| NIS‑2 „Betroffenheitsbewertung“ bzw. „Readiness-Prüfung“ – sind Sie NIS-2 Ready?
Lassen Sie sich von einem DATA_ ELEMENTS – Experten ein Sachen NIS-2, bzw. einer ISO 27001 Zertifizierung vorbereiten.
Die NIS‑2‑Richtlinie und das deutsche Umsetzungsgesetz verpflichten zahlreiche Unternehmen zu erweiterten Maßnahmen der Informationssicherheit und zu Melde‑ und Registrierungspflichten. Ziel der Betroffenheitsbewertung ist es, transparent, nachvollziehbar und juristisch valide festzustellen, ob Ihr Unternehmen als „wichtige“ oder „besonders wichtige Einrichtung“ im Sinne von NIS‑2 einzustufen ist und welche Pflichten sich daraus konkret ergeben.
D.ELE Leistungsumfang (u.a. Betroffenheitsbewertung, NIS-2 Beratung und Implementierung)
Die Betroffenheitsbewertung umfasst insbesondere folgende Bausteine:
- Aufnahme der Unternehmenskennzahlen (Mitarbeiterzahl, Jahresumsatz, Jahresbilanzsumme) zur Einordnung nach den gesetzlichen Schwellenwerten für wichtige und besonders wichtige Einrichtungen.
- Prüfung der Sektorzugehörigkeit anhand der in den Anhängen der NIS‑2‑Richtlinie bzw. des NIS2UmsuCG definierten Sektoren (z.B. Energie, Verkehr, Gesundheit, Digitalinfrastruktur, Post‑ und Kurierdienste, Herstellung bestimmter Produkte).
- Bewertung besonderer Fallkonstellationen, z.B. kritische oder wichtige Dienste, KRITIS‑Betreiber, qualifizierte Vertrauensdienste, DNS‑ und Telekommunikationsanbieter sowie sonstige gesetzlich benannte Sonderfälle.
- Analyse der Rolle Ihres Unternehmens in kritischen Lieferketten (z.B. als Zulieferer oder Dienstleister für kritische Sektoren) und Prüfung einer möglichen Betroffenheit aufgrund indirekter Beteiligung.
- Nutzung strukturierter Fragenkataloge und Entscheidungsbäume, orientiert an der offiziellen NIS‑2‑Betroffenheitsprüfung des BSI, zur systematischen Einordnung Ihres Unternehmens.
- Dokumentation der Einordnung (nicht betroffen / wichtige Einrichtung / besonders wichtige Einrichtung) inklusive Begründung der Einstufung und der herangezogenen Kriterien.
- Ableitung der sich aus der Einstufung ergebenden Pflichten (z.B. Registrierung beim BSI, Meldepflichten bei Sicherheitsvorfällen, Anforderungen an das Informationssicherheits‑Management).