KRITIS Saarland

Umfassender Schutz für Ihre kritische Infrastruktur

Wir machen Ihr KMU krisenfest, ohne dass Sie daran verzweifeln. Wieso sollte Sie das interessieren? Weil Hacker sich leider nicht dafür interessieren, dass Sie „nur“ ein mittelständisches Unternehmen sind.

Software-Auswahl & Evaluation

Der Markt für Compliance- und Sicherheits-Software ist unübersichtlich und teuer. Wir verkaufen Ihnen kein eigenes Produkt, sondern beraten Sie vollkommen unabhängig bei der Auswahl der passenden Lösung. Wir analysieren Ihre bestehende IT-Landschaft, filtern die Tools heraus, die wirklich zu Ihrer Unternehmensgröße passen, und sorgen dafür, dass Sie nur für das bezahlen, was Sie auch tatsächlich brauchen.

KRITIS-Audits & Vorbereitung

Ein Audit fühlt sich für KMUs oft an wie eine unangekündigte Steuerprüfung. Wir nehmen dem Ganzen den Schrecken. Wir auditieren Ihre Systeme und Prozesse objektiv vorab, decken versteckte Schwachstellen auf und prüfen, ob Ihre Software und Abläufe der Realität standhalten. So gehen Sie absolut gelassen und bestens vorbereitet in jede offizielle KRITIS-Überprüfung.

Schnittstellen-Beratung


IT-Sicherheit und DSGVO sind in der Praxis oft zwei verschiedene Welten, die sich im KRITIS-Fall gegenseitig blockieren. Wir lösen dieses Silo-Denken auf. Wir beraten Sie systemisch an der sensiblen Schnittstelle zwischen Ihrem Integrierten Managementsystem (IMS) und den harten Vorgaben der Datenschutz-Grundverordnung, damit technische Sicherheit und rechtliche Compliance nahtlos ineinandergreifen.

NIS-2 ohne Bürokratie pragmatisch umsetzen

Das neue NIS-2-Gesetz wirkt auf den ersten Blick überwältigend, lässt sich aber mit der richtigen Struktur zielgerichtet umsetzen. Wir brechen die komplexen regulatorischen Vorgaben in klare, überschaubare Meilensteine herunter, die exakt auf Ihre Unternehmensgröße abgestimmt sind. Gemeinsam analysieren wir Ihre bestehenden Abläufe und integrieren die neuen Anforderungen an die Cybersicherheit nahtlos in Ihre digitalen Prozesse.

Auf diese Weise erfüllen Sie alle gesetzlichen Auflagen, während Ihr operatives Tagesgeschäft ungestört weiterlaufen kann. Von der ersten Betroffenheitsanalyse bis zur erfolgreichen Etablierung im Betrieb begleiten wir Sie Schritt für Schritt als verlässlicher Partner.

  • Risikoanalyse

    Wir prüfen die gesetzlichen Schwellenwerte für Ihr Unternehmen und gleichen Ihre bestehenden Sicherheitsmaßnahmen mit den neuen Anforderungen ab.

  • Maßnahmenplan

    Wir identifizieren potenzielle Schwachstellen in Ihren Prozessen sowie Ihrer Lieferkette und definieren die notwendigen technischen und organisatorischen Schritte.

  • Prozessuale Integration

    Die geforderten Sicherheitsvorkehrungen wie Notfallpläne, Backup-Konzepte und das dreistufige Meldewesen, werden nahtlos in Ihren Betriebsalltag integriert.

  • Management-Schulung

    Wir schulen Ihre Geschäftsführung bezüglich der neuen persönlichen Haftungsrisiken und verankern das Thema Cybersicherheit fest in der Unternehmenskultur.

  • Nachweiserbringung

    Wir unterstützen Sie bei der normgerechten Aufbereitung aller erforderlichen Nachweise und Berichte, damit Ihr Unternehmen bestmöglich auf behördliche Überprüfungen durch das BSI vorbereitet ist.

Wenn Ihr KMU durch EU Regulation plötzlich wie ein fremder Planet wirkt, bringen wir Ihre Compliance zurück auf den Boden der Tatsachen.

Die KRITIS Bereiche

Die KRITIS-Sektoren: Gehört Ihr Unternehmen dazu?

Die europäische Regulierung unterscheidet strikt zwischen „besonders wichtige“ und „wichtige“ Einrichtungen, je nachdem, wie kritisch Ihr Ausfall für die öffentliche Infrastruktur wäre. Während wesentliche Betriebe unter permanenter, strenger Aufsicht stehen, greifen auch für wichtige Unternehmen bereits scharfe IT-Sicherheits und Meldepflichten. Die folgenden zehn Sektoren bilden das Fundament unserer modernen Infrastruktur und stehen im absoluten Fokus der neuen Gesetze.

Besonders wichtige Einrichtungen sind:

Zu den wichtigen Einrichtungen gehören:

NIS-2 und KRITIS

Jetzt unverbindlich beraten lassen:

Sie sind sich unsicher, ob Ihr Unternehmen unter die NIS-2-Regulierung fällt, oder benötigen Unterstützung bei der Umsetzung der Sicherheitsanforderungen?
Nutzen Sie unser Kontaktformular, um Ihre Fragen mit uns unverbindlich zu besprechen. 

Adresse

Saarbrücker Straße 7, 66399 Ommersheim

E-Mail

info[at]schoenbucher-consulting.de

Telefon

+49 6803 57 99 820

Weitere Videos

Kritische Infrastruktur Effektiv Schützen

Häufige Fragen

Hier finden Sie schnelle und unkomplizierte Antworten auf die wichtigsten Fragen zum neuen NIS-2-Umsetzungsgesetz in Deutschland. Erfahren Sie direkt, ob Ihr Unternehmen von den neuen Cybersicherheits-Richtlinien betroffen ist und welche gesetzlichen Pflichten jetzt auf Sie zukommen.

Das Gesetz verpflichtet rund 30.000 Unternehmen in Deutschland dazu, Mindeststandards bei ihrer Cybersicherheit einzuhalten. Ziel ist es, die Wirtschaft und die Versorgung der Bevölkerung (Infrastruktur) widerstandsfähiger gegen Cyberangriffe, Erpressungen durch Ransomware und Sabotage zu machen.

Die Pflichten treffen ein Unternehmen nur, wenn zwei Bedingungen gleichzeitig erfüllt sind: Es muss in einem der 14 regulierten Sektoren tätig sein (wie Energie, Chemie oder Maschinenbau) und eine bestimmte Größe erreichen. Die Einstufung erfolgt über die sogenannte „Size-Cap-Regel“:

  • Wichtige Einrichtungen: Unternehmen im regulierten Sektor mit mindestens 50 Mitarbeitern oder ab 10 Millionen Euro Jahresumsatz.

  • Besonders wichtige Einrichtungen: Größere Unternehmen im regulierten Sektor mit mindestens 250 Mitarbeitern oder ab 50 Millionen Euro Jahresumsatz.

  • Einige kritische Dienstleister (wie DNS-Anbieter, qualifizierte Vertrauensdienste oder Betreiber echter KRITIS-Anlagen) sind völlig größenunabhängig betroffen. Sie müssen die Richtlinie selbst dann erfüllen, wenn sie ein Kleinstunternehmen mit nur einem Mitarbeiter sind.

KRITIS bezeichnet nach wie vor ganz konkret die physischen Anlagen der kritischen Infrastruktur (wie ein großes Wasserwerk oder ein Stromnetz), deren Ausfall dramatische Folgen für Millionen Menschen hätte. NIS-2 weitet den Blickwinkel massiv aus: Es reguliert nun auch normale Unternehmen und Dienstleister in wichtigen Wirtschaftszweigen (wie Maschinenbau, Chemie oder Lebensmittel), selbst wenn sie keine gigantische Großanlage betreiben.

Es gibt drei zentrale Hauptpflichten, die unverzüglich umgesetzt werden müssen:

  • Registrierung: Unternehmen müssen sich selbstständig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
  • Risikomanagement: Es müssen Sicherheitsmaßnahmen nach dem aktuellen Stand der Technik implementiert werden (u. a. Verschlüsselung, Business Continuity/Backup-Konzepte, Schulungen und die Absicherung der eigenen Lieferketten).
  • Meldepflicht: IT-Sicherheitsvorfälle mit erheblichen Auswirkungen müssen in einem dreistufigen System (Erstmeldung bereits innerhalb von 24 Stunden) an das BSI gemeldet werden.

Die zuständige Aufsichtsbehörde ist das BSI. Bei „besonders wichtigen Einrichtungen“ kontrolliert das BSI die Einhaltung der Sicherheitsvorkehrungen proaktiv (z. B. durch Audits alle drei Jahre), bei „wichtigen Einrichtungen“ reagiert das BSI anlassbezogen bei Verdacht oder nach Vorfällen. Bei Missachtung der Pflichten drohen empfindliche Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Ja, das ist eine der schärfsten Neuerungen des Gesetzes: Cybersicherheit ist ausdrücklich Chefsache. Die Geschäftsführung (Vorstände, Geschäftsführer) ist gesetzlich verpflichtet, die Cybersicherheitsmaßnahmen persönlich zu überwachen und freizugeben. Werden diese Pflichten grob fahrlässig verletzt, können die Führungskräfte vom eigenen Unternehmen in Regress genommen werden und haften im schlimmsten Fall unbeschränkbar mit ihrem Privatvermögen.