Cyber Security ist „Chefsache“! Die NIS2 EU-Direktive steht in den Startlöchern
Tägliche Meldungen über Cyberangriffe zeigen, dass die Anzahl der Cyber Security Vorfälle exponentiell wächst. Diesen Veränderungen trägt die im November 2022 verabschiedete EU-Direktive „NIS2“ (Network and Information Security 2) Rechnung. Sie ersetzt die bisherigen Vorgaben und soll bis 2024 in die nationale Gesetzgebung umgesetzt werden.
Ziel dieser Direktive ist es, einen Mindeststandard der Cyber Security für Betreiber kritischer Infrastrukturen zu schaffen. Hier findet die erste Ergänzung und Veränderung statt: Es werden nun zusätzliche Branchen als „kritische Infrastruktur“ betrachtet (beispielsweise Medizintechnik). Die Schwellenwerte, ab denen Unternehmen unter NIS2 fallen, wurden ebenso angepasst. Eine Einstufung als sogenannte „Important Entity“ gilt voraussichtlich bereits ab 50 Beschäftigten sowie einem Umsatz ab 10 Mio. Euro und einer Bilanzsumme von mehr als 43 Mio. Euro. Daneben gibt es die „Essential Entities“, sogenannte „große Betreiber“ aus 11 essenziellen Sektoren wie Energie, Wasser, Transport, Digitale Infrastruktur, und weitere Sonderfälle.
Unternehmen und Organisationen, die sich derzeit noch nicht als betroffen nach den deutschen KRITIS-Kriterien definiert haben, werden zukünftig unter die neuen Regelungen fallen.
Die notwendigen Maßnahmen orientieren sich an den bereits bekannten IT-Sicherheitsstandards und Best Practices. Neu hinzugekommen sind Vorgaben zur „IT-Hygiene“ und somit der Fokus auf den Faktor Mensch. Es werden Konzepte für das Business Continuity Management (BCM) mit Backup Management und Bewältigungsstrategien im Falle eines Cyberangriffs gefordert und Maßnahmen im Bereich der Früherkennung, der Beobachtung von Angriffsvektoren im Cyberraum sowie eine Überwachungsstrategie der nationalen Cyber Threats und Incidents.
Cyber Security ist „Chefsache“!
Die zu erfüllenden Mindestanforderungen an die Cyber Security sind von der Geschäftsführung zu überwachen. Bei Nichtbeachtung oder Verstößen müssen die betroffenen Unternehmen mit erheblichen Sanktionen durch die nationalen Behörden rechnen.
In der NIS2-Direktive werden den nationalen Aufsichtsbehörden weitgehende Vorgaben gemacht, wie vorzugehen ist, wenn die Mindeststandards nicht erfüllt werden. Insbesondere die Organhaftung stellt ein scharfes Schwert dar. Demnach sollen die Leitungsorgane von Betrieben in essenziellen Sektoren (Essential Entities) für Verstöße sogar persönlich haftbar gemacht werden.
Damit stellt die Cyber Security nicht mehr nur ein reines IT-Thema dar, sondern betrifft die gesamte Organisation eines Unternehmens.
Deutsche Unternehmen müssen sich wappnen
Die Richtlinie beinhaltet teilweise sehr detaillierte Vorgaben, die bisher nicht komplett in deutsches Recht umgesetzt worden sind. Die Umsetzung der Richtlinie durch den Deutschen Bundestag wird in den nächsten Monaten erwartet. Es bleibt abzuwarten, wie der deutsche Gesetzgeber angesichts der Bedrohungen im Cyberraum die Balance zwischen Notwendigkeiten und Wirtschaftlichkeit vor allem für deutsche KMU in den „Essential Entities“ umsetzen wird.
Wir empfehlen bereits heute allen unseren Mandanten mit der Implementierung von effektiven IT-Sicherheitsmaßnahmen zu starten, damit Mitarbeiter sowie Systeme und Applikationen gegen die vielen potenziellen Gefahren bestmöglich geschützt werden.
Unser Ansatz wirkt, egal in welchem Reifegrad bezüglich IT- und Cyber Sicherheit sich Ihre Organisation aktuell befindet. Maßnahmen, wie regelmäßige Penetrationstests, umfassende Qualifizierungsmaßnahmen für Ihre Mitarbeiter zur Erkennung von Phishing, Smishing, Vishing und sonstigen Angriffen, die Überprüfung der physischen Sicherheit Ihrer Unternehmensgebäude und mehr zum Thema Cyber Security haben wir in unserem Leistungsportfolio.
Unsere Experten unterstützen Sie, sich in dem Dickicht der Cyber Maßnahmen zurecht zu finden und den für Sie richtigen Ansatz zu wählen.
Im RWT-Webinar am 29. März 2023 werden die Neuerungen durch die NIS2 EU-Direktive vorgestellt.
Ausgabe 03/2023
