Ihr Unternehmen muss die NIS2-Richtlinie einhalten? Effektives Schwachstellenmanagement, das Schwachstellenscans und Penetrationstests umfasst, ist ein wichtiger Bestandteil. Wir helfen Ihnen dabei, die Anforderungen zu erfüllen.
Compliance-Anforderungen verstehen und umsetzen
NIS2 steht für "Netz- und Informationssystemsicherheitsrichtlinie 2" und ist eine EU-Richtlinie, die die Sicherheit von Netz- und Informationssystemen in der EU verbessern soll. Mit der zweiten Iteration schlägt die Richtlinie große Wellen, da sie viele Unternehmen betrifft. Die Richtlinie zwingt Unternehmen dazu, Ihre IT-Sicherheit zu bewerten und gegebenenfalls zu verbessern. Risikomanagement und Schwachstellenmanagement sind hierbei zentrale Themen. Cybersicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Außerdem ist neu, dass die Geschäftsführung persönlich für fahrlässige Verstöße haftbar gemacht werden kann. Allgemein können Unternehmen auf Basis dieser Richtlinie zu Strafzahlungen in Millionenhöhe gezwungen werden.
Interessant ist hierbei Artikel 21 der NIS2-Richtlinie (siehe hier). Dieser besagt, dass Unternehmen "Risikomanagementmaßnahmen im Bereich der Cybersicherheit" umsetzen müssen. Genauer gesagt werden "technische, operative und organisatorische Maßnahmen" gefordert, die die "Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste" möglichst klein halten. Hier wird auch explizit das Schwachstellenmanagement erwähnt zu dem in der Regel Penetrationstests zählen. "Penetrationstest" als Wort wird in der Richtlinie allerdings nicht erwähnt, daher ist davon auszugehen, dass viele Unternehmen eher Schwachstellenscans durchführen werden. Rechtlich sollte das in Ordnung sein, was die Effektivität angeht, ist das allerdings fraglich. Ein Penetrationstest ist in der Regel deutlich effektiver als ein Schwachstellenscan, findet mehr Sicherheitslücken und kann diese auch besser bewerten.
Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Wasserwirtschaft, digitale Infrastrukturen, öffentliche Verwaltung, Weltraum, Post, Abfall, Chemie, Lebensmittel, allgemein das verarbeitende Gewerbe, Digitale Dienste, Forschung.
> 250 Mitarbeiter
> 50 Mio. € Umsatz
> 50 Mitarbeiter
> 10 Mio. € Umsatz
Zwar sind Schwachstellenscans nicht mit Penetrationstests zu vergleichen, was Effektivität und Tiefe angeht, aber sie sind ein guter Anfang, um erste Schwachstellen zu finden.
Wir können Ihre kritischen Systeme und Anwendungen auf Schwachstellen prüfen und Ihnen helfen, diese zu schließen.
Wir liefern Ihnen einen umfassenden Bericht, der alle gefundenen Schwachstellen und mögliche Lösungen enthält.
Unser Phishing-Angebot hilft dabei, Ihre Mitarbeiter für die Gefahren von Phishing zu sensibilisieren - dem Einfallstor Nummer 1.
Artikel 21 der NIS2 regelt, was die Mindestanforderungen sind - wir helfen Ihnen dabei, diese zu erfüllen.
Wir helfen Ihnen dabei, die Risiken für Ihr Unternehmen zu identifizieren und zu bewerten.
Bei einem Pentest im Rahmen von NIS2 handelt es sich in der Regel um einen umfangreichen manuellen Penetrationstest gegen eine bestimmte Anwendung oder eine Komposition diverser Anwendungen und digitaler Systeme. Entsprechend richten sich die Kosten eines NIS2 Pentest nach der Größe des Umfangs, der Prüftiefe und der Komplexität der zu prüfenden Anwendungen und Systeme.
Umfang der zu testenden Systeme
Technische Anforderungen
Detailgrad der Analyse
Allgemein ist ein NIS2 Pentest ein "ganz normaler" Penetrationstest, der beispielsweise als Webapp Pentest oder Pentest von externer Infrastruktur durchgeführt wird. Die Kosten für einen NIS2 Pentest sind daher vergleichbar mit den Kosten für einen "normalen" Penetrationstest.
Detaillierte Kosteninformationen
Wir hatten das Privileg, mit einigen der weltweit führenden Unternehmen zusammenzuarbeiten und ihre IT-Sicherheit zu stärken.
Auf EU-Ebene ist die NIS2 Richtlinie bereits seit 16. Januar 2023 in Kraft. Mitgliedsstaaten der EU haben allerdings bis 18. Oktober 2024 Zeit die Richtlinie in nationales Recht gießen. Das ist der Zeitpunkt ab dem in Deutschland Unternehmen konform zur NIS2 Richtlinie handeln müssen.
Die Verordnung listet diverse kritische Sektoren als relevant auf. Dazu zählen u.a. Versorger, Abfallwirtschaft, Lebensmittelproduzenten, Banken, Digitalwirtschaft, Gesundheitswesen, Energieunternehmen und Transportunternehmen. Dazu kommen Unternehmen, die unabhängig von ihrer Größe oder Branche als "wesentlich" für die Aufrechterhaltung der öffentlichen Sicherheit gelten.
Ja, mit der Neuerung der NIS zu NIS2 wird explizit die Haftung des Geschäftsführers bei Nichteinhaltung der Richtlinie geregelt. Diese haften sogar persönlich.
Die Strafen richten sich nach der Größe des Unternehmens. Allgemein kann die Strafe bis zu 2% des weltweiten Jahresumsatzes betragen oder bis zu 10 Millionen Euro betragen.
Nein. Sie richtet sich primär an Unternehmen mit mehr als 50 Mitarbeitern. Ausnahme können kleine Unternehmen in sehr kritischen Sektoren sein. So etwas sollte aber im Einzelfall geprüft werden.
Prüfen Sie, ob Sie betroffen sind. Lassen Sie eine Risikoanalyse durchführen und erarbeiten Sie ein Sicherheitskonzept. Dies sollte Schwachstellenmanagement beinhalten - dazu zählen regelmäßige Sicherheitstests in Form von Scans und Penetrationstests. Ihr Mitarbeiter sollten geschult werden und Sie sollten einen Notfallplan parat haben. Es lohnt sich allgemein als Verantwortlicher in Artikel 21 der Richtlinie zu schauen und zu prüfen, wo man noch nacharbeiten muss.
Schwachstellenscans, Penetrationstests sowie Red Teaming - um Problemzonen zu identifizieren. Phishing, um Mitarbeiter zu sensibilisieren. Allgemein Risikoanalysen und Beratung bezüglich der Mindeststandards aus Artikel 2 NIS2.
Haben Sie Fragen zu unseren Dienstleistungen? Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.
Wir melden uns innerhalb von 24 Stunden bei Ihnen
Ihre Daten werden vertraulich behandelt
Direkter Kontakt zu unseren Experten
