Die digitale Transformation schreitet voran und die damit verbundene
Abhängigkeit von digitalen Technologien stellt zahlreiche Akteure vor
Herausforderungen im Hinblick auf Cybersecurity und Resilienz. Die neue NIS2-
Richtlinie (Network and Information Security Directive) der EU zielt als
Weiterentwicklung der ursprünglichen NIS-Richtlinie darauf ab, die
Sicherheitsanforderungen in der gesamten Europäischen Union zu
standardisieren und weiter zu stärken. Sie erweitert den Geltungsbereich
erheblich und verschärft die Sicherheitsanforderungen für eine Vielzahl von
Sektoren. Zusätzlich nimmt in Deutschland das KRITIS-Dachgesetz die Betreiber
von kritischer Infrastruktur gezielt in den Blick. Wir von IT-Resell stehen Ihnen
bei der Umsetzung der neuen Vorgaben als kompetenter Partner zur Seite.
Die neue NIS2-Richtlinie für mehr Sicherheit in der IT
Mit der seit 2016 bestehenden NIS-Richtlinie hat die EU erstmals Maßnahmen
ergriffen, um hohe gemeinsame Sicherheitsniveaus von Netz- und
Informationssystemen in der Europäischen Union zu gewährleisten und einen
einheitlichen Rechtsrahmen für den Aufbau von Kapazitäten für die
Cybersicherheit geschaffen. Im Zuge des digitalen Wandels, der insbesondere
durch die COVID-19-Krise noch einmal beschleunigt wurde, hat die EU neue
Bedrohungen sowie damit verbundene Herausforderungen ausgemacht und
Mängel an der NIS-Richtlinie festgestellt:
unzureichende Cyberresilienz von in der EU tätigen Unternehmen
uneinheitliche Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren
unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und
Herausforderungen der EU-Mitgliedstaaten
fehlendes gemeinsames Krisenmanagement
Als Reaktion darauf hat die EU-Kommission eine angepasste und deutlich
erweiterte Richtlinie mit überarbeiteten, zukunftssicheren Vorschlägen in das EU-
Gesetzgebungsverfahren eingebracht – die NIS2-Richtlinie.
Die neue NIS2-Richtlinie der EU erweitert die bestehende NIS-Richtlinie, indem
sie den Anwendungsbereich und die Sicherheitsanforderungen deutlich
ausweitet. Die neue Regelung ist bereits seit Anfang 2023 auf EU-Ebene in Kraft
und wird nach ihrer nationalen Umsetzung, die in den EU-Mitgliedsstaaten bis
zum 17. Oktober 2024 erfolgen soll, vollständig wirksam.
Zu den wichtigsten Neuerungen im Vergleich zur bisherigen NIS-Richtlinie
gehören:
ein deutlich erweiterter Anwendungsbereich
verschärfte Sicherheitsanforderungen
umfangreichere Meldepflichten
eine strengere Durchsetzung
Rund 30.000 Institutionen und Unternehmen betroffen
Die Ausweitung des Anwendungsbereichs bedeutet, dass jetzt auch viele kleinere
Organisationen und Unternehmen die neuen Anforderungen erfüllen müssen, die
zuvor nicht unter die NIS-Richtlinie fielen. Nach Schätzungen sind in
Deutschland etwa 30.000 Unternehmen von den neuen Vorschriften der NIS2-
Richtlinie betroffen. Dazu gehören Firmen aus Sektoren wie Energie, Gesundheit,
Verkehr, Bankwesen, digitale Infrastruktur, öffentliche Verwaltung und mehr.
Zusätzlich sind auch Unternehmen in die neue Richtlinie eingeschlossen, die ein
Teil der Lieferkette dieser Sektoren sind oder Dienstleistungen für sie erbringen.
Es ist wichtig zu beachten, dass Unternehmen nicht automatisch darüber
informiert werden, ob sie von der NIS2-Richtlinie betroffen sind. Sie müssen
selbst prüfen, ob sie aufgrund ihrer Größe und Branchenzugehörigkeit unter die
Richtlinie fallen und entsprechende Vorkehrungen treffen müssen.
Strengere Meldepflichten und härtere Sanktionen
Die neue NIS2-Richtlinie erweitert die Meldepflichten. Betroffenen Unternehmen
müssen etwa bereits sicherheitsrelevante Vorfälle den Behörden melden, die
erhebliche Auswirkungen auf die Verfügbarkeit von Diensten haben könnten.
NIS2 führt außerdem einheitlichere und strengere Strafen bei Verstößen gegen
die Sicherheitsvorgaben und die Meldepflichten ein, um sicherzustellen, dass
Unternehmen die neuen Anforderungen ernst nehmen und entsprechende
Maßnahmen zur Cybersicherheit zügig realisieren. Das Management und
verantwortliche Führungskräfte können direkt für Verstöße haftbar gemacht
werden und im schlimmsten Fall sind Geldbußen von bis zu 10 Millionen Euro
oder 2 % des weltweiten Jahresumsatzes möglich. Das zeigt, wie wichtig es ist,
die neuen Vorgaben der NIS2-Richtlinie gemeinsam mit einem zuverlässigen
Partner wie IT-Resell rechtzeitig und vollumfänglich umzusetzen.
Ausnahmen für Kommunen und Bildungseinrichtungen
Die Europäische Union zielt mit der NIS2-Richtlinie vor allem auf Unternehmen
ab, schließt durch die Festlegung der betroffenen Sektoren aber grundsätzlich
auch Bildungseinrichtungen, Städte und Kommunen sowie öffentliche Richtungen
mit ein. In Deutschland gibt es jedoch Bestrebungen, für einige dieser Akteure
Ausnahmen zu schaffen. Der IT-Planungsrat in Deutschland hat den Beschluss
gefasst, Bildungseinrichtungen von der Anwendung der NIS2-Richtlinie
auszunehmen. Für lokale Verwaltungen in den Städten und Kommunen gibt es
ebenfalls den Plan, sie nicht in den Anwendungsbereich der NIS2-Richtlinie
einzubeziehen. Die endgültige Entscheidung steht jedoch noch aus und wird im
Rahmen der nationalen Umsetzung getroffen, die sich derzeit noch im
Entwurfsstadium befindet.
Andere öffentliche Einrichtungen, etwa Bibliotheken, Kinos, Museen und Zoos
können von den neuen Vorgaben der NIS2-Richtlinie durchaus betroffen sein.
Die Einbeziehung hängt unter Umständen von ihrer Größe, ihrem Umsatz und
ihrer Bedeutung für die kritische Infrastruktur ab. Gewissheit wird es auch in
diesen Fällen erst mit der endgültigen nationalen Umsetzung geben.
Grundsätzlich ist es aber ratsam, dass sich auch die Institutionen und
Einrichtungen gemeinsam mit einem erfahrenen Partner wie IT-Resell um
Themen wie Cybersicherheit und Resilienz kümmern, die am Ende
möglicherweise nicht von den neuen Vorgaben betroffen sind – schon aus
Eigeninteresse.
KMU und die NIS2-Richtlinie
Mit der neuen NIS2-Richtlinie wird der Geltungsbereich im Vergleich zu
vorherigen Vorgaben deutlich erweitert. Das bedeutet, dass auch viele kleine
und mittlere Unternehmen (KMU) den neuen Sicherheitsanforderungen und -
vorgaben gerecht werden müssen. Dazu gehören:
Sicherheitsrichtlinien: Entwicklung und Implementierung von
Sicherheitsrichtlinien, die den spezifischen Anforderungen der KMU entsprechen
Sicherheitslösungen: Implementierung von Sicherheitslösungen wie
Sicherheitssoftware, Firewalls und Intrusion-Detection-Systemen
Sicherheitsaudits: Regelmäßige Durchführung von Sicherheitsaudits zur
Identifizierung von Schwachstellen und zur Bewertung der aktuellen
Sicherheitslage
Mitarbeiterschulungen: Regelmäßige Schulungen der Mitarbeiter zur
Sensibilisierung für Cyberbedrohungen und zur Förderung eines sicheren
Umgangs mit IT-Systemen
Ob Ihr Unternehmen betroffen ist, hängt davon ab, ob es bestimmte Kriterien
erfüllt. Unternehmen mit 50 oder mehr Mitarbeitern, einem Umsatz ab 10 Mio.
Euro und einer Jahresbilanzsumme in gleicher Höhe fallen in den
Anwendungsbereich. Das gilt ebenso für Firmen, die in einem der definierten
kritischen Sektoren tätig sind und vorgegebene Schwellenwerte überschreiten
(mehr als 250 Mitarbeiter, Jahresumsatz über 50 Millionen Euro und/oder
Jahresbilanz über 43 Millionen Euro) und damit automatisch als „kritische“ oder
„wichtige“ Unternehmen im Sinne der Richtlinie gelten.
Kontaktieren Sie uns, profitieren Sie von unserer Expertise und setzen Sie den
Grundstein für die Erfüllung der NIS2-Anforderungen. Wir von IT-Resell
besprechen mit Ihnen, ob und in welchen Umfang Ihre Firma von den neuen
Sicherheitsvorgaben betroffen ist und entwickeln gemeinsam mit Ihnen eine
Lösung, mit der Sie und Ihr Unternehmen die neue Richtlinie rechtzeitig erfüllen
können – damit die Cybersicherheit gewährleistet ist und Sanktionen kein Thema
sind.
Hand in Hand mit dem KRITIS-Dachgesetz
Die NIS2-Richtlinie wird durch die CER-Richtlinie und die nationale Umsetzung
KRITIS-Dachgesetz ergänzt. Während die NIS2-Vorgaben primär auf die
Cybersicherheit und präventive Maßnahmen für ein hohes gemeinsames Niveau
der Cybersicherheit abzielen, fokussiert sich das KRITIS-Dachgesetz auf die
physische Sicherheit und Cyberresilienz kritischer Infrastrukturen. Das Ziel:
Störungen und Ausfälle bestmöglich verhindern, deren Folgen begrenzen und die
Funktionsfähigkeit nach einem Vorfall schnell wiederherzustellen – egal ob
Unwetter, menschliches Versagen oder ein Sabotageakt die Ursache ist.
Im Gegensatz zur NIS2-Richtlinie, die nach Schätzungen bis zu 30.000
Unternehmen betrifft, nimmt das KRITIS-Dachgesetz ganz gezielt kritische
Infrastrukturen in den Blick. Definiert sind Unternehmen in verschiedenen
Sektoren, die essenziell für die Gesamtversorgung in Deutschland sind und mehr
als 500.000 Personen versorgen.
Das KRITIS-Dachgesetz führt verschiedene Maßnahmen zur Steigerung der
Resilienz kritischer Infrastrukturen ein:
Resilienzpläne: Betreiber kritischer Infrastruktur müssen Resilienzpläne
erstellen, die Risikoanalysen, Notfallvorsorge, Krisenmanagement und
Maßnahmen zur Wiederherstellung kritischer Dienstleistungen enthalten
Risikoanalysen: Es sind regelmäßige Risikoanalysen erforderlich, um
potenzielle Schwachstellen zu identifizieren und zu minimieren – mindestens alle
vier Jahre
Physischer Schutz: Betreiber müssen Maßnahmen zum physischen Schutz der
Infrastruktur umsetzen, etwa Zäune und sichere Zugangskontrollen
Business Continuity Management: Wichtiger Bestandteil des
Resilienzmanagements sind Business Continuity Managementsysteme (BCMS),
die implementiert werden müssen
Audits und Überwachung: Zweijährliche Audits durch das Bundesamt für
Bevölkerungsschutz und Katastrophenhilfe (BBK), um die Umsetzung der
Resilienzmaßnahmen zu überprüfen
Fazit: Akuter Handlungsbedarf für viele Unternehmen
Die NIS2-Richtlinie und das KRITIS-Dachgesetz stellen ganz neue Anforderungen
an zahlreiche Akteure und viele Unternehmen – darunter auch viele KMU. Bei
Verstößen gegen die neuen Vorgaben können das Management und
Führungskräfte verantwortlich gemacht werden und es drohen empfindliche
Sanktionen für das Unternehmen. IT-Resell steht Ihnen als erfahrener und
zuverlässiger Partner zur Seite, um die neuen Anforderungen rechtzeitig zu
erfüllen und die Sicherheit sowie die Resilienz Ihrer IT zu gewährleisten. Greifen
Sie auf unsere Expertise zurück und lassen Sie sich von unserem geschulten
Personal individuell beraten, um gemeinsam die besten Lösungen für Ihre
spezifischen Bedürfnisse zu finden.
Comments