In 5 Schritten optimal auf NIS2 vorbereitet

Sie sind von NIS2 betroffen, aber kämpfen noch mit der Umsetzung? Diese Checkliste hilft dabei, Ihre IT-Infrastruktur optimal vorzubereiten und keinen Punkt zu vergessen.

Eigentlich mussten Unternehmen NIS2 bis zum 17. Oktober 2024 umsetzen. Wie viele andere EU-Mitgliedsstaaten hat Deutschland diese Frist jedoch verpasst. Aktuell hängt das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) hierzulande noch im Gesetzgebungsverfahren. Der Bruch der Bundesregierung und die damit verbundenen Neuwahlen im Februar 2025 haben das gesamte Verfahren zusätzlich erschwert.

Trotz der bisherigen Verzögerungen könnte es in 2025 recht schnell gehen mit NIS2. Viele Unternehmen sind sich allerdings noch nicht ganz sicher, was das bedeutet. Sind sie von NIS2 überhaupt betroffen? Gibt es Fristen einzuhalten? Und was gilt es überhaupt zu tun, um das Gesetz umzusetzen?

Unsere Checkliste fasst alle wichtigen Punkte in 5 Schritten zusammen:

Betroffenheit prüfen und Fristen vormerken

Ihr Unternehmen wird NIS2 umsetzen müssen, wenn es die folgenden Kriterien erfüllt:

1. Unternehmensgröße:
   • Mehr als 50 Mitarbeitende und mehr als 10 Millionen Euro Jahresumsatz
   • Für besonders wichtige Einrichtungen: Mehr als 250 Beschäftigte oder mehr als 50 Millionen Euro Jahresumsatz

Als „besonders wichtige Einrichtungen“ gelten Unternehmen aus KRITIS-Bereichen wie Energie, Verkehr, Finanzwesen oder Gesundheit.

2. Betroffene Sektoren:
   • Energie
   • Verkehr
   • Finanzwesen
   • Gesundheit
   • Wasser
   • IT-Infrastruktur
   • Öffentliche Verwaltung
   • Neu hinzugekommen sind auch Lebensmittelproduktion und -handel, der Entsorgungssektor sowie Online-Marktplätze

3. Besondere Fälle:
   • Einige Organisationen sind unabhängig von ihrer Größe betroffen, z.B. wenn bei einem Ausfall Systemrisiken bestehen.
   • Auch indirekt betroffene Zulieferer und Dienstleister in der Lieferkette der regulierten Unternehmen fallen unter das NIS2UmsuCG.

Hinsichtlich der zu beachtenden Fristen gibt es bislang noch keine Informationen. Wir empfehlen betroffenen Unternehmen jedoch bereits jetzt ihre NIS2-Vorbereitungen in die Hand zu nehmen, damit sie bei Inkrafttreten des Gesetzes handlungsfähig sind.

Zudem müssen sich betroffene Unternehmen auch frühzeitig beim Bundesamt für Sicherheit in der Informationssicherheit (BSI) registrieren. Die Details dazu sind noch nicht festgelegt. Dennoch sollten Sie auch diesen Punkt im Blick behalten.

Risikomanagement etablieren

Das NIS2-Gesetz sieht unter anderem vor, dass Unternehmen ein Risikomanagement im Unternehmen etablieren müssen. Aus diesem sollen anschließend Cyber-Security-Maßnahmen abgeleitet werden.

Um diesen Vorgaben gerecht zu werden, sollten Firmen … 

• … eine umfassende IT-Risikoanalyse durchführen.
• … ein Informationssicherheitsmanagementsystem (ISMS) nach anerkannten Standards wie ISO 27001 etablieren.
• … Maßnahmen für Incident Management, Notfallkonzepte, Backup-Management und Disaster-Recovery erstellen.

Technische Sicherheitsmaßnahmen mittels modernem VPN umsetzen

Grundlage des NIS2UmsuCG sind in erster Linie erhöhte Sicherheitsanforderungen hinsichtlich Cybersecurity und Resilienz, die Unternehmen künftig erfüllen müssen. Um diesen aus IT-Sicht gerecht zu werden, gibt es einige Punkte, die das eigene Firmen-Security-Level erhöhen:

• Implementieren Sie leistungsfähige Schutzmechanismen wie Multi-Faktor-Authentifizierung (MFA) und sichern Sie Ihre Kommunikationskanäle ab. Dafür eignen sich z.B. leistungsfähige VPN-Lösungen, die mit MFA kompatibel sein müssen.
• Etablieren Sie ein effektives Schwachstellenmanagement mit regelmäßigen Scans, zeitnahen Patches und kontinuierlichen Updates. Um diese schnell und mit wenig Aufwand ausrollen zu können, bietet sich ebenfalls der Einsatz einer modernen VPN-Lösung mit zentraler Management-Komponente an.
• Setzen Sie auf starke Verschlüsselungstechnologien, sowohl für gespeicherte als auch für übertragene Daten (IPsec-Tunnel). Kommen Fernwartungslösungen zum Einsatz, sollten Sie ebenfalls auf sichere Verbindungen und strikte Zugriffskontrollen achten. Diese Maßnahmen müssen regelmäßig getestet und an neue Bedrohungsszenarien angepasst werden.

Organisatorische Maßnahmen einführen

Zur Umsetzung von NIS2 gehört auch, dass die eingeführten Maßnahmen stetig überprüft und verbessert werden. Dafür sind unter Umständen Anpassungen an Workflows und der Organisation innerhalb einer Firma notwendig.

• Legen Sie klare Verantwortlichkeiten für die Informationssicherheit und deren Teilbereiche fest. 
• Führen Sie regelmäßige Sicherheitsschulungen für Mitarbeiter und Geschäftsführer durch.
• Implementieren Sie ein Supply-Chain-Security-Management (Identifikation, Bewertung, Steuerung und Überwachung von Risiken in digitalen Lieferketten)

Compliance-Nachweise vorbereiten

Das NIS2UmsuCG ist ein fortlaufender Prozess, der nicht mit der initialen Umsetzung abgeschlossen ist. Vielmehr ist vorgesehen, dass Unternehmen alle Prozesse fortlaufend optimieren.

• Dokumentieren Sie daher alle umgesetzten Sicherheitsmaßnahmen sorgfältig.
• Bereiten Sie sich auf mögliche Audits oder Zertifizierungen vor.
• Etablieren Sie Prozesse für regelmäßige Wirksamkeitsprüfungen der Sicherheitsmaßnahmen.

Als Experten für sichere Datenübertragung liefert NCP mit den Next Gen VPN-Lösungen einen wichtigen Baustein für NIS2. So stärkt zeitgemäßes VPN nicht nur das generelle IT-Security-Niveau im Unternehmen, sondern minimiert Risiken für Informationssysteme und hilft bei der Prävention von Cybervorfällen. Zudem ermöglicht Next Gen VPN geschützte Kommunikation sowie abgesicherten Datenaustausch mit Lieferanten und Dienstleistern. Diese Punkte werden für die Erfüllung der NIS-2-Anforderungen vorausgesetzt.