Die Bedrohungen im Bereich der Cyberkriminalität wachsen, umso mehr sollten Unternehmen sich mit den passenden Maßnahmen dagegen schützen. Für den Schutz von Unternehmen, Geschäftspartnern und Kunden kommt es auf die Erfüllung der Vorgaben der NIS2-Richtlinie an, die noch in diesem Jahr zu erfüllen ist. Mehr zu den Zielen und Neuerungen in folgendem Beitrag.
Was ist die NIS2 Richtlinie?
Für strengere Cybersecurity-Vorschriften gibt es seitens der EU neue Vorgaben. Als Nachfolger der Netz- und Informationssicherheits-Richtlinie 1 (NIS1) gibt es die aktuelle NIS 2, die eine Verbesserung der vorhergehenden Sicherheitsrichtlinie ist. Die erste Fassung der Richtlinie trat am 16. Januar 2023 in Kraft. Die Frist zur Umsetzung von NIS2 läuft bis zum 17. Oktober 2024. Bis dahin müssen alle Unternehmen in EU-Mitgliedstaaten die vorgeschriebenen Maßnahmen zur Einhaltung der NIS-2-Richtlinie anwenden.
NIS2 Analyse – darum ist sie für Unternehmen wichtig
Mit einer NIS2 Analyse lässt sich in Unternehmen herausfinden, ob alle Vorgaben der NIS2-Richtlinie bereits erfüllt sind und wo mögliche Schwachstellen und Risiken liegen. In einem NIS2 Quick Check wird zunächst ermittelt, ob ein Unternehmen überhaupt zur Einhaltung der NIS2 verpflichtet ist und welche Maßnahmen als Erstes umzusetzen sind. Innerhalb einer umfassenden Prüfung werden alle zu beachtenden Punkte und Maßnahmen definiert und mögliche Schwachstellen auf potenzielle Risiken bewertet. Die Analyse dient Unternehmen als Plan, wie sie ihr Risiko minimieren und Probleme mit den richtigen Maßnahmen beheben können, damit sie die NIS-2-Richtlinie künftig umfassend erfüllen.
Das sind die Ziele
Mit der Neuauflage der NIS verfolgt die EU verschiedene Ziele. Hauptsächlich geht es um die Verbesserung der Schutzmaßnahmen, um mögliche Bedrohungen im Cybernetz zukünftig noch besser abwehren zu können. Erfüllt werden müssen die Richtlinien von verschiedenen Unternehmen, etwa aus dem Energiesektor, Finanzsektor, Gesundheitssektor und anderen wichtigen Einrichtungen oder Organisationen der europäischen Wirtschaft und Gesellschaft. Als essenzielle Einrichtungen gelten etwa Energieversorger, Verkehrs- und Wasserversorgungsunternehmen, das Bankwesen, Einrichtungen aus dem Gesundheitssektor sowie öffentliche Verwaltungen und Unternehmen der digitalen Infrastruktur.
Hinweis: Die Pflicht zur Einhaltung gilt bereits, wenn ein Unternehmen mehr als 50 Mitarbeiter hat und einen Jahresumsatz von mehr als 10 Millionen Euro erwirtschaftet.
Ziele im Überblick:
- Schutz vor Cyberbedrohungen verbessern
- Erhöhung der Widerstandsfähigkeit und Reaktionsfähigkeit
- Definition klarer Leitlinien und Handlungsvorgaben für Unternehmen und Organisationen
- Klärung der Haftung in Unternehmen
- Regelung der Meldepflichten nach Vorfällen
- Definition von Kontrollen und Kontrollmechanismen
Änderungen von NIS zu NIS2
Insgesamt ist die NIS2 eine aktualisierte und umfassendere Cybersecurity-Richtlinie. Es gab gleich mehrere Änderungen von der ersten zur zweiten Fassung. Zum einen wurden die Richtlinien nochmals komplett überarbeitet, mit dem Ziel, diese noch klarer und eindeutig zu formulieren. Im Vergleich zu NIS1 gilt die neue Richtlinie nun für mehr Unternehmen und Organisationen, sodass sich einige zum ersten Mal damit befassen müssen. Auch in Bezug der Haftung gab es eine Änderung. Ganz neu ist bei NIS2, dass Geschäftsführer eines Unternehmens bei Nichteinhaltung der gesetzlichen Vorgaben mit ihrem Privatvermögen für mögliche Schäden haften müssen – ein Grund mehr, sich schnellstmöglich mit der Umsetzung der Richtlinie zu befassen. Neu ist auch die Meldepflicht nach einem sicherheitsrelevanten Vorfall, die nun laut NIS2 24 Stunden statt wie bisher nach 72 Stunden beträgt, um künftig noch schnellere Reaktionen auf akute Bedrohungen zu ermöglichen.