Unser NIS2-Ansatz & Compliance

Unser NIS2-Ansatz & Compliance

Die neue europäische NIS2-Richtlinie stellt strengere Anforderungen an die Cybersicherheit in kritischen Sektoren und bei digitalen Dienstleistern. Wir unterstützen diese Entwicklung voll und ganz. Unser Ansatz kombiniert NIS2 mit anerkannten Standards wie ISO/IEC 27001 und IEC 62443-4. Nicht nur, um gesetzliche Vorgaben zu erfüllen, sondern um unsere Organisation, Lieferkette und Kunden widerstandsfähiger zu machen.

Unsere Position

Wir fallen unter die Kategorie Wesentliche / Wichtige Einrichtung gemäß NIS2. Diese Klassifizierung bringt klare Verpflichtungen mit sich. Darauf sind wir vorbereitet. Wir sehen NIS2 nicht als Belastung, sondern als Chance, unsere Cybersicherheit strukturell zu stärken. Durch die Kombination mit dem risikobasierten Ansatz der ISO 27001 und der technischen Tiefe der IEC 62443-4 schaffen wir eine starke und zukunftssichere Grundlage.

So gewährleisten wir die Einhaltung

Unser Cybersicherheitsansatz basiert auf drei Säulen:

  • NIS2: Gesetzgebung und Verpflichtungen bezüglich Risikomanagement, Incident-Meldung und Lieferkettensicherheit.
  • ISO/IEC 27001: Ein zertifiziertes Informationssicherheits-Managementsystem, das kontinuierliches Risikomanagement und Verbesserungen gewährleistet.
  • IEC 62443-4: Industriestandard für Cybersicherheit in OT-Umgebungen (Operational Technology).

Konkret bedeutet das:

  1. Risikomanagement und Governance
    Unsere Informationssicherheit ist ISO 27001-zertifiziert. Risiken werden regelmäßig bewertet und angegangen. Cybersicherheit unterliegt der Managementebene und ist Teil unseres umfassenderen Risikomanagements.
  2. Sichere Entwicklung und Systeme
    Für unsere OT-Umgebungen folgen wir IEC 62443-4-1 (Secure Development) und 62443-4-2 (System-Sicherheit). Sicherheit ist von Anfang an Teil des Designs.
  3. Incident-Erkennung und -Meldung
    Wir verfügen über eine 24/7-Überwachung und klare Reaktionsverfahren. Wir erfüllen die Meldepflicht der NIS2 und testen unsere Prozesse regelmäßig mit realistischen Szenarien.
  4. Sicherheit der Lieferkette
    Lieferanten und Partner werden auf ihr Sicherheitsniveau geprüft. Wir wenden Anforderungen an, die auf ISO 27001 und – wo relevant – IEC 62443 basieren.
  5. Kontinuität und Wiederherstellung
    Wir verfügen über Pläne für Business Continuity und Recovery, die regelmäßig getestet werden. Diese sind auf ISO 27001 abgestimmt und an OT-Risiken angepasst.
  6. Technische Sicherheitsmaßnahmen
    Wir setzen starke Authentifizierung, Segmentierung, Verschlüsselung und Monitoring ein. Alles ist auf ISO 27001 und IEC 62443-4-2 abgestimmt und wird regelmäßig kontrolliert.
  7. Bewusstsein und Schulung
    Jeder in der Organisation spielt eine Rolle bei der Cybersicherheit. Wir führen strukturelle Schulungen und spezifische Sitzungen für IT- und OT-Teams durch.
  8. Audit und Verbesserung
    Wir dokumentieren alles sorgfältig und sind jederzeit auditbereit. Unser Ansatz ist auf kontinuierliche Verbesserung ausgerichtet, nicht nur auf die minimale Einhaltung von Vorschriften.

Ausblick

Cybersicherheit ist eine strategische Priorität. Durch die Arbeit nach NIS2, ISO 27001 und IEC 62443-4 stellen wir nicht nur sicher, dass wir die Regeln einhalten – wir stärken aktiv die Widerstandsfähigkeit unserer Organisation.
Das ist kein Kostenfaktor, sondern eine Investition in Stabilität, Kontinuität und Vertrauen.

NIS2 steht für die „Network and Information Security Directive 2“, eine europäische Richtlinie, die 2022 verabschiedet wurde und auf der ursprünglichen NIS-Richtlinie von 2016 aufbaut. Ziel von NIS2 ist es, die Cybersicherheit und operationelle Resilienz wesentlicher und wichtiger Sektoren innerhalb der EU zu verbessern. Dies ist besonders wichtig angesichts der zunehmenden Bedrohung durch Cyberangriffe.

  1. Größerer Anwendungsbereich: Die Richtlinie gilt nicht nur für kritische Infrastrukturen wie Energie-, Transport- und Gesundheitssektoren, sondern auch für viele weitere „wichtige“ Sektoren wie digitale Infrastruktur, Abfallwirtschaft, Lebensmittelproduktion und sogar öffentliche Dienste.
  2. Strengere Sicherheitsanforderungen: Organisationen, die unter NIS2 fallen, müssen strengere Anforderungen in Bezug auf Risikomanagement, Sicherheitsmaßnahmen, Incident-Reporting und Lieferkettensicherheit erfüllen.
  3. Aufsicht und Durchsetzung: Mitgliedstaaten müssen Aufsichtsbehörden benennen, um die Einhaltung von NIS2 zu kontrollieren, und bei Nichteinhaltung können Bußgelder verhängt werden.
  4. Harmonisierung innerhalb der EU: NIS2 sorgt für einheitlichere Regeln in allen EU-Ländern, wodurch die Unterschiede bei den Sicherheitsanforderungen zwischen den Ländern verringert werden.
  5. Meldepflichten: Organisationen müssen Cybervorfälle innerhalb einer bestimmten Frist melden (z. B. eine erste Benachrichtigung innerhalb von 24 Stunden), um eine schnelle Reaktion zu ermöglichen.

Die EU-Mitgliedstaaten müssen NIS2 bis Oktober 2024 in nationales Recht umsetzen, sodass Organisationen in relevanten Sektoren bis dahin Zeit haben, sich vorzubereiten.

Weitere Informationen zu NIS2 finden Sie beim NCSC