Aktuelles, Branche - geschrieben von dp am Dienstag, Juni 25, 2024 15:57 - noch keine Kommentare
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen
Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen
[datensicherheit.de, 25.06.2024] Ab Oktober 2024 wird die NIS-2-Richtlinie für Unternehmen in Deutschland verbindlich: Konkret müssen dann Unternehmen in sogenannten Kritischen Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitaler Infrastruktur sowie öffentliche Verwaltungen und Forschungseinrichtungen diese EU-Richtlinie einhalten. „Diese Richtlinie, die im Januar 2023 verabschiedet wurde, bringt einige grundlegende Veränderungen mit sich, insbesondere für Unternehmen in Kritischen Sektoren“, ruft Patrycja Schrenk, Geschäftsführerin der PSW GROUP, in ihrer aktuellen Stellungnahme in Erinnerung. Sie erläutert die Implikationen: „Für sie bedeutet es jetzt, proaktiv zu handeln, denn sie müssen bis Oktober spezifische Sicherheitsmaßnahmen implementieren, um ihre Netz- und Informationssysteme zu schützen. Dazu gehören die Einführung von Sicherheitsvorkehrungen wie Verschlüsselung, Zugangskontrolle und Incident-Response-Plänen sowie die Meldepflicht von Sicherheitsvorfällen an die nationalen Behörden.“
Patrycja Schrenk warnt Unternehmen eindringlich vor den Konsequenzen einer Nichteinhaltung der NIS-2-Richtlinie
Umsetzungspflicht der NIS-2-Richtlinie betrifft auch mittelständische Unternehmen
Die NIS-2-Richtlinie sei ein wichtiger Schritt zur Stärkung der Resilienz gegenüber Cyber-Bedrohungen, denn sie lege Mindeststandards fest, um eine einheitliche und effektive Sicherheitsstruktur für Netz- und Informationssysteme in der gesamten Europäischen Union (EU) zu gewährleisten.
Die Umsetzungspflicht der NIS-2-Richtlinie betreffe dabei nicht nur große Unternehmen, sondern auch mittelständische Unternehmen. Unternehmen mit einer Größe von 50 bis 250 Mitarbeitern und einem jährlichen Umsatz von zehn bis 50 Millionen Euro bzw. einer Bilanzsumme von bis zu 43 Millionen Euro seien ebenfalls betroffen.
NIS-2-Auswirkungen auf Unternehmen: Es besteht Handlungsbedarf!
Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden und potenzielle Sanktionen zu vermeiden, sollten Unternehmen jetzt wichtige Maßnahmen ergreifen. Schrenk gibt konkrete Handlungsempfehlungen: Zunächst einmal sollten Unternehmen prüfen, ob sie in den Anwendungsbereich der NIS-2-Richtlinie fallen und sich dann ggf. beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. „Anschließend ist eine gründliche Risikoanalyse unerlässlich, um potenzielle Schwachstellen und Risiken in den eigenen Netz- und Informationssystemen zu identifizieren“, so Schrenk.
Basierend auf den Ergebnissen dieser Analyse sollten angemessene Technische und Organisatorische Maßnahmen (TOM) implementiert werden, um diese Risiken zu minimieren und die Sicherheit der Systeme – einschließlich der Lieferkette – zu verbessern. „Der Einsatz von Kryptographie und gegebenenfalls Verschlüsselungstechnologien ist in diesem Zusammenhang eine Maßnahme, um sensible Daten zu schützen. Darüber hinaus empfehlen sich auch Maßnahmen zur Personalsicherheit, Zugriffskontrolle und ,Asset Management’, um unbefugten Zugriff zu verhindern. Eine Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentifizierung tragen übrigens dazu bei, die Sicherheit von Zugriffen zu erhöhen“, betont Schrenk.
Beschäftigte betroffener Unternehmen sollten jetzt regelmäßig in Cybersecurity geschult werden
Mit der Etablierung sicherer Kommunikationskanäle für Sprach-, Video- und Textkommunikation könne auch im Notfall eine unterbrechungsfreie Kommunikation gewährleistet werden. Zudem sollten Beschäftigte gemäß NIS-2-Richtlinie jetzt regelmäßig in Cybersecurity geschult werden, um sie für Sicherheitsrisiken zu sensibilisieren.
Ein effektives Krisenmanagement sei entscheidend, um bei einem die IT-Sicherheit betreffenden Vorfall schnell, fristgerecht und mit angemessener Reaktion zu handeln. Unternehmen sollten hierzu klare Verfahren und Protokolle für die Erkennung, Bewertung und Bewältigung von Sicherheitsvorfällen entwickeln und auch an ein effektives Backup-Management sowie Wiederherstellungsverfahren denken.
Unternehmen und Leitungsebene können in die Haftung kommen
„Unternehmen, die die Anforderungen der NIS-2-Richtlinie nicht erfüllen, riskieren erhebliche Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Zudem können leitende Organe persönlich haftbar gemacht werden“, warnt Schrenk eindringlich vor den Konsequenzen einer Nichteinhaltung dieser EU-Richtlinie.
Mit einem umfangreichen Angebot an digitalen Zertifikaten und Experten, welche bei der Umsetzung der Anforderungen aus der ISO 27001 unterstützten, stehe die PSW GROUP Unternehmen zur Seite, um die Cyber-Sicherheit zu stärken und widerstandsfähiger gegen Cyber-Bedrohungen zu machen.
Weitere Informationen zum Thema:
PSW GROUP, Marek Röhnee, 21.05.2024
NIS2-Richtlinie: Das ändert sich für Unternehmen ab Oktober 2024
datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung
datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten
datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren