top of page

Countdown zur Compliance für NIS2

  • klauskilvinger
  • May 14
  • 3 min read

Updated: 2 days ago

Der Weg zur NIS2-Konformität beginnt nicht erst morgen, denn für NIS 2 hat für manche Branchen heute schon Handlungsbedarf nach der Durchführungsverordnung 2024/2690.


Zwar ist die NIS2-Richtlinie noch nicht in Kraft in Deutschland, aber es gibt in der Richtlinie von Beginn an eine am Risiko orientierte 2-Klassen-Gesellschaft.


Für den Großteil der Unternehmen gelten die - vergleichsweise lockeren - Anforderungen der Richtlinie, für spezielle Branchen hat die EU jedoch heute schon strengere Anforderungen erlassen, die in der Durchführungsverordnung (DVO) der EU zur NIS-2-Richtlinie mit Nummer 2024/2690 definiert sind.

Die darin festgelegten technischen und organisatorischen Anforderungen bilden den Mindeststandard.


Branchen

Folgende Branchen sind betroffen von der DVO 2024/2690:

  • DNS-Diensteanbieter

  • TLD-Namenregister

  • Anbieter von Cloud-Computing-Diensten

  • Anbieter von Rechenzentrumsdiensten

  • Betreiber von Inhaltszustellnetzen

  • Anbieter verwalteter Dienste (MSP)

  • Anbieter verwalteter Sicherheitsdienste (MSSP)

  • Anbieter von Online-Marktplätzen

  • Online-Suchmaschinen

  • Plattformen für Dienste sozialer Netzwerke

  • Vertrauensdiensteanbieter


Alle anderen Sektoren sind nicht von der DVO 2024/2690 betroffen.


Mindestanforderungen

Die Durchführungsverordnung formuliert und präzisiert Mindestanforderungen für den von den betreffenden Einrichtungen einzuführenden Risikomanagementrahmen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu ermitteln und anzugehen, zudem verlangt sie von den betroffenen Organisationen, diesen Rahmen aufrechtzuerhalten.


Außerdem wird konkretisiert, welche Sicherheitsvorfälle je Unternehmensgruppe nach Artikel 23 der NIS-2-Richtlinie als "erheblich" gelten.


Die gute Nachricht

Die technischen und methodischen Risikomanagementmaßnahmen im Bereich der Cybersicherheit orientieren sich an internationalen Normen wie ISO/IEC 27001 und anderen bekannten Standards (siehe Erwägungsgrund 3).


Ein Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 bietet somit eine strukturierte Grundlage, um die Anforderungen der Verordnung systematisch umzusetzen. Es ermöglicht die Identifikation, Bewertung und Behandlung von Risiken sowie die Implementierung geeigneter Sicherheitsmaßnahmen.


Das System einzuführen, dauert aber minimal 3 Monate, falls eine gute ISMS-Software verwendet werden kann, dass schon Richtlinien, Notfallstrukturen usw. mitbringt. Wenn aber manuell mit Dokumenten in Word und Excel gearbeitet werden muss, die erst noch zu erstellen sind, dauert es deutlich länger.


Empfehlungen zur Umsetzung

Betroffene Unternehmen sollten sich bereits jetzt an den Vorgaben der DVO orientieren und ihre Maßnahmen vorbereiten, denn die Anforderungen sind weitaus strenger als die die allgemeinen NIS2-Anforderungen und kosten Zeit. Hier eine kurze Liste für die ersten Schritte:


  • Implementieren Sie ein ISMS gemäß ISO 27001, um die Anforderungen der Verordnung systematisch zu erfüllen.

  • Führen Sie regelmäßige Risikobewertungen durch und dokumentieren Sie die Behandlung identifizierter Risiken.

  • Halten Sie alle Prozesse, Maßnahmen und Entscheidungen nachvollziehbar fest, um die Einhaltung der Verordnung gegenüber Aufsichtsbehörden nachweisen zu können.

  • Schulen Sie Mitarbeiter regelmäßig zu Sicherheitsrichtlinien und -verfahren, um ein hohes Sicherheitsbewusstsein zu fördern.

  • Nutzen Sie interne Audits und Management-Reviews, um das ISMS kontinuierlich zu verbessern und an neue Bedrohungen anzupassen.


Engpass Zeit

Wer jetzt noch wartet, setzt sich selbst später unnötig unter Druck. Denn die Einführung eines ISMS nach ISO 27001 ist zeitintensiv, weil sie eine gründliche Bestandsaufnahme der relevanten Bereiche, Strukturierte Asset- und Risikoanalysen, den Aufbau einer Sicherheitsorganisation, die Definition und Umsetzung von Schutzmaßnahmen sowie Dokumentation von Richtlinien, Verfahren und Nachweisen verlangt. Die Entwicklung individueller Lösungen, Schulungen braucht Zeit und erfordert technische und organisatorische Umsetzungen sowie mehrere Prüf- und Verbesserungszyklen. Der Zeitaufwand hängt stark von der Unternehmensgröße, der Komplexität und dem vorhandenen Reifegrad der Informationssicherheit ab.


Früh starten lohnt sich

Ein ISMS nach ISO 27001 ist mehr als nur ein Zertifikat – es ist ein wirksames Managementsystem, das Unternehmen resilienter, vertrauenswürdiger und wettbewerbsfähiger macht. Es schützt nicht nur Daten, sondern auch den Ruf und die Zukunftsfähigkeit des Unternehmens.


Die DVO 2024/2690 ist bekannt, die relevanten Normen sind im Markt eingeführt, also machen Sie keinen Fehler, die Anforderungen heute schon umzusetzen und investieren in die richtigen Ziele.

Die Komplexität des ISMS hat einen langfristigen Projektcharakter und braucht Zeit.

Sie haben keine Ressourcenkonkurrenz für externe Berater, Prüfer oder interne Teams und können ohne Zeitdruck mehr auf Qualität achten.

Sie werden unabhängig von gesetzlichen Fristen und können den Budgetrahmen zeitlich strecken.

Reputations- & Haftungsrisiken werden damit frühzeitig vermieden und dies schützt das Unternehmen, aber auch das Management vor Haftungsrisiken.

 
 
bottom of page