Was ist das NIS2-Gütezeichen?

Die NIS2-Richtlinie bringt strengere Anforderungen an die digitale Ausfallsicherheit mit sich. Aber woher wissen Sie als Unternehmen, ob ein Anbieter die Anforderungen erfüllt? Hierfür ist die NIS2-Qualitätszeichen entwickelt: ein unabhängiger Standard, der zeigt, dass eine Organisation auf die neuen europäischen Rechtsvorschriften zur Cybersicherheit vorbereitet ist. 

Was ist die NIS2-Leitlinie? 

Die NIS2 (Network and Information Security Directive 2) ist eine europäische Richtlinie, die im vierten Quartal 2025 in niederländisches Recht umgesetzt werden soll. In den Niederlanden wird dies das Ceber-Sicherheitsgesetz sein. (CBW). Das CBW verlangt von Tausenden von Unternehmen in kritischen Sektoren - und ihren Zulieferern - die Einhaltung bestimmter Anforderungen an die Informationssicherheit, das Risikomanagement, die Reaktion auf Vorfälle und die Berichterstattung. 

Warum wurde das NIS2-Gütezeichen entwickelt? 

Organisationen, die selbst unter NIS2 fallen, so genannte NIS2-Organisationen, arbeiten in der Regel mit IT-, Cloud- oder Sicherheitsanbietern zusammen. Im Rahmen von NIS2 bleibt die Hauptverantwortung für die Cybersicherheit bei der primären Organisation, aber sie muss auch nachweisen, dass ihre Lieferanten demonstrieren sichere Arbeitspraktiken. 

Das NIS2-Qualitätszeichen hilft dabei. Es ist ein extern verifizierter Nachweis dafür, dass ein Anbieter die richtigen Maßnahmen ergriffen hat, um die NIS2-Verpflichtungen zu erfüllen - ohne dass der Kunde die vollständige Bewertung selbst vornehmen muss. 

Was prüft das NIS2-Gütezeichen? 

Das NIS2-Qualitätszeichen basiert auf den Grundsätzen des NIS2-Leitfadens und prüft u. a. folgende Punkte 

• Informationssicherheitspolitik und Risikomanagement 

• Kontinuität, Wiederherstellungspläne und Reaktion auf Zwischenfälle 

• Systemzugang und Netzsegmentierung 

• Lieferantenmanagement und Verantwortung in der Lieferkette 

• Anforderungen an die Berichterstattung über Vorfälle 

Die Bewertung wird von einer unabhängigen Institution wie DigiTrust durchgeführt. Nur bei einer positiven Bewertung kann das Gütezeichen verwendet werden. 

Auf der Website des NIS2-Gütezeichens (https://nis2qualitymark.eu/) listet mehrere Partner auf, die bei der Umsetzung helfen und Prüfungen vornehmen. 

3 verschiedene Stufen 

Im Rahmen des NIS2-Qualitätszeichens gibt es 3 verschiedene Stufen. Abhängig von der Dienstleistung, die Sie als Lieferant für einen NIS2-Verantwortlichen erbringen, und dem damit verbundenen Risiko kann gemeinsam mit dem Auftraggeber / NIS2-Verantwortlichen das richtige QM-Level gewählt werden. 

• QM10 = die grundlegenden Anforderungen, meist geeignet für KMU-Organisationen 

• QM20 = Anforderungen an Lieferanten, wenn die Dienstleistung ein erhöhtes Risiko für den NIS2-Verantwortlichen darstellt.  

• QM30 = höchste Stufe, geeignet für Lieferanten mit höherem Risiko, aber auch geeignet für NIS2 selbst. 

Für wen ist das NIS2-Qualitätszeichen relevant? 

Das NIS2-Qualitätszeichen ist in erster Linie für die NIS2-Verantwortlichen und ihre Zulieferer bestimmt. Für diese Lieferanten kann das Qualitätszeichen der unverwechselbare Beweis dafür sein, dass sie NIS2-konform sind. 

Ist das NIS2-Qualitätszeichen obligatorisch? 

Nein, das NIS2-Qualitätszeichen ist nicht gesetzlich vorgeschrieben. Die NIS2-Gesetzgebung selbst erlegt Verpflichtungen für die Ergebnisseaber nicht, wie sie nachgewiesen werden. Das Qualitätszeichen ist also freiwillig, aber es bietet eine standardisierte und objektive Möglichkeit, die Einhaltung der Vorschriften nachzuweisen. Darüber hinaus wird das Gütezeichen von vielen Branchenverbänden anerkannt. 

Wie unterscheidet sie sich von ISO 27001? 

ISO 27001 ist ein internationaler Standard für Informationssicherheit. Das NIS2-Gütezeichen hingegen ist speziell auf die Prüfung der NIS2-Richtlinie ausgerichtet. Die Managementmaßnahmen im Rahmen des NIS2-Gütezeichens können mit den Managementmaßnahmen nach ISO 27001 abgeglichen werden. Im Rahmen des NIS2-Gütezeichens sind die Anforderungen an die Kontrollmaßnahmen jedoch breiter gefasst. 

Viele Organisationen kombinieren beides. ISO 27001 kann als Grundlage für die strukturelle Informationssicherheit dienen, während das NIS2-Qualitätszeichen hilft, die Einhaltung der spezifischen Anforderungen des Cybersicherheitsgesetzes (CBW) nachzuweisen 

Was sind die Vorteile des NIS2-Gütezeichens? 

• ✔ Unabhängiger Nachweis der NIS2-Konformität 

• ✔ Steigert das Vertrauen der Kunden 

• ✔ Erleichtert Ausschreibungen und Vertragsabschlüsse 

• ✔ Zeigen Sie, dass Sie die Kettenverantwortung ernst nehmen 

• ✔ Unterstützt Risikomanagement und Transparenz 

Wie erhält man das NIS2-Qualitätszeichen? 

Eine Organisation muss sich zunächst bei der NIS2-Organisation anmelden. (https://nis2qualitymark.eu/) 

Nachdem die Organisation einen Antrag gestellt hat, kann DigiTrust mit der Durchführung des Audits beauftragt werden. Das NIS2-Gütezeichen wird auf der Grundlage einer unabhängigen Prüfung vergeben. DigiTrust führt diese Bewertung auf der Grundlage objektiver Kriterien durch, die aus der NIS2-Richtlinie abgeleitet sind. 

Im Falle einer positiven Bewertung erhalten Sie das Qualitätszeichen für einen Zeitraum von 3 Jahren, mit der Möglichkeit der Verlängerung bei einer erneuten Bewertung. 

Brauchen Sie Hilfe bei der Überprüfung?

DigiTrust hilft Ihnen nicht bei der Umsetzung, sondern prüft unabhängig und fachkundig. Möchten Sie prüfen, ob Ihre Organisation oder Ihr Lieferant qualifiziert ist? Kontaktieren Sie uns oder werfen Sie einen Blick auf die NIS2 Qualitätsmarke Seite.