NIS-2

EU Direktive für die Sicherheit von Netzwerk und Informations-Systemen

DIRECTIVE (EU) 2022/2555

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit der Informationstechnik von Einrichtungen

(BSI-Gesetz – BSIG)

Was müssen Sie tun, was wird gefordert? Melden Sie sich gerne bei mir, um über Ihre Situation zu sprechen.

Hier geht’s zum Kontaktformular

Kontaktformular

Ist Ihr Unternehmen betroffen?

ca. 25.000 bis 30.000 fallen unter folgenden Kategorien und müssen sich vorbereiten, bis zum 17. Oktober 2024 diese Richtlinie zu erfüllen! Sie sind aufgefordert Maßnahmen zur Cybersicherheit und physischen Sicherheit zu implementieren und haften dafür.

und hinzu kommt...

Resilienz kritischer Einrichtungen

RICHTLINIE (EU) 2022/2557

Ist Ihr Unternehmen betroffen?

Falls ja, müssen Sie auch bis zum 17. Oktober 2024 ein Business Continuity Management System (BCM) zu implementieren!

Kritische und wichtige Sektoren und Unternehmenskategorien

NIS-2 (Anhang I)

Sektoren mit hoher Kritikalität


  1. Energie:
  2. Elektrizität / Stromversorgung
  3. Fernwärme und -kälteversorgung
  4. Erdöl
  5. Gasversorgung,
  6. Wasserstoff
  7. Verkehr: (Transport)
  8. Luftverkehr
  9. Schienenverkehr
  10. Schifffahrt
  11. Straßenverkehr, öffentlicher Verkehr
  12. Bankenwesen
  13. Finanzmarktinfrastrukturen
  14. Gesundheitswesen
  15. Dienstleister
  16. Laboratorien
  17. Forschung und Entwicklung von Arzneimittel
  18. Pharmazeutische Erzeugnisse
  19. Hersteller kritischer Medizinprodukte
  20. Trinkwasserversorgung
  21. Abwasserentsorgung
  22. Digitale Infrastruktur (IT, DNS, Cloud, Namensregister…)
  23. Verwaltung von IKT Diensten (B2B)
  24. Öffentliche Verwaltung
  25. Weltraum

NIS-2 (Anhang II)

Sonstige kritische Sektoren


  1. Post und Kurierdienste
  2. Abfallwirtschaft
  3. Produktion, Herstellung und Handel mit chemischen Stoffen
  4. Produktion, Herstellung und Handel mit chemischen Stoffen
  5. Verarbeitendes Gewerbe/Herstellung von Waren
  6. Herstellung von Medizinprodukten und In-vitro-Diagnostika
  7. Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
  8. Herstellung von elektrischen Ausrüstungen
  9. Maschinenbau
  10. Herstellung von Kraftwagen und Kraftwagenteilen
  11. Sonstiger Fahrzeugbau
  12. Anbieter digitaler Dienste
  13. Forschungseinrichtungen

Resilienz BCM (Anhang)

Sektoren / Kategorien von Einrichtungen


  1. Energie:
  2. Elektrizität / Stromversorgung
  3. Fernwärme und -Kälteversorgung
  4. Erdöl, Kraftstoff- und Heizölversorgung
  5. Gasversorgung, Wasserstoff
  6. Verkehr: (Transport)
  7. Luftverkehr
  8. Schienenverkehr
  9. Schifffahrt
  10. Straßenverkehr, öffentlicher Verkehr
  11. Bankenwesen
  12. Finanzmarktinfrastrukturen
  13. Gesundheitswesen
  14. Dienstleister
  15. Laboratorien
  16. Pharmazeutische Erzeugnisse (NACE, rev2)
  17. Hersteller kritischer Medizinprodukte
  18. Großhandel
  19. Trinkwasserversorgung
  20. Abwasserentsorgung
  21. Digitale Infrastruktur
  22. Öffentliche Verwaltung
  23. Weltraum
  24. Produktion, Verarbeitung und Vertrieb von Lebensmitteln

gilt für große Unternehmen


> 250 Beschäftigte Mitarbeiter

>50 Mio. Euro Umsatz

> 43 Mio. Euro Jahresbilanz

gilt für mittlere Unternehmen


>50-249 Beschäftigte Mitarbeiter

>10-50 Mio. Euro Umsatz

>10-43 Mio. Euro Jahresbilanz

gilt auch für kleine Unternehmen die... kritische Tätigkeiten ausüben, mit Auswirkungen auf die öffentliche Sicherheit, mit Systemrisiken, oder welche grenzüberschreitende Auswirkungen haben können.

Bereiten Sie sich rechtzeitig vor!

Bleiben Sie am Markt bestehen!

Sichern Sie ihren Vorteil gegenüber dem Wettbewerb!

Maximieren Sie die Sicherheit für Sie und Ihre Partner gegen mögliche Cyber Angriffe!

Was müssen Sie tun, was wird gefordert?

Anforderungen an die Leitungsorgane (gemäß dem Diskussionspapier BSI zur NIS-2, siehe unten links in Buttons)


  • Die oberste Leitung ist zur Einhaltung und Überwachung der ergriffenen Risikomanagement Maßnahmen im Bereich Cybersicherheit verpflichtet.


  • Die oberste Leitung ist verantwortlich!
  • Wichtiger Hinweis: Gem. des Entwurfs des Bundesinnenministeriums werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit Ihrem Privatvermögen haften. Die Obergrenze für diese Haftung entspricht 2 % des globalen Jahresumsatzes des Unternehmens.


  • Die oberste Leitung muss an Schulungen teilnehmen und muss allen Mitarbeitern regelmäßig entsprechende Schulungen anbieten!


  • "In einem Szenario eines Cyberangriffs kann die höchste Führungsebene vorübergehend von behördlichen Vertretern übernommen werden, falls diese nicht effektiv handelt."


Meldepflichten und Meldewesen


  • Innerhalb 24 h: Erstmeldung:
  • wenn schon der Verdacht auf einen Sicherheitsvorfall besteht, muss dies an den BSI innerhalb von 24 h nach Kenntnis eines Sicherheitsvorfalls gemeldet werden (§ 33)
  • Die Erstmeldung sollte nur die Informationen enthalten, die unbedingt erforderlich sind, um die zuständige Behörde über den Sicherheitsvorfall zu unterrichten und es der kritischen Einrichtung zu ermöglichen, bei Bedarf Hilfe in Anspruch zu nehmen. In einer solchen Meldung sollte, soweit möglich, die mutmaßliche Ursache des Sicherheitsvorfalls angegeben werden


  • Innerhalb 72 h: Die Erste Bewertung des Sicherheitsvorfalls muss gemeldet werden mit Schweregrad, Auswirkungen, und Indicators of Compromise (IoC)


  • Abschlussbericht innerhalb 1 Monats nach der Erstmeldung:
  • Es muss spätestens einen Monat später ein Abschlussbericht abgegeben werden, mit Informationen zur Bedrohung, Ursachenanalyse und Gegenmaßnahmen.
  • Nach der Erstmeldung sollte gegebenenfalls spätestens einen Monat nach dem Sicherheitsvorfall ein ausführlicher Bericht folgen. Der ausführliche Bericht sollte die ursprüngliche Meldung ergänzen und einen vollständigeren Überblick über den Sicherheitsvorfall bieten.


weitere Anforderungen / Aufgaben...

  • Registrierung beim BSI,
  • Kontaktaufnahme, Beratung mit BSI und Berufsverband, Spartenverband, Interessensverbänden,
  • Geltungsbereich und Zielsetzung definieren,
  • Branchenziele, Versorgungsziele, Schutzziele, Aufrechterhaltungsziele, Cyber-Sicherheitsziele, Resilienz-Ziele
  • Asset Mgmt. sicherstellen, Assets erfassen Schutzbedarfe ermitteln,
  • Risikomanagement, und Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß-nahmen im Bereich der Cybersicherheit,
  • Bewältigung von Sicherheitsvorfällen sicherstellen,
  • Aufrechterhaltung des Betriebs: Krisenmanagement, Notfallmanagement, Wiederherstellung, Wiederanlauf, Backups...
  • Supply Chain: Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  • Beschaffung: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  • Schulungen und Awareness: Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  • Einsatz von Kryptografie und Verschlüsselung,
  • System zur Angriffserkennung etablieren,
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
  • Multi-Faktor-Authentifizierung etablieren,
  • Spartenspezifische weitere Forderungen integrieren & kombinieren (KRITIS, DORA, BAFIN, Sozialgesetzbuch...)


Was müssen Sie tun, was wird gefordert? Melden Sie sich gerne bei mir, um über Ihre Situation zu sprechen.

Hier geht’s zum Kontaktformular

Kontaktformular

Der einfache übersichtliche transparente Weg - lassen Sie uns darüber sprechen:

Die IEC/ISO 27001 und die ISO 22301 bieten hervorragende Ausgangspunkte

Ich begleite Sie, vom ersten Schritt an, mittendrinn, wenn Sie wünschen bis zur Zertifizierung, es ist kompliziert aber es kann einfach werden wenn der Rote Faden vorliegt, z.B.

  • Handlungsbedarf festlegen
  • Ziele und Akzeptanzkriterien festlegen
  • Scope / Geltungsbereich festlegen
  • Interessierte Parteien und Anforderungen definieren
  • Ist-Soll Vergleich / Gap Analyse / Dokumentenprüfung / Internes Audit
  • Liste der zu erarbeitenden Ergebnisse definieren
  • Projekt definieren
  • Projektorganigramm / Projekt Mitarbeiter festlegen
  • Kommunikationswege festlegen
  • Begriffe definieren
  • ISMS Basics festlegen, erarbeiten und definieren
  • ISMS Leitlinie definieren, ISMS Rollen definieren
  • Firmenorganisation / Kontext definieren
  • ISMS Organisation, ISB, ISK, ISM, DSB
  • Informations-Sicherheit Anforderungen
  • Projekt Anforderungen / Projekt Management
  • Dienstleister / Lieferantenmanagement
  • Asset Management
  • Risiko Management
  • Prozessüberwachung / Monitoring
  • Incident Mgmt / Problem Management / Playbooks / Event Management
  • Schwachstellen Management / Patch Management / End Point Detection
  • Personalführung / Schulungskonzept / ISMS vom Recruiting bis zur Trennung
  • Physische Sicherheit
  • IT Sicherheit / Cyber Security / Security Operations Center (SOC)
  • Identity and Access Management
  • Operations-Security / Betrieb / Produktion / Entwicklung / OT
  • Business Continuity Management
  • Ihre Verpflichtung / Ihr Versorgungsauftrag / Ihr Handlungsbedarf
  • Business Impakt Analysen
  • Notfallpläne / Testpläne
  • Backupstrategien / Wiederherstellungsstrategien / Wiederanlaufpläne
  • Datenschutz, DSGVO, AVZ
  • Erarbeitung der Ergebnis-Dokumente (Vorgaben, Nachweise, Schulungen, Kommunikation, Arbeitsanweisungen, Mapping auf Normative Anforderungen, Übersicht für Audits)
  • Begleitung bis hin zum Audit wenn gewünscht
  • Lessons learned und Übergabe


Basierend auf der ISO/IEC 27001 und EN ISO 22301

Was müssen Sie tun, was wird gefordert? Melden Sie sich gerne bei mir, um über Ihre Situation zu sprechen.

Hier geht’s zum Kontaktformular

Kontaktformular
Share by: