Heutige Anforderungen an Unternehmen und KRITIS
Die Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS 2) ist eine Richtlinie der EU, mit dem Ziel, das Sicherheitsniveau von Netz und Informationssystemen zu erhöhen. Diese ist seit dem 06. Dezember in Deutschland in Kraft getreten und ist verpflichtend. Bei Verstoß gegen die NIS2-Richtlinie kommt es zu Bußgeldern.
Mit NIS2 steht Ihre IT-Sicherheit im Fokus. Wir unterstützen Sie bei der umfassenden Umsetzung der neuen Anforderungen, welche sich aus der NIS2-Richtlinie ergeben. Von der Betroffenheitsanalyse über die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 bis hin zur Kommunikation mit der Aufsichtsbehörde begleitet Sie die ad2b-solutions Schritt für Schritt.
Profitieren Sie von unserer Expertise und stellen Sie sicher, dass Ihre Unternehmensdaten nachhaltig geschützt sind.
Unsere Leistungen:
Seit dem 1. Mai 2023 sind Betreiber kritischer Infrastrukturen gesetzlich verpflichtet Systeme zur Angriffserkennung (SzA) einzuführen und nachzuweisen. Ziel ist es, Angriffe auf IT- und OT-Systeme frühzeitig zu erkennen. Die Auswirkungen von Sicherheitsvorfällen sollen minimiert werden und die Funktionsfähigkeit kritischer Prozesse soll sichergestellt werden. Die Anforderungen sind im IT-Sicherheitsgesetz 2.0 (§ 8a BSIG) und im Energiewirtschaftsgesetz (§ 11 EnWG) verankert.
Ein effektives System zur Angriffserkennung basiert auf drei Kernbereichen: Protokollierung, Detektion und Reaktion. Im Rahmen der Protokollierung müssen sicherheitsrelevante Ereignisse systematisch erfasst, gespeichert und ausgewertet werden – unter Einhaltung von Datenschutzvorgaben und regulatorischen Fristen. Für die Detektion kommen u. a. Endpoint Protection (EDR/XDR), Intrusion Detection Systeme (IDS) sowie ein Security Information & Event Management (SIEM) zum Einsatz. Reaktionsprozesse sorgen schließlich dafür, dass Vorfälle erkannt, bewertet und durch automatisierte oder manuelle Maßnahmen wirksam behandelt werden.
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die die Cybersicherheit von Produkten mit digitalen Komponenten stärkt. Ziel ist es, sowohl Verbraucher als auch Unternehmen durch die Einführung verbindlicher Cybersicherheitsanforderungen besser zu schützen.
Wir begleiten Sie bei der Implementierung eines sicheren Entwicklungsprozesses, der die Grundlage für Ihre CE-Erklärung bildet, von der Konzeption bis zur Durchführung mit unserem Know-how in der Softwareentwicklung, Testing und Konformitätsbewertung. Durch die Zusammenarbeit mit akkreditierten Prüflaboratorien (ISO 17025) gewährleisten wir höchste Qualitätsstandards.
Für Finanzunternehmen und deren Dienstleister wird DORA zur Pflicht.Wir helfen mit:
Energieerzeugung, Energieverteilung, Energiehandel - resilient, sicher und modern
Neben den vorherigen Anforderungen sind Unternehmen der kritischen Infrastruktur und vor allem des Energiesektors von weiteren Anforderungen betroffen:
§ 11 des Energiewirtschaftsgesetzes (EnWG) verpflichtet Betreiber von Energieversorgungsnetzen und -anlagen, einen sicheren, zuverlässigen und leistungsfähigen Betrieb zu gewährleisten. Dazu gehört der Schutz der eingesetzten IT- und OT-Systeme vor Störungen, Ausfällen und Manipulationen, um die kontinuierliche Energieversorgung sicherzustellen.
Vor dem Hintergrund zunehmender Digitalisierung fordert § 11 EnWG die Umsetzung angemessener technischer und organisatorischer Maßnahmen nach dem Stand der Technik. Ziel ist es, Risiken für Verfügbarkeit, Integrität und Vertraulichkeit der Systeme zu minimieren und die Resilienz der Energieinfrastruktur zu stärken.
Ein wirksames Sicherheitskonzept umfasst präventive Maßnahmen wie Zugriffskontrollen und Systemhärtung, detektive Maßnahmen zur frühzeitigen Erkennung von Sicherheitsvorfällen sowie klar definierte Reaktionsprozesse zur schnellen Eindämmung und Behebung von Störungen.
§ 8a des BSI-Gesetzes (BSIG) verpflichtet Betreiber Kritischer Infrastrukturen (KRITIS), angemessene technische und organisatorische Maßnahmen zur Sicherstellung der IT-Sicherheit umzusetzen. Ziel ist es, die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der für den Betrieb kritischer Dienste eingesetzten IT- und OT-Systeme zu gewährleisten.
Die Maßnahmen müssen dem Stand der Technik entsprechen und regelmäßig überprüft werden. Betreiber sind zudem verpflichtet, die Umsetzung gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen. Sicherheitsvorfälle, die zu erheblichen Störungen führen können, sind unverzüglich zu melden.
§ 8a BSIG fordert einen ganzheitlichen Sicherheitsansatz, der präventive Schutzmaßnahmen, die frühzeitige Erkennung von Angriffen sowie strukturierte Reaktions- und Meldeprozesse umfasst. Damit leistet die Regelung einen zentralen Beitrag zur Erhöhung der Cyberresilienz Kritischer Infrastrukturen in Deutschland.
Der IT-Sicherheitskatalog für Energieanlagen konkretisiert die gesetzlichen Anforderungen des Energiewirtschaftsgesetzes (§ 11 EnWG) an die IT-Sicherheit von Energieanlagen. Er richtet sich insbesondere an Betreiber von Energieerzeugungs- und Speicheranlagen und definiert verbindliche Mindeststandards für den sicheren Betrieb informationstechnischer Systeme.
Ziel des IT-Sicherheitskatalogs ist es, Risiken für den sicheren Anlagenbetrieb frühzeitig zu erkennen und wirksam zu reduzieren. Betreiber sind verpflichtet, ein angemessenes Informationssicherheitsmanagementsystem (ISMS) einzuführen und technische sowie organisatorische Maßnahmen nach dem Stand der Technik umzusetzen. Die Einhaltung der Anforderungen ist regelmäßig nachzuweisen.
Der IT-Sicherheitskatalog schafft damit ein einheitliches Sicherheitsniveau für Energieanlagen und trägt wesentlich zur Stabilität und Resilienz der Energieversorgung bei.
Seit April 2025 gelten für KRITIS-Betreiber verbindliche Vorgaben für die Durchführung und Bewertung von Nachweisprüfungen: die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) sowie die Reife- und Umsetzungsgradbewertung (RUN) des BSI. Ziel ist es, KRITIS-Nachweise gemäß § 8a BSIG einheitlich, nachvollziehbar und vergleichbar zu gestalten.
GAiN definiert den formalen Rahmen der Nachweisprüfung. Dazu gehören Anforderungen an Prüfmethodik, Dokumentation, Geltungsbereich, Berichtswesen sowie die Qualifikation der Prüfer. Einheitliche Vorgaben und verbindliche Vorlagen stellen sicher, dass Prüfungen konsistent durchgeführt und belastbar nachgewiesen werden können.
RUN ergänzt GAiN um eine standardisierte Bewertung des Reife- und Umsetzungsgrads von Sicherheitsmaßnahmen. Anhand mehrerer Reifestufen wird bewertet, wie gut Managementsysteme sowie technische und organisatorische Maßnahmen implementiert, gesteuert und kontinuierlich verbessert sind.
Gemeinsam schaffen GAiN und RUN eine transparente Grundlage für KRITIS-Nachweise: GAiN regelt das Wie der Prüfung, RUN bewertet das Wie gut der Sicherheitsumsetzung – und unterstützt Betreiber bei der gezielten Weiterentwicklung ihres Sicherheitsniveaus.
