In der neuen Folge des syracom-Podcasts „Security first – Kaffee zweitens“ dreht sich alles um ein Thema, das derzeit tausende Unternehmen vor große Herausforderungen stellt: NIS-2. Die EU-Richtlinie zur Erhöhung der Cybersicherheit löst nicht nur die bisherige NIS-1-Regulierung ab, sondern verschärft die Anforderungen in nahezu allen Bereichen. Genau das nehmen Marius Dreixler und Tino Müller von syracom gemeinsam mit ihrem Gast Andreas Grau von Consileon kritisch unter die Lupe.
Unter dem Titel „NIS-2: Pflicht, Panik, Paragraphen – Was die EU-Richtlinie wirklich bedeutet“ bietet die Folge einen praxisnahen Überblick: Was ändert sich konkret? Wen betrifft die neue Regulierung? Und welche organisatorischen, technischen und rechtlichen Schritte müssen Unternehmen jetzt einleiten, um rechtzeitig compliant zu sein?
Während NIS-1 vor allem klassische KRITIS-Betreiber adressierte, erweitert NIS-2 den Anwendungsbereich erheblich. Neu im Fokus stehen sogenannte „wichtige“ und „besonders wichtige“ Einrichtungen – darunter Unternehmen, die keine kritischen Anlagen betreiben, aber dennoch essenziell für Wirtschaft und Gesellschaft sind. In Deutschland betrifft dies bis zu 30.000 Organisationen, die sich erstmals systematisch mit Cybersicherheits- und Compliance-Auflagen auseinandersetzen müssen.
Für Compliance-Verantwortliche, Risk Manager und CISOs steigt damit der Druck: Risikomanagement, Governance, Dokumentationspflichten und Meldewege müssen neu bewertet und teilweise komplett neu aufgebaut werden. Zudem werden die Geschäftsleitungen stärker in die Verantwortung genommen, und die Sanktionen bei Verstößen fallen deutlich härter aus als bisher.
• Was regelt NIS-2 konkret und worin unterscheidet sich die Richtlinie von NIS-1?
• Welche Unternehmen fallen unter den neuen Anwendungsbereich?
• Welche Pflichten resultieren daraus für Geschäftsleitung, IT, Risk Management und Compliance?
• Was sind die wichtigsten ersten Schritte auf dem Weg zur Umsetzung?
• Welche Chancen ergeben sich aus den strengeren Standards für Cyberresilienz, Geschäftskontinuität und Sicherheitskultur?
Die Podcastfolge eignet sich sowohl für Einsteiger als auch für Fachverantwortliche, die tiefer in Governance, Risk und Compliance eintauchen wollen.
Die Integration der NIS-2-Vorgaben in gewachsene IT- und Prozesslandschaften ist komplex. Alte Systeme, fehlende Dokumentation und organisatorische Silos erschweren die Umsetzung erheblich. NIS-2 verlangt zudem deutlich mehr als nur technische Maßnahmen. Prozesse müssen nachvollziehbar beschrieben, Kontrollen sauber dokumentiert und regelmäßige Aktualisierungen sichergestellt werden – eine Herausforderung, die nur mit enger Zusammenarbeit zwischen IT, Compliance, Risiko und Fachbereichen zu bewältigen ist.
Genau an dieser Stelle setzt Consileon an: Mit strukturierten Roadmaps, KI-gestützter Dokumentenanalyse und Best Practices aus zahlreichen Projekten unterstützen wir Unternehmen dabei, NIS-2 nicht nur formal, sondern strategisch sinnvoll umzusetzen.
Wir unterstützen Sie dabei, Ihre Betroffenheit korrekt einzuordnen, notwendige Maßnahmen zu priorisieren und eine effiziente, nachhaltige Sicherheitsstrategie aufzubauen. Sprechen Sie uns gerne an und klären Sie mit unseren Expertinnen und Experten, welche konkreten Schritte für Ihre Organisation jetzt relevant sind.
Seit Anfang 2023 ist die EU-Richtlinie NIS-2 in Kraft und soll noch 2025 in deutsches Recht umgesetzt werden. Damit löst sie die bisherige NIS-Richtlinie ab und erweitert den Kreis der betroffenen Unternehmen maßgeblich. Während bislang vorwiegend klassische Betreiber kritischer Infrastrukturen betroffen waren, sind mit NIS-2 plötzlich tausende weitere Unternehmen verpflichtet, ihre Informationssicherheit aufzurüsten. Auch die Sicherheitsanforderungen, Strafen und Meldepflichten wurden verschärft und die Geschäftsleitung wurde stärker in die Verantwortung gezogen.
Die Richtlinie geht nicht mit einer festen Liste an Maßnahmen einher, sondern definiert Schutzziele, die einzuhalten sind. Unternehmen müssen eine angemessene Risikobewertung durchführen und die relevanten Bereiche mit geeigneten Maßnahmen adressieren. Dazu gehören in der Regel:
Die Umsetzung mag komplex wirken, ist aber mit einer strukturierten Vorgehensweise und einer angemessenen Definition des Projektumfangs durchaus zu bewältigen. Wesentliche Fragen auf diesem Weg sind:
Consileon begleitet Sie auf diesem Weg und unterstützt Sie bei der Umsetzung der NIS-2-Anforderungen in praxisnahe Maßnahmen. Wichtig ist es, früh anzufangen, denn die Einführung erfordert Zeit, Ressourcen und die Absprache mit internen und externen Akteuren. Dann gelingt nicht nur die Compliance, sondern Ihr Unternehmen gewinnt auch nachhaltig an Widerstandsfähigkeit und kann sich als zuverlässiger und zukunftsorientierter Partner positionieren.