Die Europäische Union stärkt die Cybersecurity ihrer Mitgliedstaaten. Die NIS-2-Richtlinie (Network and Information Security) wurde am 27. Dezember 2022 von der EU veröffentlicht und trat am 16. Januar 2023 in Kraft. Als Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union hat die NIS-2-Richtlinie das Ziel, ein einheitliches Schutzniveau für Netzwerk und Informationssysteme kritischer Infrastrukturen zu schaffen. Die NIS-2 Richtlinie erweitert und definiert kritische Sektoren klarer als die vorherige NIS-Richtlinie von 2016. Sie musste bis zum Oktober 2024 in nationales Recht umgesetzt werden, was auch den Stichtag für die Umsetzung in Organisationen markiert. Aufgrund der Neuwahlen in Deutschland ist es jedoch nicht zur Veröffentlichung des Umsetzungsgesetzes gekommen, weswegen der genaue Termin noch aussteht, bis dahin gilt die europäische Richtlinie.

Mit der Ausweitung des Anwendungsbereichs auf zusätzliche Sektoren wird das Cybersicherheitsniveau der betroffenen Einrichtungen auf die Probe gestellt. Organisationen sind angehalten, bereits jetzt aktiv zu werden und ihre Betroffenheit sowie ihre Vorbereitungen für NIS-2 anhand der vorliegenden Richtlinie zu bewerten. Zusätzliche Regelungen für einzelne Sektoren (u.a. DORA für Finanzdienstleister sowie die Richtlinie über die Resilienz kritischer Einrichtungen (CER)) sind parallel in Vorbereitung und sollen zukünftig kohärent zusammenwirken.

Sie werden dabei unterstützt, angemessene und verhältnismäßige Maßnahmen zu ergreifen, die auf einem nachvollziehbaren Risikomanagement basieren. Diese Maßnahmen beruhen auf einem ganzheitlichen und bedrohungsorientierten Managementansatz, der darauf abzielt, Sicherheitsvorfälle zu vermeiden oder deren Auswirkungen zu minimieren.

KPMG-Ansatz

Unser Ansatz beginnt mit einer Analysephase, in der geprüft wird, welche regulatorischen Richtlinien für Ihr Unternehmen relevant sind. Darauf aufbauend wird ein Readiness Assessment in den identifizierten betroffenen Bereichen Ihrer Organisation durchgeführt. Auf dieser Grundlage werden die erforderlichen Maßnahmen festgelegt, um die Anforderungen, die an Ihre Organisation gestellt werden, erfolgreich zu erfüllen.

Unsere definierten Einzelmaßnahmenpakete umfassen wichtige Bereiche wie die Implementierung und Governance der Maßnahmen, die Zusammenarbeit mit Behörden inkl. der Melde- und Berichtspflichten und das regulatorische Monitoring. Zusätzlich werden Workshops und Schulungen zu NIS-2 und anderen, angrenzenden EU-Richtlinien im Bereich Cyber Security angeboten. Damit sichergestellt ist, dass Ihre Umsetzung den Anforderungen entspricht und Synergien genutzt werden.

Weiterhin haben Sie bei uns die Möglichkeit, einzelne Leistungspakete nach Bedarf in Anspruch zu nehmen. Sie haben die Möglichkeit, diejenigen auszuwählen, die am besten zu den spezifischen Anforderungen Ihrer Organisation passen.

Michael Falk

Dr. Michael Falk

Partner, Consulting, Cyber Security

KPMG AG Wirtschaftsprüfungsgesellschaft
+49 69 9587 3680 Dr. Michael Falk Telefonnummer
Wilhelm Dolle

Wilhelm Dolle

Partner, Consulting, Head of Cyber Security

KPMG AG Wirtschaftsprüfungsgesellschaft
+49 30 2068 2323 Wilhelm Dolle Telefonnummer
Angebotsanfrage (RfP) einreichen

NIS-2-Betroffenheitsanalyse

Die NIS-2-Betroffenheitsanalyse ermöglicht Organisationen, die Betroffenheitsart von NIS-2 zu ermitteln. Es werden Produkteigenschaften, Dienstleistungen und Kunden bewertet, um die Betroffenheit festzulegen. Basierend auf den Analyseergebnissen wird dann ein konkretes NIS-2 Scoping durchgeführt.

Eine Ersteinschätzung, ob und in welchem Umfang Ihre Organisation von der NIS-2-Richtlinie betroffen sein könnte, können Sie unter dem nachfolgenden Link erhalten. Diese Analyse dient als Ausgangspunkt, um die potenziellen Auswirkungen auf Ihre Organisation zu verstehen und erste Schritte zur Anpassung an die Anforderungen der Richtlinie zu planen.

Haftungsausschluss: Diese Analyse stellt keine endgültige Bewertung dar, sondern eine unverbindliche Ersteinschätzung. Es ist zu beachten, dass die Vorschriften der Mitgliedstaaten einen anderen Anwendungsbereich vorsehen können.

Fingerabdruck und digitale Strukturen
Ist Ihr Unternehmen von der NIS-2-Richtlinie betroffen?

Machen Sie unseren kostenlosen Quick-Check und finden Sie es heraus.

NIS-2 Readiness Assessment

Mithilfe des NIS-2 Readiness Assessments wird der aktuelle Status der regulatorisch geforderten Sicherheitsmaßnahmen bewertet und eine priorisierte Roadmap für mehr Sicherheit in Ihrer Organisation erarbeitet. Dabei wird das individuelle Cyberrisiko Ihrer Organisation, aktuelle Better Practices zur Umsetzung und die Nachhaltigkeit der eingeführten Maßnahmen berücksichtigt. Dabei wird sich am Stand der Technik orientiert und die Umsetzungsempfehlungen an die strategischen Ziele der Organisation angepasst.

NIS-2-Maßnahmenumsetzung

Auf Basis der Ergebnisse des Readiness Assessments ist es entscheidend, alle notwendigen Maßnahmen umzusetzen, um Compliance mit NIS-2 zu erreichen. Dies umfasst die Implementierung spezifischer Prozesse und technischer Maßnahmen (u.a. Asset Management, Supply Chain Management, Netzwerksicherheit), die den Anforderungen der Richtlinie entsprechen. Zur nachhaltigen und effizienten Umsetzung bietet sich die Integration eines GRC-Tools wie ServiceNow an. Damit können NIS-2-Anforderungen systematisch in bestehende Prozesse Ihrer Organisation eingebettet werden. Durch die Umsetzung wird sichergestellt, dass Ihre Organisation nicht nur die gesetzlichen Vorgaben erfüllt, sondern auch ihre Sicherheitsstandards verbessert und resilienter gegenüber Cyberangriffen wird.

NIS-2 Governance

Governance umfasst die Verwaltung und Überwachung von NIS-2 Maßnahmen sowie die kontinuierliche Überwachung und Bewertung des ISMSs. Es ist sicherzustellen, dass die vorhandenen Sicherheitskontrollen und -maßnahmen wie vorgesehen funktionieren und das gewünschte Schutzniveau bieten.​ Für Ihre Organisation werden dabei unterschiedliche Methoden wie zum Bespiel KPIs, interne Audites und Benchmarking basierend auf Best Practices erstellt.

Berichterstattung an die Behörden

Unser Angebot umfasst für Sie die Identifikation und Bewertung bestehender Sicherheitsvorfallprozesse sowie die Einbeziehung relevanter Akteure im Sicherheitsvorfallmanagement. Sie erhalten eine Analyse und Bewertung vorhandener Prozesse und einen maßgeschneiderten Berichterstattungsprozess. Dabei werden Kriterien zur Bewertung von Vorfällen festgelegt und ein Konzept zur Meldung von Informationssicherheitsvorfällen an die zuständigen Behörden erstellt.

Workshops und Schulungen für NIS-2

Mit unseren maßgeschneiderten Workshops und Schulungen, die speziell auf Ihre Bedürfnisse und unterschiedliche Zielgruppen (z.B. Aufsichtsräte) zugeschnitten sind, wird sichergestellt, dass die Teilnehmer:innen das erforderliche Wissen erhalten, um NIS-2 effektiv in ihren jeweiligen Bereichen umzusetzen.

In diesen Schulungen erhalten Sie ein allgemeines Verständnis der NIS-2 Richtlinie, Prinzipien des Risikomanagement im Kontext der NIS-2 Richtlinie sowie praktische Tipps, Tricks, Pflichten und Verantwortlichkeiten Ihrer Organisation.

NIS-2 Regulatory Monitoring

Es wird Ihnen geholfen, sich auf die unterschiedlichen regulatorischen Anforderungen vorzubereiten. Dafür werden die für Ihre Organisation relevanten Länder identifiziert, nationale Vorschriften im Hinblick auf NIS-2 sowie die behördliche Praxis analysiert und darauf basierend ein regulatorisches Inventar erstellt. Die nationalen Umsetzungsanforderungen der NIS-2-Richtlinie werden kontinuierlich auf regulatorische Änderungen überwacht. Zudem wird eine Überwachung weiterer Cyber-Security-Regulatorik angeboten, darunter CRA, DORA und der KI Act.

Ihre Vorteile

  • Identifizierung des Betroffenheitsgrades in verschiedenen Bereichen Ihrer Organisation sowie die konkrete Erfassung Ihrer direkten und indirekten Betroffenheit.

  • Erkenntnisse über den aktuellen Stand und notwendige Schritte zur Verbesserung der Cybersicherheit in Ihrer Organisation.

  • NIS-2-Implementierung und Aufbau nachhaltiger Governance-Strukturen zur Umsetzung und Steuerung der Compliance erforderlichen Anforderungen.

  • Erfüllung der gesetzlichen Verpflichtungen und effektive Reaktion auf Vorfälle und Krisen zur Gewährleistung der Netzwerk- und Informationssicherheit.

  • Integration spezifischer nationaler regulatorischer Vorschriften und behördlicher Praktiken.

Jetzt mehr erfahren

NIS-2: Für ein höheres Sicherheitsniveau in Deutschland

Jetzt Publikation herunterladen

Opens in a new window

   

Weitere interessante Inhalte für Sie

nis 2 klardenker
NIS-2: Neue Cybersecurity-Pflichten für die Logistikbranche

Wie Unternehmen ihre Lieferketten vor Hackerangriffen schützen können.

Mann auf Aussichtspunkt über Hong Kong
Cyber Security in der EU: NIS-2-Richtlinie erhöht Sicherheitsniveau

NIS-2-Richtlinie erhöht gemeinsames Cyber-Security-Niveau aller EU-Mitgliedsstaaten.

Abstract
Advisory category
Cyber Risk Quantification

Minimieren von Cyberrisiken mit optimiertem Kosten-Nutzen-Verhältnis

Schloss auf Tastatur
Advisory category
Industrial Internet of Things (IIoT)

Wie Sie das Internet der Dinge in der Industrie sicher meistern.