Die Europäische Union stärkt die Cyber Security ihrer Mitgliedstaaten. Die NIS-2-Richtlinie (Network and Information Security) wurde am 27. Dezember 2022 von der EU veröffentlicht und trat am 16. Januar 2023 in Kraft. Als Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union hat die NIS-2-Richtlinie das Ziel, ein einheitliches Schutzniveau für Netzwerk und Informationssysteme kritischer Infrastrukturen zu schaffen. Mit erweiterten und klar definierten kritischen Sektoren im Vergleich zur vorherigen NIS-Richtlinie von 2016 muss NIS-2 bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Der 17. Oktober 2024 ist damit auch der Stichtag für die Umsetzung im Unternehmen, da NIS-2 wesentlich weniger Freiheitsgrade für die Umsetzung in den Mitgliedsstaaten vorsieht. 

Mit der Ausweitung des Anwendungsbereichs auf zusätzliche Sektoren wird das Cybersicherheitsniveau der betroffenen Einrichtungen auf die Probe gestellt. Unternehmen sind angehalten, bereits jetzt aktiv zu werden und ihre Betroffenheit sowie ihre Vorbereitungen für NIS-2 anhand der vorliegenden Richtlinie zu bewerten. Zusätzliche Regelungen für einzelne Sektoren (u.a. DORA für Finanzdienstleister sowie die Richtlinie über die Resilienz kritischer Einrichtungen (CER)) sind parallel in Vorbereitung und sollen zukünftig kohärent zusammenwirken. 

KPMG-Ansatz

Unternehmen müssen angemessene und verhältnismäßige Maßnahmen ergreifen, die auf einem nachvollziehbaren Risikomanagement basieren. Diese Maßnahmen sollten auf einem ganzheitlichen und bedrohungsorientierten Management-Ansatz beruhen, der darauf abzielt, Sicherheitsvorfälle zu vermeiden oder deren Auswirkungen zu minimieren.

Michael Falk

Dr. Michael Falk

Partner, Consulting, Cyber Security

KPMG AG Wirtschaftsprüfungsgesellschaft
+49 69 9587 3680 Dr. Michael Falk Telefonnummer
Wilhelm Dolle

Wilhelm Dolle

Partner, Consulting, Head of Cyber Security

KPMG AG Wirtschaftsprüfungsgesellschaft
+49 30 2068 2323 Wilhelm Dolle Telefonnummer
Angebotsanfrage (RfP) einreichen

Unser Ansatz beginnt mit einer Analysephase, in der wir die Auswirkungen der Richtlinien auf Ihr Unternehmen untersuchen. Anschließend führen wir ein Readiness Assessment in den identifizierten betroffenen Bereichen des Unternehmens durch. Auf dieser Grundlage legen wir die erforderlichen Maßnahmen fest, um die Anforderungen erfolgreich zu erfüllen.

Unsere definierten Einzelmaßnahmenpakete umfassen wichtige Bereiche wie Governance, die Zusammenarbeit mit Behörden inkl. der Melde- und Berichtspflichten und das regulatorische Monitoring in der Umsetzung. Zusätzlich bieten wir Workshops und Schulungen zu NIS-2 und anderen, angrenzenden EU-Richtlinien im Bereich Cyber Security an. Damit wir sicherstellen, dass Ihre Umsetzung den Anforderungen entspricht und Synergien genutzt werden.

Des Weiteren bieten wir Ihnen die Möglichkeit, einzelne Leistungspakete nach Bedarf in Anspruch zu nehmen. Sie haben die Möglichkeit, diejenigen auszuwählen, die am besten zu den spezifischen Anforderungen Ihres Unternehmens passen.

Ihre Vorteile

  • Identifizierung des Betroffenheitsgrades in verschiedenen Unternehmensbereichen sowie konkrete Erfassung direkter und indirekter Auswirkungen in regulierten Sektoren.
  • Erkenntnisse über den aktuellen Stand und notwendige Schritte zur Verbesserung der Cybersicherheit als auch zur Umsetzung der NIS-2 Anforderungen
  • Aufbau eines robusten Rahmens für die Cybersicherheit und bestmögliche Ergebnisse in Bezug auf die Umsetzung von NIS-2 Maßnahmen
  • Erfüllung der gesetzlichen Verpflichtungen und effektive Reaktion auf Vorfälle und Krisen zur Gewährleistung der Netzwerk- und Informationssicherheit
  • Integration spezifischer nationaler regulatorischer Vorschriften und behördlicher Praktiken

Betroffenheitsanalyse & Scoping

Die Betroffenheitsanalyse ermöglicht Unternehmen, den Betroffenheitsgrad von NIS-2 zu ermitteln. Es werden Produkteigenschaften, Dienstleistungen und Kunden bewertet, um Betroffenheitsgrade festzulegen und einen Betroffenheitscluster zu erstellen. 

Basierend auf den Analyseergebnissen wird dann ein konkretes NIS-2 Scoping durchgeführt. 

KPMG NIS-2 Readiness Assessment

In unserem NIS-2 Readiness Assessment bewerten wir den aktuellen Status der regulatorisch geforderten Sicherheitsmaßnahmen und erarbeiten eine priorisierte Roadmap für mehr Sicherheit in ihrem Unternehmen. 

Dabei berücksichtigen wir das individuelle Cyber-Risiko ihres Unternehmens, aktuelle Better Practices zur Umsetzung und die Nachhaltigkeit der eingeführten Maßnahmen. Wir orientieren und dabei am Stand der Technik passen die Umsetzungsempfehlungen an die strategischen Ziele des Unternehmens an.

Cyber Governance

In der Cyber Governance konzentriert sich KPMG darauf, Unternehmen bei der aktiven Risikominderung und Umsetzung geeigneter Sicherheitsmaßnahmen zu unterstützen. Dazu gehört die Gesamtheit von Aufbau- und Ablauforganisation, klar definierte Verantwortlichkeiten und somit ein Rahmenwerk, in dem Verantwortlichkeiten für die Entscheidungsfindung nachvollziehbar in der Organisation verankert sind. Die angemessene Einbindung der Organe auf Management-Ebene ist dabei ebenso zu berücksichtigen wie Verantwortlichkeiten in operativen Sicherheitsprozessen. 

Regulatory Monitoring zur Umsetzung

Wir helfen Ihnen, sich auf die unterschiedlichen regulatorischen Anforderungen vorzubereiten. Dafür identifizieren wir die für das Unternehmen relevanten Länder, analysieren nationale Vorschriften, die behördliche Praxis und erstellen anhand dessen ein regulatorisches Inventar.

Berichterstattung an die Behörden

Unser Angebot umfasst die Identifikation und Bewertung bestehender Sicherheitsvorfallprozesse sowie die Einbeziehung relevanter Akteure im Sicherheitsvorfallmanagement. Wir analysieren und bewerten vorhandene Prozesse und entwickeln einen maßgeschneiderten Berichterstattungsprozess. Dabei legen wir Kriterien zur Bewertung von Vorfällen fest und erstellen ein Konzept zur Meldung von Informationssicherheitsvorfällen an Behörden.

Workshops und Schulungen

Mit unseren maßgeschneiderten Workshops und Schulungen, die speziell auf Ihre Bedürfnisse und für unterschiedliche Zielgruppen zugeschnitten sind, stellen wir sicher, dass die Teilnehmer das erforderliche Wissen erhalten, um NIS-2 effektiv in ihren jeweiligen Bereichen umzusetzen.

In diesen Schulungen vermitteln wir allgemeine Empfehlungen zur Optimierung interner Prozesse und zur Steigerung von Effizienz und Synergie. Unsere Expert:innen führen die Workshops und Schulungen durch, um Ihnen praxisnahe Einblicke und wertvolles Wissen zu vermitteln.

Weitere interessante Inhalte für Sie

Mann auf Aussichtspunkt über Hong Kong
Cyber Security in der EU: NIS-2-Richtlinie erhöht Sicherheitsniveau

NIS-2-Richtlinie erhöht gemeinsames Cyber-Security-Niveau aller EU-Mitgliedsstaaten.

Abstract
Advisory category
Cyber Risk Quantification

Grundlagen zur effektiven Risiko-Mitigation

Schloss auf Tastatur
Advisory category
Industrial Internet of Things (IIoT)

Wie Sie das Internet der Dinge in der Industrie sicher meistern.