostenlos und unverbindlich testen.
GRC Center als Multinorm-Lösung – ein zentrales Tool alle Managementsysteme, Risiken und Audits
Mit dem GRC Center sind Sie nicht nur für die Nachweispflichten der NIS-2-Richtline gewappnet, sondern auch für Auditierung Ihres ISMS (etwa nach ISO 27001), IMS, Qualitätsmanagementsystems (ISO 9001) oder zahlreiche andere (auch zukünftige) Normen und Regularien. Die Vorteile einer umfassenden Compliance liegen auf der Hand: Risiken und Organisationseinheiten werden an einer zentralen Stelle gepflegt. Über ein Berechtigungs- und Rollenkonzept werden Risiken, Maßnahmen, Kontrollen, Audits, Verträge, Notfallpläne, gesteuert, dokumentiert und kontinuierlich verbessert.
NIS-2-relevante Features im OMNITRACKER Governance, Risk and Compliance Center
- Integriertes Risikomanagement
- Rollenkonzept für Freigaben und Verantwortlichkeiten
- Multinorm-Fähigkeit (beliebige Compliance-Nachweise gebündelt in einem Tool)
- Dokumentenmanagement (Versionierung, Ablage, Freigabe, Abo-Funktion)
- Lieferantenmanagement (bei ausgelagerten NIS-2-relevanten Prozessen/Diensten)
- Aufbau eines ISMS (zertifizierbar nach ISO 27001)
- Zentrale Meldestelle
- Vorfallsmanagement (Compliance-Case-Management)
- Business-Continuity-Management (Notfall-Management)
- Maßnahmen- und Kontrollmanagement (inklusive Maßnahmenplänen)
- Auditmanagement (Auditplanung und -durchführung)
- Assetmanagement (Abhängigkeiten, Kategorisierung und Bewertung)
Umsetzungs-Knowhow der OMNINET bei Compliance-Projekten
Als Digitalisierungspartner bereiten wir Sie gerne auf die neue EU-Richtlinie vor, etwa in den Bereichen Lieferanten-, Asset-, Krisen-, Audit-, Dokumenten- und Risikomanagement sowie bei der Einrichtung eines Meldekanals oder bei der strukturierten, prozessbasierten Klärung von Verantwortlichkeiten und Zuständigkeiten. Wir unterstützen Sie gerne bei allen Phasen der Projektumsetzung von der Anforderungsanalyse über die Implementierung und technischem Consulting bis zum Go-live und der kontinuierlichen Pflege und Weiterentwicklung Ihres Systems.
Damit die Implementierung effizient und reibungslos abläuft, stehen wir Ihnen als erfahrener Consulting-Partner zur Seite. Wir kennen das einzusetzende Tool im Detail und verfügen über umfassendes Knowhow aller Prozesse der Softwareimplementierung.
In einem Workshop erarbeiten wir gemeinsam die individuellen Anforderungen Ihres OMNITRACKER-Systems. Anschließend dokumentieren wir die Ergebnisse systematisch im OMNITRACKER Requirements Management Center.
Wir übernehmen auch das Projektmanagement und -controlling. Unser standardisiertes und praxiserprobtes Vorgehensmodell ist sowohl für agile als auch für traditionelle Projektabwicklungen geeignet.
Nach der Definition der System- und Geschäftsprozesse setzen wir Ihre Anforderungen auf Basis von OMNITRACKER schnell und effizient um. Dabei sind auch komplexe und äußert individuelle Konfigurationen möglich.
Nach einer erfolgreichen und ausführlichen Testphase – und gegebenenfalls letzten Anpassungen – wird Ihre OMNITRACKER-Installation mit unserer Unterstützung in Betrieb genommen.
Auch nach dem Go-live stehen wir Ihnen weiterhin zur Seite und beantworten gern Ihre Fragen zum laufenden Betrieb, zu Änderungswünschen oder Performancesteigerungen.
Sprechen Sie uns für Verfügbarkeiten und offene Fragen zum Nachweis der NIS-2-Richtlinie gerne an.
Warum Sie sich für OMNITRACKER entscheiden sollten
|
|