Die enorme Zunahme von Cyberangriffen stellt ein großes Risiko für viele Branchen und Unternehmen in Europa dar. Daher wurde die NIS-2 Richtlinie eingeführt, um die Cybersicherheit zu erhöhen. Welche Branchen betroffen sind, welche Auflagen NIS-2 vorsieht und bis wann die Richtlinie umgesetzt werden muss, erfahren Sie hier.

Was ist NIS-2 Richtlinie ?

Die NIS-2-Richtlinie, auch bekannt als “Network and Information Systems Directive 2”, ist eine wesentliche Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016. Diese neue Richtlinie zielt darauf ab, die Cybersicherheit in der gesamten Europäischen Union zu erhöhen, indem sie strengere Sicherheitsanforderungen und erweiterte Schutzmaßnahmen für Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste einführt. Die NIS-2-Richtlinie reagiert auf die zunehmenden Bedrohungen durch Cyberangriffe sowie die wachsende Abhängigkeit von digitalen Technologien in nahezu allen gesellschaftlichen und wirtschaftlichen Bereichen.

Im Vergleich zur vorherigen NIS-Richtlinie erweitert NIS-2 den Anwendungsbereich der betroffenen Unternehmen erheblich, verschärft ihre Pflichten und intensiviert die Überwachung durch die Behörden. Bei Nichteinhaltung der NIS-2 Richtlinie können strenge Sanktionen in Form von hohen Geldbußen verhängt werden.

Die Hauptziele der NIS-2-Richtlinie sind:

  • Erhöhung des Sicherheitsniveaus: Durch strengere Anforderungen soll ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU erreicht werden.
  • Stärkung der Widerstandsfähigkeit: Unternehmen und Organisationen sollen besser auf Cyberbedrohungen vorbereitet sein und ihre Widerstandsfähigkeit gegen Cyberangriffe erhöhen.
  • Förderung der Zusammenarbeit: Die Richtlinie fördert die Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten sowie zwischen dem öffentlichen und privaten Sektor.
  • Erweiterung des Anwendungsbereichs: Neben kritischen Infrastrukturen wie Energie, Transport und Gesundheit umfasst die NIS-2-Richtlinie nun auch wichtige digitale Dienste wie Cloud-Computing, Online-Marktplätze und Suchmaschinen.

Wer ist von NIS-2 betroffen?

Wenn Sie ein öffentliches oder privates Unternehmen aus den 18 genannten folgenden Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme sind, dann betrifft Sie die NIS-2-Verordnung mehr als je zuvor. Hier sind die Hauptsektoren und Beispiele für betroffene Unternehmen:

  • Energie: Elektrizität, Gas, Öl
  • Transport: Luftfahrt, Bahn, Schifffahrt, Straßenverkehr
  • Banken und Finanzmarktinfrastrukturen: Banken, Zahlungsdienstleister, Börsen
  • Gesundheitswesen: Krankenhäuser, Laboratorien, Gesundheitsdienstleister
  • Wasserversorgung und Abwasserentsorgung
  • Digitale Infrastruktur: Internet Exchange Points, Domain Name System (DNS)
  • Öffentliche Verwaltungen

Neu hinzugekommene Sektoren:

  • Lebensmittelproduktion und -vertrieb
  • Herstellung und Vertrieb von Arzneimitteln
  • Raumfahrt: Infrastrukturen und Dienste
  • Verwaltung von Abfällen
  • Wasserversorgung und -entsorgung

Zusätzlich zu diesen Sektoren werden auch wichtige digitale Dienstleister von der NIS-2-Richtlinie erfasst. Dazu gehören:

    •    Cloud-Computing-Dienste
    •    Online-Marktplätze
    •    Online-Suchmaschinen

Klassifizierung und Anforderungen

Die betroffenen Unternehmen und Organisationen werden in zwei Hauptkategorien unterteilt:

  1. Wesentliche Diensteanbieter: Diese umfassen Organisationen, die kritische Dienstleistungen erbringen, deren Ausfall erhebliche Auswirkungen auf die Wirtschaft und die öffentliche Sicherheit haben könnte.
  2. Wichtige digitale Dienstleister: Diese beinhalten Anbieter digitaler Dienste, die eine zentrale Rolle in der digitalen Infrastruktur spielen und deren Sicherheitsversagen weitreichende Folgen haben könnte.

Kriterien zur Bestimmung der Betroffenheit

Die Kriterien zur Bestimmung der Betroffenheit eines Unternehmens oder einer Organisation durch die NIS-2-Richtlinie umfassen:

  • Größe und Bedeutung der Organisation: Großunternehmen und solche, die wesentliche Dienstleistungen erbringen, sind typischerweise betroffen.
  • Abhängigkeit von digitalen und Netzwerkinfrastrukturen: Unternehmen, die stark auf IT- und Netzwerktechnologien angewiesen sind, fallen eher unter die Richtlinie.
  • Auswirkungen eines Ausfalls: Unternehmen, deren Dienstausfall erhebliche wirtschaftliche oder gesellschaftliche Folgen hätte, sind besonders im Fokus.

Diese umfassende Liste und klare Klassifikation helfen den betroffenen Unternehmen dabei, ihre Verpflichtungen besser zu verstehen und die notwendigen Maßnahmen zur Einhaltung der NIS-2-Richtlinie zu ergreifen.

 

Sektoren mit hoher Kritikalität (Anhang I der NIS-2)

Elektrizität

  • Elektrizitätsunternehmen

  • Verteilernetzbetreiber

  • Übertragungsnetzbetreiber

  • Erzeuger

  • nominierte Strommarktbetreiber

  • Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten

  • Betreiber von Ladepunkten für Elektromobilität

Fernwärme und -kälte

  • Betreiber von Fernwärme oder Fernkälte

Erdöl

  • Betreiber von Erdöl-Fernleitungen

  • Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen

  • zentrale Bevorratungsstellen

Erdgas

  • Versorgungsunternehmen

  • Verteilernetzbetreiber

  • Fernleitungsnetzbetreiber

  • Betreiber einer Speicheranlage

  • Betreiber einer LNG-Anlage

  • Erdgasunternehmen

  • Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas

Wasserstoff

  • Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

Luftverkehr

  • Luftfahrtunternehmen

  • Flughafenleitungsorgane

  • Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

Schifffahrt

  • Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt

  • Leitungsorgane von Häfen, einschließlich ihrer Hafenanlagen

  • Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben

  • Betreiber von Schiffsverkehrsdiensten

Straßenverkehr

  • Straßenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind (außer öffentliche Einrichtungen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist)

  • Betreiber intelligenter Verkehrssysteme

Schienenverkehr

  • Infrastrukturbetreiber

  • Eisenbahnunternehmen

 

 

  • Kreditinstitute

  • Betreiber von Handelsplätzen

  • zentrale Gegenparteien

  • Gesundheitsdienstleister

  • EU-Referenzlaboratorien

  • Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben

  • Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen

  • Einrichtungen, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

  • Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“

  • außer Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist

  • Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln

  • außer Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

  • Betreiber von Internet-Knoten

  • DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern

  • TLD-Namenregister

  • Anbieter von Cloud-Computing-Diensten

  • Anbieter von Rechenzentrumsdiensten

  • Betreiber von Inhaltszustellnetzen

  • Vertrauensdiensteanbieter

  • Anbieter öffentlicher elektronischer Kommunikationsnetze

  • Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

  • Anbieter verwalteter Dienste

  • Anbieter verwalteter Sicherheitsdienste

  • Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht

  • Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht

  • Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen

  • außer Anbieter öffentlicher elektronischer Kommunikationsnetze

Sonstige kritische Sektoren (Anhang II der NIS-2)

  • Anbieter von Postdiensten

  • einschließlich Anbieter von Kurierdiensten

  • Unternehmen der Abfallbewirtschaftung

  • ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist

  • Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln

  • Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren

Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Herstellung von Medizinprodukten und In-vitro-Diagnostika

  • Einrichtungen, die Medizinprodukte herstellen

  • Einrichtungen, die In-vitro-Diagnostika herstellen

  • außer Einrichtungen aus Anhang I, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen

  • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

Herstellung von elektrischen Ausrüstungen

  • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

Maschinenbau

  • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

Herstellung von Kraftwagen und Kraftwagenteilen

  • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

sonstiger Fahrzeugbau

  • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

  • Anbieter von Online-Marktplätzen

  • Anbieter von Online-Suchmaschinen

  • Anbieter von Plattformen für Dienste sozialer Netzwerke

  • Forschungseinrichtungen

Sonderfälle

  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten

  • Vertrauensdiensteanbieter

  • TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)

  • Alleinige Anbieter, die essentiell für Gesellschaft und Wirtschaft sind

  • Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte

  • Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte

  • Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind

  • Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene

  • Kritische Infrastrukturen gemäß Richtlinie (EU) 2022/2557

  • Einrichtungen, die Domänennamenregistrierungsdienste erbringen

Umsetzung und Fristen

Die NIS-2-Richtlinie legt fest, dass die EU-Mitgliedstaaten die Richtlinie bis spätestens 17. Oktober 2024 in nationales Recht umsetzen müssen. Dies erfordert von den betroffenen Unternehmen, dass sie sich frühzeitig auf die neuen Anforderungen vorbereiten und die notwendigen Maßnahmen ergreifen, um die Einhaltung der Richtlinie sicherzustellen.

In Deutschland erfolgt die Umsetzung der NIS-2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das wesentliche Änderungen und Erweiterungen des bisherigen Ordnungsrahmens einführt. Das Bundesministerium des Innern und für Heimat ist federführend bei der Umsetzung der Richtlinie. Die wichtigsten Meilensteine und Fristen sind:

  • Verabschiedung der NIS-2-Richtlinie: 14. Dezember 2022
  • Umsetzung in nationales Recht: Bis 17. Oktober 2024 müssen alle EU-Mitgliedstaaten die NIS-2-Richtlinie in nationales Recht überführt haben.
  • Einführungsphase: Es gibt keine Übergangsfristen.. Unternehmen müssen die neuen Anforderungen innerhalb der gesetzten Fristen implementieren, um Strafen und Sanktionen zu vermeiden.

Die Umsetzung der NIS-2-Richtlinie erfordert gezielte Maßnahmen und eine gründliche Vorbereitung. Hier sind konkrete Schritte und wichtige Aspekte, die Unternehmen berücksichtigen sollten:

1. Detaillierte Risikoanalyse und Sicherheitsstrategie

Risikoanalyse: Beginnen Sie mit einer umfassenden Risikoanalyse, um potenzielle Bedrohungen und Schwachstellen in Ihren Netz- und Informationssystemen zu identifizieren.

  • Identifizierung kritischer Systeme: Bestimmen Sie, welche Systeme und Daten für Ihre Geschäftsprozesse unerlässlich sind.
  • Bewertung von Bedrohungen: Analysieren Sie potenzielle Bedrohungen, einschließlich Cyberangriffe, menschliches Versagen und Naturkatastrophen.

Sicherheitsstrategie: Basierend auf den Ergebnissen der Risikoanalyse entwickeln Sie eine umfassende Sicherheitsstrategie.

  • Technische Maßnahmen: Implementieren Sie Sicherheitsvorkehrungen wie Firewalls, Intrusion Detection/Prevention Systeme (IDS/IPS), und Verschlüsselung.
  • Organisatorische Maßnahmen: Etablieren Sie klare Sicherheitsrichtlinien und Verantwortlichkeiten innerhalb Ihres Unternehmens.

2. Implementierung technischer und organisatorischer Maßnahmen

Technische Maßnahmen:

  • Zugangskontrollen: Implementieren Sie strenge Zugangskontrollen, um unbefugten Zugriff zu verhindern.
  • Datensicherheit: Schützen Sie sensible Daten durch Verschlüsselung und regelmäßige Backups.
  • Netzwerksicherheit: Verwenden Sie Firewalls, IDS/IPS und andere Technologien, um Ihr Netzwerk zu schützen.

Organisatorische Maßnahmen:

  • Incident Response Team (IRT): Bilden Sie ein Team, das auf Sicherheitsvorfälle schnell und effektiv reagieren kann.
  • Notfallpläne: Entwickeln und testen Sie Notfallpläne, um auf verschiedene Szenarien vorbereitet zu sein.

3. Schulung und Sensibilisierung der Mitarbeiter

Schulungsprogramme:

  • Regelmäßige Schulungen: Führen Sie regelmäßige Schulungen durch, um das Bewusstsein der Mitarbeiter für Cybersicherheitsrisiken zu erhöhen.
  • Spezifische Trainings: Bieten Sie spezialisierte Trainings an, die auf die spezifischen Anforderungen und Bedrohungen in Ihrem Sektor eingehen.

Sensibilisierungskampagnen:

  • Phishing-Tests: Führen Sie regelmäßige Phishing-Tests durch, um die Mitarbeiter auf mögliche Cyberangriffe vorzubereiten.
  • Informationsveranstaltungen: Organisieren Sie Workshops und Seminare, um das Bewusstsein für Cybersicherheitsbedrohungen zu schärfen.

4. Einhaltung von Melde- und Berichtspflichten

Meldepflichten:

  • Signifikante Vorfälle melden: Melden Sie bedeutende Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden.
  • Dokumentation: Führen Sie genaue Aufzeichnungen über alle Sicherheitsvorfälle und die ergriffenen Maßnahmen.

Berichtspflichten:

  • Regelmäßige Berichte: Erstellen Sie regelmäßige Berichte über den Sicherheitsstatus und die getroffenen Maßnahmen.
  • Audits und Inspektionen: Bereiten Sie sich auf interne und externe Audits vor, um die Einhaltung der Richtlinie zu überprüfen.

NIS-2: Anforderungen an EU-Unternehmen

Die NIS-2-Richtlinie führt umfassende Anforderungen ein, die Unternehmen umsetzen müssen, um ein hohes Sicherheitsniveau für ihre Netz- und Informationssysteme zu gewährleisten. Diese Anforderungen lassen sich in mehrere Hauptkategorien unterteilen:

Die NIS-2-Richtlinie zielt darauf ab, den Schutz von IT-Systemen, -Komponenten und -Prozessen vor Sicherheitsvorfällen zu gewährleisten.

Hierbei stellt sie höhere Anforderungen an das Risikomanagement von Unternehmen und definiert konkrete Sicherheitsmaßnahmen wie Penetrationstests und Security Monitoring.

Penetrationstests als Maßnahme zur Erfüllung von NIS 2

Penetrationstests als wichtige Maßnahme: Die NIS-2-Norm betont die Bedeutung von Penetrationstests. Diese Tests simulieren gezielte Angriffe, um die Sicherheitsstärke eines Systems zu bewerten. Durch die Durchführung von Penetrationstests können Unternehmen Schwachstellen erkennen und ihre Sicherheitsinfrastruktur verbessern. Dies trägt dazu bei, die Widerstandsfähigkeit gegenüber potenziellen Angriffen zu erhöhen.

Security Monitoring als Maßnahme zur Erfüllung von NIS 2

Entscheidende Rolle von Security Monitoring: Security Monitoring umfasst die kontinuierliche Überwachung von Netzwerken und Systemen, um Anomalien oder verdächtige Aktivitäten zu identifizieren. Es ermöglicht eine Echtzeitreaktion auf potenzielle Bedrohungen. Im Rahmen der NIS-2-Richtlinie ist ein effektives Security Monitoring von großer Bedeutung, um die Einhaltung der Sicherheitsanforderungen sicherzustellen und eine schnelle Reaktion auf Sicherheitsvorfälle zu gewährleisten

Der Automotive-Sektor ist vom NIS-2-Standard betroffen und wird in beiden Kategorien erwähnt: Sektoren mit hoher Kritikalität und andere kritische Sektoren.

Zu den hochkritischen Sektoren gehören die Betreiber von intelligenten Verkehrssystemen (IVS).

Diese sind für die Verwaltung und den Betrieb vernetzter Systeme im Straßenverkehr, Verkehrsmanagement und Mobilitätsmanagement verantwortlich. Diese Organisationen spielen eine wichtige Rolle, um sicherzustellen, dass die Infrastruktur für intelligente Verkehrssysteme sicher und effizient betrieben wird.

Weitere kritische Sektoren sind die Hersteller von Kraftfahrzeugen, Anhängern, Sattelanhängern und anderen Transportmitteln. Diese Unternehmen sind dafür verantwortlich, Fahrzeuge und zugehörige Ausrüstungen herzustellen und zu montieren.

Sie müssen dabei die Cybersicherheitsverpflichtungen erfüllen, die in der NIS2-Richtlinie festgelegt sind.

Die NIS2-Richtlinie wurde am 27. Dezember 2022 offiziell im Amtsblatt der Europäischen Union veröffentlicht. Nach dieser Veröffentlichung haben die EU-Mitgliedstaaten 21 Monate Zeit, um die Richtlinie in ihr nationales Recht zu übernehmen. Der Stichtag für NIS-2 ist  der 18. Oktober 2024.

  1. Risikomanagement:
    • Risikoanalyse: Unternehmen müssen regelmäßige Risikoanalysen durchführen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren.
    • Sicherheitsstrategien: Entwicklung und Implementierung von Sicherheitsstrategien, die auf den Ergebnissen der Risikoanalyse basieren.
    • Kontinuierliche Überwachung: Laufende Überwachung und Bewertung der Sicherheitslage sowie Anpassung der Sicherheitsstrategien bei Bedarf.
  2. Sicherheitsvorkehrungen
    • Zugangskontrollen: Implementierung strenger Zugangskontrollen, um unbefugten Zugriff auf Netz- und Informationssysteme zu verhindern.
    • Datensicherheit: Schutz sensibler Daten durch Verschlüsselung und andere Sicherheitsmaßnahmen.
    • Netzwerksicherheit: Einsatz von Firewalls, Intrusion Detection/Prevention Systemen (IDS/IPS) und anderen Technologien zur Sicherung des Netzwerks.
  3. Vorfallsmanagement
    • Incident Response Teams: Einrichtung von Incident Response Teams (IRTs) zur schnellen Reaktion auf Sicherheitsvorfälle.
    • Notfallpläne: Entwicklung und regelmäßige Aktualisierung von Notfallplänen, um bei Cyberangriffen schnell und effektiv handeln zu können.
    • Berichterstattung: Dokumentation und Meldung von Sicherheitsvorfällen an die zuständigen Behörden innerhalb von 24 Stunden nach Feststellung.

 

  • Meldepflichten:
    • Meldung signifikanter Vorfälle: Unternehmen sind verpflichtet, signifikante Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Erbringung wesentlicher Dienste haben könnten, unverzüglich an die zuständigen nationalen Behörden zu melden.
    • Transparenzanforderungen: Offenlegung relevanter Sicherheitsvorfälle gegenüber Kunden und Partnern, um Transparenz und Vertrauen zu fördern.
  • Berichtspflichten:
    • Regelmäßige Berichte: Erstellung regelmäßiger Berichte über die Sicherheitslage und Maßnahmen zur Einhaltung der NIS-2-Richtlinie.
    • Audits und Inspektionen: Durchführung von internen und externen Audits zur Überprüfung der Einhaltung der Richtlinie und Identifikation von Verbesserungspotenzialen.
  • Schulung und Sensibilisierung:
    • Mitarbeiterschulung: Regelmäßige Schulungen für Mitarbeiter, um das Bewusstsein für Cybersicherheitsrisiken zu erhöhen und ihnen die notwendigen Fähigkeiten zur Vermeidung von Sicherheitsvorfällen zu vermitteln.
    • Phishing-Tests: Durchführung von Phishing-Tests, um die Mitarbeiter auf mögliche Cyberangriffe vorzubereiten und ihre Reaktionsfähigkeit zu testen.
  • Technologische Maßnahmen:
    • Implementierung von Sicherheitssoftware: Nutzung von Antivirenprogrammen, Anti-Malware-Tools und anderen Sicherheitslösungen, um Netzwerke und Systeme zu schützen.
    • Aktualisierung und Patch-Management: Regelmäßige Aktualisierung und Anwendung von Sicherheitspatches, um bekannte Schwachstellen zu schließen.

Durch die Erfüllung dieser Anforderungen können Unternehmen nicht nur ihre Compliance mit der NIS-2-Richtlinie sicherstellen, sondern auch ihre allgemeine Cybersicherheitslage erheblich verbessern und das Risiko von Cyberangriffen minimieren.

NIS-2 sieht im Bereich Cybersecurity zwei Maßnahmen als wertvoll an:

  • NIS-2 Beratung: Wir haben sehr viel Erfahrung darin, kritische Infrastrukturen vor Cyberbedrohungen zu schützen. Gerne beraten wir Sie dabei, die Anforderungen von NIS-2 zu verstehen und zu implementieren.
  • Penetrationstests: Als langjährige Anbieter von professionellen Pentests können wir Sie gerne dabei unterstützen Auflagen, die sich aus NIS-2 ableiten, zu erfüllen. Mehr über unser Vorgehen bei Pentests finden Sie hier: Pentests bei Yekta IT
  • Security Monitoring: Um Angriffe zu erkennen und schnell Gegenmaßnahmen abzuleiten, haben sich Lösungen wie Security Information Event Management (SIEM) sowie Security Operation Center (SOC) als unverzichtbar erwiesen. Gerne können wir Sie bei der Auswahl, Entwickliung & Betrieb unterstützen. Mehr dazu erfahren Sie hier. Cyber Defense mit SIEM & SOC
  • Security Awareness Trainings und Phishing Simulationen: Mit gezielten Trainings helfen wir Ihren Mitarbeitenden die Gefahren der Cyberwelt besser zu verstehen und sich davor zu schützen
Durchschnitt: 4.2 (6 Bewertungen)
Borel Nangse
Borel ist ein passionierter Cybersecurity Consultant, spezialisiert auf die Entwicklung und Implementierung von Sicherheitsrichtlinien. Sein Fokus liegt auf der Minimierung von Risiken durch proaktive Strategien und etablierte Standards