Cyber Security ist Chefsache: Die Gesetzgebung in den Startlöchern.
Die Experten der RWT IT Consulting, Rafael Robert Gawenda und Benjamin Schlotz, brachten die Teilnehmer im RWT-Webinar auf den aktuellen Stand in Bezug auf den Umsetzungsprozess der NIS2-Richtlinie (Network and Information Security 2) der EU-Kommission in deutsches Recht. Die Umsetzung in deutsches Recht muss bis zum 17. Oktober 2024 erfolgen.
Zielsetzung der NIS2-Direktive ist es, das IT-Sicherheitsniveau in allen Mitgliedsstaaten weiter zu erhöhen und die Mindestanforderungen der Mitgliedsländer anzugleichen.
Die RWT-Experten stellten die Kerninhalte der aktuellen Referentenentwürfe zum sogenannten „NIS2-Umsetzungs-und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ vor. Der Gesetzgeber hat hier an einigen Stellen im Entwurf von Öffnungsklauseln der EU-Richtlinie Gebrauch gemacht und abweichende Regelungen getroffen.
Zentrales Element ist weiterhin die Resilienz der Branchen im Bereich der Cyber Security Bereich zu stärken. Es werden zusätzliche Kontrollmaßnahmen gefordert, die den Schwerpunkt auf das Risikomanagement und den Angriffsvektor Mensch legen. Darüber hinaus wird die Wiederherstellung der IT-Infrastruktur (Business Continuity Management Prozesse) in den Fokus gerückt. Weiterhin ist im neuen Gesetz eine Haftung für die Geschäftsführung geplant.
Die Referenten erläuterten, dass durch die im neuen Gesetz geplanten veränderten Schwellenwerte und Sektoren rund 30.000 Unternehmen als „Wichtige Einrichtung“ oder „Besonders wichtige Einrichtung“ neu von den Regelungen betroffen sein werden – eine Verzehnfachung zur aktuellen KRITIS-Einstufung. Zu den Pflichten, denen die Betreiber kritischer Infrastrukturen unterliegen, gehören Risikomanagement, Registrierungs-, Melde- und Nachweispflichten ebenso wie Informationsaustausch, Unterrichtungspflichten und Governance durch Leitungsorgane.
Die RWT-Experten gaben den Teilnehmern mit auf den Weg, den Cyber-Risiken aktiv zu begegnen und sich zunächst auf die vier Kernelemente Backup-Konzepte, Mitarbeiter-Awareness („Human Firewall“), Schwachstellenscans und Penetrationstests sowie den Aufbau eines Business Continuity Managements (BCM) zu konzentrieren.