NIS2: Neue Cybersicherheitsstandards für Unternehmen

Geschrieben von Stefan Kröger

Juni 14, 2024

Die Umsetzung einer angemessenen Cybersicherheit in der Industrie, bei Behörden und bei Dienstleistern ist eine der größten Herausforderungen unserer Zeit. Um dieser Herausforderung besser begegnen zu können und die IT-Systeme vor Hackerangriffen zu schützen, hat die Europäische Union die Richtlinie NIS2 (Netz- und Informationssicherheit) verabschiedet.

In diesem Blogbeitrag erläutern wir die wesentlichen Maßnahmen, die Unternehmen nach dem NIS2-Umsetzungsgesetz ergreifen sollten.

 

Was ist NIS 2?

NIS 2 ist die überarbeitete Version der ursprünglichen NIS-Richtlinie von 2016. Sie zielt darauf ab, die Sicherheitsanforderungen für Netz- und Informationssysteme in der EU zu verbessern und die Mitgliedstaaten dabei zu unterstützen, Cyberbedrohungen zu verhindern oder die Auswirkungen abzumildern. NIS 2 wurde im Dezember 2022 angenommen und muss bis zum 17.Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden.

 

Wichtige Neuerungen und Anforderungen

Erweiterter Anwendungsbereich

Eine der bedeutendsten Änderungen in NIS 2 ist der erweiterte Anwendungsbereich. Während die ursprüngliche NIS-Richtlinie nur bestimmte Sektoren abdeckte (kritische Infrastruktur wie Energie, Verkehr und Gesundheit), umfasst NIS 2 nun eine breitere Palette von Sektoren und auch mittelgroße Unternehmen, die als wesentlich für die Wirtschaft und Gesellschaft betrachtet werden. Dazu gehört beispielsweise die Lebensmittelbranche, der Maschinenbau, IT-Dienstleister und der öffentliche Sektor.

 

Strengere Sicherheitsanforderungen

NIS 2 legt strengere Sicherheitsanforderungen für Unternehmen und Organisationen fest. Diese Anforderungen beinhalten unter anderem:

  • Risikomanagement: Unternehmen müssen ein robustes Risikomanagementsystem implementieren, das regelmäßig überprüft und an die Bedrohungslage angepasst wird.
  • Sicherheitsmaßnahmen: Es müssen technische und organisatorische Maßnahmen ergriffen werden, um Netz- und Informationssysteme zu schützen und zu bewältigen. Dazu gehören beispielsweise regelmäßige Sicherheitsüberprüfungen inkl. der Lieferkette, Mitarbeiterschulungen, der Einsatz von Kryptografie und Verschlüsselung oder ein Backup- und Wiederherstellungsmanagement.
  • Meldepflichten: Cybervorfälle müssen unverzüglich den zuständigen nationalen Behörden gemeldet werden. Die Frist für die Meldung beträgt in der Regel 24 Stunden nach Entdeckung des Vorfalls.

 

Stärkere Aufsicht und Sanktionen

Die Aufsicht über die Einhaltung der NIS 2-Richtlinie wird verschärft. Nationale Behörden erhalten erweiterte Befugnisse zur Überprüfung und Durchsetzung der Richtlinie. Bei Nichteinhaltung drohen erhebliche Strafen. Dies soll sicherstellen, dass Unternehmen die Anforderungen ernst nehmen und aktiv Maßnahmen zur Verbesserung ihrer Cybersicherheit ergreifen.

 

Fazit

NIS 2 legt die Grundlagen zur Verbesserung der Cybersicherheit in der EU. Durch die Erweiterung des Anwendungsbereichs bzw. der von NIS2 betroffenen Einrichtungen, die Einführung strengerer Sicherheitsanforderungen und deren Kontrolle durch nationale Aufsichtsbehörden soll die Richtlinie dazu beitragen, die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen. Gleichzeitig sollen Unternehmen vorbereitet sein, um im Falle eines Cyberangriffs den Geschäftsbetrieb zumindest im Notbetrieb fortzuführen.

Für die betroffenen Unternehmen und Organisationen bedeutet dies, dass sie ihre bestehenden Sicherheitsstrategien kontinuierlich überdenken und risikobasierend anpassen müssen, um den Anforderungen von NIS 2 gerecht zu werden.

Die Zeit drängt, die Frist zur Einführung von NIS2 als geltendes Recht läuft am 24. Oktober 2024 ab. ADVASO hilft Ihnen, die gesetzlichen Vorgaben zu erfüllen.

 

Interessante externe Links zum Thema:

Information des BMI zum Gesetzentwurf

NIS2 Gesetzentwurf als PDF (BMI vom 22.07.2024)

Bleiben Sie dran am Thema: Im nächsten Blog werden wir Sie über den aktuellen Stand des Gesetzgebungsverfahrens des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) informieren und Ihnen die Kriterien für besonders wichtige Einrichtungen darlegen.

Hier gehts zum Blogbeitrag NIS2-Umsetzungsgesetz

Autor

  • Stefan Kröger ist zertifizierter Datenschutz- und Datensicherheitsexperte. Er verfügt über langjährige Projekterfahrung in den Bereichen Datenqualität, Datenschutz, Datensicherheit, Compliance und gesetzliche Rahmenbedingungen und Richtlinien. Stefan ist Geschäftsführer der Audit NRW GmbH und langjähriger Partner der ADVASO GmbH.

    Alle Beiträge ansehen