In unserer Welt, welche zunehmend von digitalen Technologien beeinflusst wird, erweist sich die Sicherheit unserer Daten und IT- Systeme als immer entscheidender.
Aus dieser Notwendigkeit ist die NIS 2 Richtlinie (Network-and-Information-Security-Richtlinie 2) 2023 in Kraft getreten und ersetzt somit die ehemalige NIS 1. Die neuen Anforderungen der NIS 2 sollen die gesamtheitliche Abwehrkraft der EU gegen Cyberkriminalität stärken, um der immer steigende Bedrohung durch Cyberangriffe entgegenzuwirken. Die neue Richtlinie muss vom deutschen Gesetzgeber bis spätestens 17.10.2024 in nationales Recht umgesetzt sein und gilt dann verpflichtend.
Indes drohen bei fehlerhafter oder Nicht-Umsetzung den leitenden Organen der Einrichtung u.a. empfindliche Bußgelder.
In diesem Artikel finden Sie die wichtigsten Neuerungen und Fragen auf einen Blick, damit Sie oder Ihre Einrichtung diese unliebsamen Konsequenzen vermeiden.
Diese Neuerungen sind unter anderem das Erreichen eines hohen gemeinsamen Sicherheitsniveaus in allen Mitgliedstaaten durch wesentliche Neuerungen, wie den Schutz kritischer Infrastrukturen. Zu den Kernpunkten gehören ebenfalls die Erweiterung des Anwendungsbereichs auf zusätzliche Sektoren, die Einführung strengerer Sicherheitsanforderungen und Meldepflichten für Cybersicherheitsvorfälle sowie verbesserte Durchsetzungsmechanismen. Darüber hinaus stärkt die Richtlinie die nationalen Cybersicherheitsbehörden, fördert die Zusammenarbeit innerhalb der EU und adressiert explizit die Sicherheitsrisiken in Lieferketten. Diese Maßnahmen sind darauf ausgerichtet, die Resilienz gegenüber Cyberbedrohungen zu erhöhen und eine sichere digitale Zukunft zu ermöglichen.
Ist Ihre Einrichtung betroffen?
Ob Ihre Einrichtung bzw. Unternehmen von den Neuerungen betroffen ist, sich also im Anwendungsbereich der Richtlinie befindet ergibt sich aus Artikel 2 der Richtlinie.
Die bisherige Einstufung nach Unternehmensgröße, wie sie die BSI-KritisV vorsah, spielen keine ausschlaggebende Rolle mehr. Ob eine Einrichtung als „wesentlich“ oder „wichtig“ eingestuft wird, hängt nicht mehr von der Größe allein ab, sondern davon, in welchem Sektor Sie tätig ist. Das bedeutet im Umkehrschluss, dass deutlich mehr Unternehmen als bisher von diesen Regelungen betroffen sind.
Zudem muss die Einrichtung entweder ihren Sitz in der EU haben oder ihre Dienstleistungen/ Tätigkeiten dort erbringen.
Wie müssen Sie nun vorgehen?
Es ist wichtig zu betonen, dass gemäß Artikel 20 der NIS2-Richtlinie die Leitungsorgane der Einrichtungen für die Umsetzung der Risikomanagementmaßnahmen verantwortlich sind und im Zweifelsfall für Verstöße gegen die Richtlinie haftbar gemacht werden können. Dies kann zu hohen Bußgeldern und zur persönlichen Haftung der Geschäftsführer führen.
Für alle betroffenen Einrichtungen sieht die NIS 2-Richtlinie in Artikel 21 nun vor, dass angemessene und zeitgemäße Maßnahmen zu treffen sind, um sich und ihre Kunden besser vor Cybergefahren zu schützen.
Dies beinhaltet technische, operative und organisatorische Maßnahmen, die nicht nur auf die Bewältigung von Cybergefahren abzielen, sondern auch dazu dienen, sich auf physische und umweltbedingte Risiken vorzubereiten.
Mögliche Ansätze und Schritte zur Umsetzung in Unternehmen könnten umfassen:
- Risikobewertung und -management: Unternehmen müssen ihre eigenen Cyberrisiken bewerten und entsprechende Managementstrategien entwickeln. Dies beinhaltet die Identifizierung potenzieller Cyberbedrohungen und die Bewertung ihrer Auswirkungen auf die Organisation.
- Implementierung technischer Sicherheitsmaßnahmen: Dazu gehören die Aktualisierung und Sicherung von IT-Systemen, die Einführung von Maßnahmen zur Erkennung und Abwehr von Cyberangriffen sowie die Sicherung der physischen und umweltbedingten Infrastrukturen.
- Organisatorische Maßnahmen: Die Entwicklung von internen Richtlinien und Verfahren zur Cybersicherheit, die Schulung der Mitarbeiter in Sicherheitsfragen und die Einrichtung eines effektiven Incident-Response-Plans.
- Kommunikation und Meldepflichten: Unternehmen müssen sicherstellen, dass sie in der Lage sind, Sicherheitsvorfälle effektiv zu melden, sowohl intern als auch an die zuständigen Behörden, entsprechend den Anforderungen der Richtlinie.
- Verantwortlichkeit und Governance: Die Einrichtung klarer Verantwortlichkeiten innerhalb der Organisation für die Cybersicherheit, einschließlich der Rolle der Geschäftsführung, um die Einhaltung der Richtlinie sicherzustellen.
- Kontinuierliche Überwachung und Überprüfung: Die Einführung von Prozessen zur kontinuierlichen Überwachung der Sicherheitslage und regelmäßige Überprüfungen der Wirksamkeit der implementierten Maßnahmen.
Fazit
Für Unternehmen stellt die NIS2-Richtlinie nicht nur eine Verpflichtung dar, sondern auch eine gute Gelegenheit, ihre Sicherheit zu stärken und Vertrauen bei Kunden und Partnern aufzubauen. Hierbei ist es jedoch entscheidend, dass Unternehmen diese Standards nicht nur als regulatorische Hürde, sondern als wesentlichen Bestandteil ihrer Geschäftsstrategie ansehen, um sich nicht nur zu schützen, sondern auch um sich in einer zunehmend vernetzten Welt zu behaupten.
Folglich erweitert die Richtlinie einerseits den Anwendungsbereich früherer Maßnahmen enorm und bezieht andererseits eine größere Anzahl von Sektoren und digitalen Diensten mit ein. Dies führt zu einer signifikanten Anhebung der Sicherheitsstandards, Anforderungen und Meldepflichten von beispielsweise Sicherheitsvorfällen in der gesamten EU.
Bei Unternehmen ergibt sich daraus die Notwendigkeit, ihre Arbeitsabläufe entsprechend anzupassen, um die neuen Anforderungen zu erfüllen.
Die Umsetzung dieser Ansätze erfordert jedoch stets eine ganzheitliche Betrachtung der Cybersicherheit als integralen Bestandteil der Unternehmensführung und -kultur.
Gerne sind wir hierbei behilflich und bieten umfassende Unterstützung, sowohl bei Fragen, der Einstufung als auch Betrachtung des Unternehmens im Hinblick auf die NIS2-Richtlinie an.
Bildnachweis: (C) TheDigitalArtist, CC0 v1.0, Pixabay