Hintergrund der neuen Richtlinie ist eine dynamische Bedrohungslandschaft, die sich zunehmend auf die Netzwerke von Unternehmen auswirkt. Zudem haben die einzelnen EU-Mitgliedstaaten die erste NIS-Richtlinie unterschiedlich umgesetzt. Daher will die EU einen einheitlicheren Ansatz für den Schutz von Kritischen Infrastruktur (KRITIS) schaffen, da ein großer Cyberangriff enorme Auswirkungen einzelne Mitgliedstaaten, aber auch auf den Rest der Union haben könnte.
Ende Dezember 2022 wurde die NIS2-Richtlinie verabschiedet und in der EU offiziell gemacht. Danach haben die Mitgliedsstaaten 21 Monate Zeit, die Richtlinie in nationales Recht zu wandeln. Das heißt aber nicht, dass Unternehmen bis dahin mit der Umsetzung der neuen Maßnahmen warten können. Denn bereits 18 Monate nach der Verabschiedung müssen die von der Richtlinie betroffenen Organisationen in der Lage sein, diese einzuhalten. Das scheint ein langer Zeitraum zu sein, aber die Vergangenheit zeigt, dass viele Unternehmen sich schwer damit tun, neue Maßnahmen und Verfahren einzuführen.
Im Gegensatz zur DSGVO-Richtlinie, die personenbezogene Daten der Bürger schützt, zielt die NIS2-Richtlinie auf den Schutz von Wirtschaftsdaten ab. Im Rahmen der neuen Gesetzgebung müssen die Mitgliedstaaten unter anderem eine nationale IT-Sicherheitsstrategie und ein nationales Gesetz entwerfen. Dieses soll Anforderungen an das Risikomanagement und die Berichterstattung der Unternehmen, die unter die NIS2-Richtlinie fallen, stellen. Außerdem soll auf nationaler Ebene eine Kontaktstelle dafür eingerichtet werden.
Zusätzlich zu den Sektoren, die schon in der NIS-Richtlinie enthalten waren, erstreckt sich die neue NIS2 unter anderem auf die Lebensmittelbranche, Fracht- und Schifffahrtsunternehmen, Telekommunikations- und Datenanbieter, Social-Media-Plattformen und Anbieter von Rechenzentren, sowie Unternehmen, die in der Abfall- und Abwasserwirtschaft tätig sind, außerdem Produktionsunternehmen, die für die Wirtschaft des Landes wichtig sind.
Die unter die Richtlinie fallenden Unternehmen werden in zwei Kategorien unterteilt: essenzielle Unternehmen (z. B. Telekommunikationsunternehmen, Versorgungsunternehmen und Banken) und wichtige Unternehmen (z. B. Lebensmittelunternehmen und Frachtunternehmen). Unternehmen mit weniger als 250 Beschäftigten oder einem Jahresumsatz von weniger als 50 Millionen Euro sind jedoch von der Richtlinie ausgenommen.
Aufgrund des Konzepts der Verantwortung für die Lieferkette ist jedoch davon auszugehen, dass auch kleinere Unternehmen, die Zulieferer für die von der Richtlinie erfassten Sektoren sind, NIS2 einhalten müssen. Darüber hinaus erstreckt sich die Richtlinie auch auf öffentliche Verwaltungen, doch ist derzeit noch unklar, ob dies beispielsweise für Kommunen gilt.
NIS2 stellt neue Anforderungen an die betroffenen Unternehmen und Organisationen. Dazu gehören das Fachwissen und die Verantwortung der Führungskräfte, ein wirksames Risikomanagement, einschließlich Risikoanalyse und Reaktion auf Vorfälle, sowie die Meldung und Behandlung von Cyber-Vorfällen. Das Management ist somit für die Einhaltung der NIS2-Richtlinie durch die Firma verantwortlich und kann bei Verfehlung zur Rechenschaft gezogen werden. Das Unternehmen oder die Organisation selbst muss verschiedene Anforderungen an die IT-Sicherheit erfüllen, einschließlich der Umsetzung von Sicherheitsmaßnahmen und internationalen Standards, wie ISO27001 oder dem NIST-Framework.
Unternehmen, welche die NIS2-Richtlinie nicht einhalten, können mit Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweiten Jahresumsatzes belegt werden. Es ist wichtig, darauf hinzuweisen, dass es, wie bei der DSGVO-Richtlinie, kein NIS2-Etikett oder eine Liste geben wird, an die sich die Unternehmen halten müssen. Es liegt an der Organisation selbst, Maßnahmen zu ergreifen, um die Einhaltung der Datensicherungsbestimmungen zu gewährleisten. Anbieter von Sicherheitslösungen können somit zwar helfen, aber es ist Sache des Unternehmens, die notwendige Berichterstattung einzurichten.
Die NIS2-Richtlinie beschreibt nur, nur wie ein angemessenes Schutzniveau aussieht. Sie enthält jedoch keine konkreten Checklisten. Sie lässt sich daher auf verschiedene Weise interpretieren. Man darf jedoch davon ausgehen, dass Unternehmen zumindest Firewall- und Intrusion-Prevention-Technologien in ihrem Netzwerk benötigen, sowie Endpunktsicherheit und die Implementierung von Multi-Faktor-Authentifizierung, Datenverschlüsselung und Zugangsbeschränkung.
Nicht alles lässt sich mit Technologie lösen. Unternehmen sollten sich laut Check Point Software Technologies einen Überblick verschaffen und einen Plan aufstellen, anstatt nur nach einer schnellen Lösung zu suchen. Folgende Aspekte sind zu beachten:
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…