Was bedeutet das NIS2-Umsetzungsgesetz für Unternehmen? In der heutigen digitalen Ära sind Unternehmen zunehmend von komplexen Cyberbedrohungen betroffen. Um diesen Herausforderungen zu begegnen und die digitale Infrastruktur zu schützen, hat die Europäische Union die Richtlinie NIS2 (Netz- und Informationssicherheit) verabschiedet. Diese neue Richtlinie soll die Cybersicherheit in Europa stärken und setzt erweiterte Anforderungen an Unternehmen.

In diesem Blogbeitrag erläutern wir die wesentlichen Maßnahmen, die Unternehmen nach dem NIS2-Umsetzungsgesetz ergreifen sollten.

 

1. Aktueller Stand des Verfahrens

Richtlinien müssen immer in nationales Gesetz überführt werden. Hierfür hat die Europäische Union in der Richtline eine Frist bis zum 17.10.2024 gesetzt. Aktuell läuft das Gesetzgebungsverfahren des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) noch. Ob dies rechtzeitig zum Abschluss kommen wird und welche Auswirkungen dies auf betroffene Unternehmen hätte, wenn nicht, kann derzeit nicht abgeschätzt werden.

Teil des NIS2UmsuCG ist das BSI-Gesetz (BSIG). Darin sind in § 28 die betroffenen Unternehmen und Organisationen als besonders wichtige Einrichtungen definiert. Sektoren besonders wichtiger Einrichtungen werden in den Anlagen 1 und 2 des BSIG beschrieben.

 

2. Erweiterter Anwendungsbereich

Im Vergleich zur vorherigen NIS-Richtlinie umfasst NIS2 einen erweiterten Anwendungsbereich. Nun sind mehr Sektoren und Unternehmen, einschließlich mittlerer und kleinerer Unternehmen in kritischen Sektoren, verpflichtet, die neuen Sicherheitsanforderungen zu erfüllen.

Die Unternehmen sollten zunächst prüfen, ob sie unter den erweiterten Anwendungsbereich fallen (also zu den betroffenen Einrichtungen zählen) und ihr IT-Sicherheits-Management entsprechend anpassen.

 

3. Risikomanagement-Maßnahmen (§ 30)

Betroffene Einrichtungen werden verpflichtet, technische und organisatorische Maßnahmen umzusetzen, die die Verfügbarkeit, Integrität und Vertraulichkeit gewährleisten, um Störungen zu vermeiden oder deren Auswirkungen zu vermindern.

Den Maßnahmen sollte eine Risikobewertung vorausgehen und sie sollten dem Stand der Technik entsprechen. Eine ähnliche Vorgehensweise kennen wir aus dem Datenschutz.:

  • Risikobewertung: Risikoanalyse durchführen und die Sicherheitsanforderungen der IT definieren
  • Bewältigung von Angriffen: Maßnahmen zur Schadensminimierung, Schadensermittlung und Schadensbewältigung
  • Notfallbetrieb, Backup-Management, Erstellung von Notfall- und Wiederanlaufplänen.
  • Verschlüsselung: Einsatz von Verschlüsselungstechnologien zum Schutz sensibler Informationen während der Übertragung und Speicherung.
  • Sicherheitsupdates: Regelmäßige Aktualisierung und Patch-Management, um Sicherheitslücken zu schließen und Systeme auf dem neuesten Stand zu halten.

 

4. Meldung von Sicherheitsvorfällen

Eine der wichtigsten Anforderungen der NIS2-Richtlinie ist die verpflichtende Meldung von Sicherheitsvorfällen. Unternehmen müssen sicherstellen, dass sie über Mechanismen verfügen, um:

  • Sicherheitsvorfälle zu erkennen und zu bewerten: Etablierung eines Systems zur Erkennung und Bewertung von Sicherheitsvorfällen, einschließlich der Bestimmung des Schweregrads.
  • Meldung an die zuständigen Behörden: Einrichtung eines Prozesses zur schnellen und effektiven Meldung von Sicherheitsvorfällen an die zuständigen nationalen Behörden innerhalb einer vorgeschriebenen Frist.

5. Schulung und Sensibilisierung

Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette. Unternehmen sollten regelmäßige Schulungs- und Sensibilisierungsprogramme anbieten, um das Sicherheitsbewusstsein zu stärken und Mitarbeiter über aktuelle Bedrohungen und Best Practices zu informieren. Dies umfasst:

  • Phishing-Simulationen: Durchführung von Phishing-Simulationen, um die Reaktionsfähigkeit der Mitarbeiter zu testen und zu verbessern.
  • Schulungen zur Cybersicherheit: Regelmäßige Schulungen zu verschiedenen Aspekten der Cybersicherheit, einschließlich der Erkennung von Bedrohungen und der sicheren Nutzung von IT-Systemen.

6. Zusammenarbeit und Informationsaustausch

Die NIS2-Richtlinie betont die Bedeutung der Zusammenarbeit und des Informationsaustauschs zwischen Unternehmen und Behörden. Unternehmen sollten:

  • Partnerschaften und Kooperationen: Aufbau von Partnerschaften mit anderen Unternehmen und Sicherheitsorganisationen, um Bedrohungsinformationen auszutauschen und voneinander zu lernen.
  • Teilnahme an Informationsaustauschplattformen: Teilnahme an nationalen und internationalen Plattformen zum Informationsaustausch, um von aktuellen Bedrohungsinformationen zu profitieren und eigene Erkenntnisse zu teilen.

Fazit

Das NIS2-Umsetzungsgesetz stellt höhere Anforderungen an Unternehmen, bietet jedoch gleichzeitig die Möglichkeit, die eigene Cybersicherheitsstrategie zu stärken und widerstandsfähiger gegen Bedrohungen zu werden. Durch die Umsetzung dieser Maßnahmen können Unternehmen nicht nur ihre Compliance sicherstellen, sondern auch ihre digitale Infrastruktur und ihre Geschäftstätigkeit langfristig schützen. Es ist entscheidend, dass Unternehmen proaktiv handeln und die notwendigen Schritte zur Erfüllung der NIS2-Anforderungen ergreifen.

Bleiben Sie auf dem Laufenden über die neuesten Entwicklungen und stellen Sie sicher, dass Ihr Unternehmen gut gerüstet ist, um die Herausforderungen der digitalen Zukunft zu meistern.

Die Zeit drängt, die Frist zur Einführung von NIS2 als geltendes Recht läuft am 24 Oktober 2024 ab. Sollte das tatsächlich so kommen, dann müssten alle betroffenen Unternehmen NIS2 Compliant sein. ADVASO hilft Ihnen, die gesetzlichen Vorgaben zu erfüllen.

Interessante externe Links zum Thema:

Information des BMI zum Gesetzentwurf

NIS2 Gesetzentwurf als PDF (BMI vom 22.07.2024)

Lesen sie auch unseren Blog:

NIS2: Cybersicherheitsstandards für Unternehmen

Autor

  • Stefan Kröger ist zertifizierter Datenschutz- und Datensicherheitsexperte. Er verfügt über langjährige Projekterfahrung in den Bereichen Datenqualität, Datenschutz, Datensicherheit, Compliance und gesetzliche Rahmenbedingungen und Richtlinien. Stefan ist Geschäftsführer der Audit NRW GmbH und langjähriger Partner der ADVASO GmbH.

    Alle Beiträge ansehen