NIS-2

[Audio] Herzlich willkommen zu unserer Einführung in NIS 2. Wir schauen uns heute an, was hinter der Richtlinie steckt, wen sie betrifft und ganz wichtig für uns im Vertrieb, was das konkret das für unsere Kunden bedeutet und wie wir sie unterstützen..

[Audio] Zuerst zur Basis. NIS 2 ist eine EU- Richtlinie für mehr Cybersicherheit. Wichtig ist, die EU gibt den Rahmen vor, aber die Mitgliedstaaten müssen das in eigenes Recht umsetzen. In Deutschland ist das durch das NIS 2 Umsetzungsgesetz passiert, das seit dem 6. Dezember 2025 offiziell in Kraft ist. Seit diesem Stichtag gelten die gesetzlichen Pflichten für Unternehmen in Deutschland also verbindlich..

[Audio] Warum das Ganze? Die Angriffe werden häufiger und professioneller, da heute fast alle Unternehmen über digitale Lieferketten vernetzt sind, wird ein Problem bei einem Partner schnell zum Risiko für alle. Die EU will hier einfach einheitliche Standards schaffen, um die Wirtschaft insgesamt widerstandsfähiger zu machen..

[Audio] Das Gesetz trifft allein in Deutschland über 30000 Unternehmen. Sobald ein Unternehmen betroffen ist, muss es sich innerhalb von 3 Monaten beim BSI registrieren, aber mit der Anmeldung ist es nicht getan, die Anforderungen müssen wirksam umgesetzt und lückenlos dokumentiert werden. Ein zentraler Punkt, die Geschäftsführung ist persönlich in der Pflicht und hat eine gesetzliche Schulungspflicht im Bereich Risikomanagement..

[Audio] Wie gehen wir bei der Umsetzung vor? Zuerst klären wir die Betroffenheit durch eine Selbstidentifizierung, danach folgt die Registrierung beim BSI, im nächsten Schritt bewerten wir den ist stand, das sogenannte Gap Assessment, wir schauen, wo steht der Kunde und was fehlt noch zur Gesetzeskonformität. Auf dieser Basis priorisiert wir die Maßnahmen um und setzen diese dann um. So sorgen wir am Ende für eine nachweisfähige Dokumentation..

[Audio] Wer genau ist betroffen? Das Gesetz unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen, besonders wichtig sind beispielsweise Kritis, Betreiber oder große Firmen aus Sektoren wie Energie und Gesundheit. Wichtig sind viele mittelgroße Unternehmen mit mehr als 50 Mitarbeitern, zum Beispiel aus der Logistik, der Lebensmittelproduktion oder bei digitalen Diensten. Die Faustregel, wenn ein Ausfall spürbare Folgen für die Versorgung oder die Wirtschaft hätte, ist eine Betroffenheit sehr wahrscheinlich. Wer ist nun genau betroffen? Das Gesetz schaut vor allem auf Branchen, die für unser tägliches Leben unverzichtbar sind..

[Audio] Zum Beispiel die Energie und Wasserversorgung, also dort, wo buchstäblich das Licht ausgehen könnte. Oder den Sektor Gesundheit von Krankenhäusern bis zur Medikamentenherstellung. Es geht aber auch um die moderne Infrastruktur, digitale Dienste wie Cloud Anbieter, das Bankwesen oder der Transportsektor, der unsere Lieferketten am Laufen hält. Auch das verarbeitende Gewerbe, unsere klassische Industrie sowie die Lebensmittelproduktion sind jetzt im Fokus. Kurz gesagt, Wenn ein Ausfall spürbare Auswirkungen auf die Gesellschaft hätte, ist das Unternehmen wahrscheinlich dabei. NIS 2 verlangt von den Unternehmen ein ganzheitliches Sicherheitskonzept..

[Audio] Das fängt bei einer klaren Governance und festen Verantwortlichkeiten an und geht über ein strukturiertes Risikomanagement, bei dem man auch regelmäßig prüfen muss, ob die Maßnahmen überhaupt wirksam sind. Die Unternehmen müssen für den Ernstfall gerüstet sein, das bedeutet funktionierende Incident Response Prozesse für den Umgang mit Angriffen und ein Business Continuity Management, damit der Betrieb auch im Krisenfall weiterläuft. Dabei darf man nicht an der eigenen Firmentür aufhören. Auch die Lieferkette muss kontrolliert werden. Hinzu kommen Schulungen, um das gesamte Team und insbesondere die Geschäftsleitung zu sensibilisieren. Auf der technischen Seite werden Dinge wie Zugriffskontrollen, Verschlüsselung, Multifaktor, Authentifizierung und ein sauberes Schwachstellenmanagement zur Pflicht und ganz entscheidend, alles, wirklich alles muss dokumentiert und nachweisfähig sein. Zusätzlich gibt es klare administrative Pflichten. Die sofortige Registrierung beim BSI, sobald man betroffen ist, und die strikte Meldepflicht für erhebliche Sicherheitsvorfälle..

[Audio] Bei Verstößen drohen Bußgelder von bis zu 10.000.000€ oder 2% des weltweiten Jahresumsatzes. Das BSI kann Prüfungen anordnen und verbindliche Maßnahmen verlangen. Im Ausnahmefall sind sogar temporäre Tätigkeitsverbote für die Geschäftsleitung möglich. Das unterstreicht die Notwendigkeit für das Management, das Thema jetzt strukturiert anzugehen. Wir begleiten unsere Kunden als Partner durch den gesamten Prozess, von der ersten Unsicherheit bis zur fertigen Compliance..

[Audio] Das Ganze beginnt mit einer fundierten Orientierung zur Betroffenheit. Hier helfen wir den Unternehmen dabei, ihre Rolle im Rahmen der geforderten Selbstidentifizierung präzise zu bestimmen. Im nächsten Schritt führen wir detaillierte GAP- Assessments durch, da decken wir nicht nur Sicherheitslücken auf, sondern zeigen schwarz auf weiß, wo das Unternehmen im Vergleich zu den gesetzlichen Anforderungen heute steht. Auf dieser Basis begleiten wir dann die operative Umsetzung aller technischen und organisatorischen Maßnahmen. Wir lassen den Kunden bei der Implementierung also nicht allein. Unser Ziel ist es, dass am Ende jede Maßnahme nicht nur wirkt, sondern auch lückenlos und prüfbar dokumentiert ist. So machen wir unsere Kunden nicht nur technisch sicher, sondern nachhaltig Compliance ready und unterstützen die Geschäftsführung dabei, ihre persönlichen Sorgfaltspflichten rechtssicher zu erfüllen..