Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen

Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

[datensicherheit.de, 25.06.2024] Ab Oktober 2024 wird die NIS-2-Richtlinie für Unternehmen in Deutschland verbindlich: Konkret müssen dann Unternehmen in sogenannten Kritischen Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitaler Infrastruktur sowie öffentliche Verwaltungen und Forschungseinrichtungen diese EU-Richtlinie einhalten. „Diese Richtlinie, die im Januar 2023 verabschiedet wurde, bringt einige grundlegende Veränderungen mit sich, insbesondere für Unternehmen in Kritischen Sektoren“, ruft Patrycja Schrenk, Geschäftsführerin der PSW GROUP, in ihrer aktuellen Stellungnahme in Erinnerung. Sie erläutert die Implikationen: „Für sie bedeutet es jetzt, proaktiv zu handeln, denn sie müssen bis Oktober spezifische Sicherheitsmaßnahmen implementieren, um ihre Netz- und Informationssysteme zu schützen. Dazu gehören die Einführung von Sicherheitsvorkehrungen wie Verschlüsselung, Zugangskontrolle und Incident-Response-Plänen sowie die Meldepflicht von Sicherheitsvorfällen an die nationalen Behörden.“

Foto: PSW GROUP

Patrycja Schrenk warnt Unternehmen eindringlich vor den Konsequenzen einer Nichteinhaltung der NIS-2-Richtlinie

Umsetzungspflicht der NIS-2-Richtlinie betrifft auch mittelständische Unternehmen

Die NIS-2-Richtlinie sei ein wichtiger Schritt zur Stärkung der Resilienz gegenüber Cyber-Bedrohungen, denn sie lege Mindeststandards fest, um eine einheitliche und effektive Sicherheitsstruktur für Netz- und Informationssysteme in der gesamten Europäischen Union (EU) zu gewährleisten.

Die Umsetzungspflicht der NIS-2-Richtlinie betreffe dabei nicht nur große Unternehmen, sondern auch mittelständische Unternehmen. Unternehmen mit einer Größe von 50 bis 250 Mitarbeitern und einem jährlichen Umsatz von zehn bis 50 Millionen Euro bzw. einer Bilanzsumme von bis zu 43 Millionen Euro seien ebenfalls betroffen.

NIS-2-Auswirkungen auf Unternehmen: Es besteht Handlungsbedarf!

Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden und potenzielle Sanktionen zu vermeiden, sollten Unternehmen jetzt wichtige Maßnahmen ergreifen. Schrenk gibt konkrete Handlungsempfehlungen: Zunächst einmal sollten Unternehmen prüfen, ob sie in den Anwendungsbereich der NIS-2-Richtlinie fallen und sich dann ggf. beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. „Anschließend ist eine gründliche Risikoanalyse unerlässlich, um potenzielle Schwachstellen und Risiken in den eigenen Netz- und Informationssystemen zu identifizieren“, so Schrenk.

Basierend auf den Ergebnissen dieser Analyse sollten angemessene Technische und Organisatorische Maßnahmen (TOM) implementiert werden, um diese Risiken zu minimieren und die Sicherheit der Systeme – einschließlich der Lieferkette – zu verbessern. „Der Einsatz von Kryptographie und gegebenenfalls Verschlüsselungstechnologien ist in diesem Zusammenhang eine Maßnahme, um sensible Daten zu schützen. Darüber hinaus empfehlen sich auch Maßnahmen zur Personalsicherheit, Zugriffskontrolle und ,Asset Management’, um unbefugten Zugriff zu verhindern. Eine Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentifizierung tragen übrigens dazu bei, die Sicherheit von Zugriffen zu erhöhen“, betont Schrenk.

Beschäftigte betroffener Unternehmen sollten jetzt regelmäßig in Cybersecurity geschult werden

Mit der Etablierung sicherer Kommunikationskanäle für Sprach-, Video- und Textkommunikation könne auch im Notfall eine unterbrechungsfreie Kommunikation gewährleistet werden. Zudem sollten Beschäftigte gemäß NIS-2-Richtlinie jetzt regelmäßig in Cybersecurity geschult werden, um sie für Sicherheitsrisiken zu sensibilisieren.

Ein effektives Krisenmanagement sei entscheidend, um bei einem die IT-Sicherheit betreffenden Vorfall schnell, fristgerecht und mit angemessener Reaktion zu handeln. Unternehmen sollten hierzu klare Verfahren und Protokolle für die Erkennung, Bewertung und Bewältigung von Sicherheitsvorfällen entwickeln und auch an ein effektives Backup-Management sowie Wiederherstellungsverfahren denken.

Unternehmen und Leitungsebene können in die Haftung kommen

„Unternehmen, die die Anforderungen der NIS-2-Richtlinie nicht erfüllen, riskieren erhebliche Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Zudem können leitende Organe persönlich haftbar gemacht werden“, warnt Schrenk eindringlich vor den Konsequenzen einer Nichteinhaltung dieser EU-Richtlinie.

Mit einem umfangreichen Angebot an digitalen Zertifikaten und Experten, welche bei der Umsetzung der Anforderungen aus der ISO 27001 unterstützten, stehe die PSW GROUP Unternehmen zur Seite, um die Cyber-Sicherheit zu stärken und widerstandsfähiger gegen Cyber-Bedrohungen zu machen.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhnee, 21.05.2024
NIS2-Richtlinie: Das ändert sich für Unternehmen ab Oktober 2024

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster