Was die neuen Richtlinien für Ihr Unternehmen bedeuten?
Cyber Security Pflichten – die zwingend umgesetzt werden sollen, regelt zukünftig die EU NIS2. EU NIS 2 ist der europäische Rahmen für Cyber Security bei Betreibern kritische Infrastrukturen.
Spätestens ab Herbst 2024 sollen Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz viele Cyber Security Pflichten umsetzen. NIS2 gilt somit nicht nur für kritische Sektoren („Essential Entities“) sondern auch für sieben „Important Entities“. Darunter fällt zum Beispiel der Maschinenbau, der Automobilbau, die Chemieindustrie, aber auch digitale Dienste.
Wichtig ist also, im ersten Schritt zu überprüfen, ob ihr Unternehmen sich an den neuen Richtlinien der NIS2 orientieren muss. Hier finden Sie eine Übersicht zu den betroffenen Sektoren.
Was gibt es zu tun?
Meldepflichten: Cyber-Attacken müssen nicht nur behoben, sondern zuständigen Behörden innerhalb von 24 Stunden gemeldet werden.
Spätestens nach einem Monat ist noch ein Abschlussbericht fällig.
Sicherheitssysteme: Risikomanagementmaßnahmen sind nach einem risikobasierten Vorgehen wirksam zu etablieren und liegen in der Verantwortung der Unternehmensleitung. Zu diesen zählen unter anderem:
- Die Erstellung von Risikoanalyse- und Informationssicherheitskonzepten
- Maßnahmen zur Bewältigung von Sicherheitsvorfällen
- Maßnahmen zur Aufrechterhaltung des Betriebs (wie Back-up-Management und Wiederherstellung)
- Konzepte für Zugriffskontrollen
- Die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung, gesicherte Kommunikation etc.
Unternehmen müssen eine umfangreiche Liste an grundlegenden Maßnahmen zur Cyberhygiene (auch in Bezug auf ihre Lieferketten) einführen, z.B.:
- Zero-Trust-Prinzip
- Software-Updates
- Gerätekonfiguration
- Netzwerksegmentierung
- Identitäts- und Zugriffsmanagement
- Sensibilisierung der Nuter:innen
- Schulungen für Mitarbeiter:innen
- Bewertung der eigenen Cybersicherheitskapazitäten und gegebenenfalls Integration von Technologien zur Verbesserung der Cybersicherheit wie künstliche Intelligenz oder Machine Learning.
Aufsichts- und Durchsetzungsmaßnahmen
- Zuständige Behörden können insbesondere Vor-Ort-Kontrollen
- Regelmäßige Sicherheitsprüfungen
- Und anlassbezogene Ad-hoc-Prüfungen vornehmen
- Sowie bestimmte Informationen oder auch Datenzugänge anfordern.
Verstöße werden laut den nationalen gesetzlichen Vorgaben sanktioniert.
Der Bußgeldrahmen wird für wesentliche Einrichtungen mit einem Höchstbetrag von mindestens EUR 10 Mio oder 2 Prozent des weltweiten Umsatzes gedeckelt. Für wichtige Einrichtungen liegt der Höchstbetrag bei mindestens EUR 7 Mio oder bei 1, 4 Prozent des weltweiten Umsatzes. Für den Fall, dass ein Verstoß zu einer Geldbuße nach der DSGVO führt, wird nach der NIS 2.0 keine Geldbuße verhängt.
Wie geht es jetzt weiter?
Die Richtlinie ist seit dem 16.1.2023 in Kraft. Die Mitgliedsstaaten haben nach dem Inkrafttreten 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Aber wie gesagt, die Liste der Anforderungen ist sehr lang und gewinnen wird wohl am Ende der, der sich frühzeitig mit den Regelungen auseinandergesetzt hat.
Wir empfehlen deshalb: Wenden Sie sich doch am besten an den Dienstleister Ihres Vertrauens 😉 Und machen Sie den Check, wo Sie noch Nachholbedarf haben.
Weitere Informationen finden Sie auch im Whitepaper zu den NIS2-Richtlinien. Hier geht es zum kostenlosen Download.
Johannes Ulbrich
Head of Cyber Security & Services
T: +49 931 250993-10
M:
Connect auf LinkedIn
Connect auf Xing