Ab Oktober 2024 treten die beiden europäischen Richtlinien NIS2 (Cybersicherheit) und CER (physische Sicherheit kritischer Einrichtungen) auch in Deutschland in Kraft. Wir unterstützen betroffene Unternehmen bei der Analyse und Einhaltung ihrer Anforderungen.
Mit einer Betroffenheitsanalyse stellen wir zunächst fest, ob und in welcher Weise die Regulierung auf Ihr Unternehmen anzuwenden ist. Gemeinsam mit Ihnen entwickeln wir die technischen und organisatorischen Maßnahmen, die im neuen Rechtsrahmen nötig sind. Standbein dieser Compliance: ein umfassendes Risikomanagement.
Sie haben Interesse oder konkreten Bedarf an einem der aufgeführten Themen? Sprechen Sie uns an.
Wir bringen internationale Normen, Regulierungsvorschriften und branchenspezifische Vorgehensweisen in Einklang mit der Unternehmensrealität.
Wir nehmen schon am Gesetzgebungsprozess als Sachverständige und Interessenvertreter teil und beraten Verbände und Unternehmen bei Positionierung und Umsetzung.
Unser Team verfügt über Kenntnisse und persönlich nachgewiesene Fähigkeiten in allen relevanten Bereichen: Risiko-, Business-Continuity- und Informationssicherheitsmanagement, Datenschutz und die Umsetzung auf allen Ebenen in Organisation und Technik.
Informationssicherheit ist Sache der Geschäftsführung. Wir beraten die Unternehmensleitung und
ihre Organisation zur strategischen Implementierung von Cybersicherheit und der technischen Compliance.
Die im Januar 2023 in Kraft getretene NIS2-Richtlinie der Europäischen Union regelt die Anforderungen an die Cybersicherheit für Unternehmen in allen als kritisch betrachteten Sektoren. Sie unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen, die einer Regulierung ihrer Informationssicherheit, Risikomanagement und Meldepflichten unterliegen. Um die Resilienz der Einrichtungen zu gewährleisten, schreibt die Richtlinie verbindliche Maßnahmen vor:
Wie jede europäische Richtlinie muss auch die NIS2 per Gesetz in den deutschen Rechtsrahmen überführt werden. Die Frist dafür endet am 17. Oktober 2024. Bis dahin müssen Betreiber der betroffenen Einrichtungen mindestens bereit sein, die Einhaltung dieser Anforderungen nachzuweisen.
Die NIS2 wird als Cybersicherheitsrichtlinie flankiert von der CER-Richtlinie, die gleichzeitig in Kraft trat und ebenfalls zur Umsetzung - als "KRITIS-Dachgesetz" - in Deutschland ansteht. CER steht für "critical entities resilience" und bildet den Überbau für Sabotageschutz und physische Sicherheit kritischer Einrichtungen.
Während die NIS2 den Bereich der Cybersicherheit regelt, ist die "Critical Entities Resilience" (CER) das Herzstück der Reform für die Regulierung der physischen Sicherheit bei Anbietern kritischer Dienste. Sie regelt vor allem die Pflicht zur Einführung eines Risikomanagements mit einem "Allgefahrenansatz", also unter Einbeziehung aller Faktoren, die den fortlaufenden Betrieb gefährden könnten:
Zu diesen bereits erheblichen Erweiterungen und Verschärfung werden bestimmte Sektoren besonders eng geführt. Für Domain-Name-Services, Vertrauensdiensteanbieter und ähnlich "superkritische" Dienste zum Beispiel gelten noch strengere Regeln als für andere Bereiche.
Drei fundamentale Änderungen werden im Zuge der NIS2 für die betroffenen Unternehmen relevant:
Zu diesen bereits erheblichen Erweiterungen und Verschärfung werden bestimmte Sektoren besonders eng geführt. Für Domain-Name-Services, Vertrauensdiensteanbieter und ähnlich "superkritische" Dienste zum Beispiel gelten noch strengere Regeln als für andere Bereiche.
Wie bei bisher als KRITIS-Unternehmen eingestuften Betreibern auch gibt es mehrere zuständige Aufsichtsbehörden, die mit der Durchsetzung der Anforderungen und gegebenenfalls Bußgeldverfahren betraut sind. Dazu gehören je nach Sektor und Kritikalität:
Vom Erstgespräch bis zum fertigen Sicherheitskonzept stehen wir eng an Ihrer Seite und sorgen dafür, dass Sie mit einem geringen Gesamtaufwand gemäß der gesetzlichen Anforderungen bestens aufgestellt sind.
Kontaktieren Sie uns per Post, persönlich oder per E-Mail!