Home » Fachbeiträge » Cybersecurity » NIS-2: Es wird ernst

NIS-2: Es wird ernst

Bis Oktober 2024 muss die EU-Richtlinie NIS-2 in nationales Recht umgesetzt werden, in Deutschland durch das neue IT-Sicherheitsgesetz 3.0. Das Ziel: ein modernisierter Rechtsrahmen, der mit der zunehmenden Digitalisierung und der wachsenden Bedrohung durch Cyberkriminalität Schritt hält. Worauf müssen sich Unternehmen einstellen?

2 Min. Lesezeit
Justitia-Hammer vor EU-Flagge
iStock/MarianVejcik

Advertorial

Das ändert sich für Unternehmen in Deutschland

Für diejenigen, die bereits unter die Bestimmungen von NIS-1 fallen, sind die Änderungen nicht gravierend. Nach Artikel 21 müssen weiterhin Maßnahmen in den Bereichen Cyber-Risikomanagement, Business Continuity Management, Penetrationstests, Kryptografie, sichere Kommunikation sowie Zugangskontrolle und Authentisierung durchgeführt werden. Neu in NIS-2 ist die Forderung, die Sicherheit in der gesamten Lieferkette im Blick zu behalten. In Deutschland ist dies allerdings bereits im IT-Sicherheitsgesetz 2.0 festgeschrieben.

Aber: Eine der wichtigsten Änderungen durch NIS-2 ist die Erweiterung des Anwendungsbereichs. Die neue Regelung bezieht eine viel größere Anzahl an Organisationen und Sektoren ein, darunter kleine Unternehmen und digitale Plattformen. Daher ist die erste Frage, die man sich stellen muss: „Bin ich betroffen?“ Wenn ja, lautet die zweite Frage: „Was muss ich tun?“

Gerade kleinere Unternehmen können mit der Umsetzung der festgelegten Meldepflichten und den geforderten Maßnahmen zum Schutz ihrer IT-Infrastruktur, Netzwerke und kritischen Dienstleistungen überfordert sein, da sie diese laut Richtlinie aktiv verteidigen müssen. Dazu gehört beispielsweise, dass regelmäßig Penetrationstests durchgeführt sowie Systeme zur Meldung von Sicherheitsvorfällen eingerichtet werden müssen. Um dies gewährleisten zu können, ist es sinnvoll, auf das Know-how von Experten wie Outpost24 zurückzugreifen. Deren Erfahrungen im Bereich Cyber-Risk-Management und Tools zum Schwachstellenmanagement von Webanwendungen, Cloud- und On-Premises-Infrastruktur sowie Cyber Threat Intelligence und Zugriffsmanagement helfen, die gesetzlichen Vorgaben einzuhalten.

Bußgelder bis zu zehn Millionen Euro

Schon aus Eigeninteresse sollten Unternehmen sich aktiv gegen Cyberkriminalität schützen, aber auch der Druck durch den Gesetzgeber steigt. Während NIS-2 bei den Anforderungen und Meldepflichten nur unwesentlich über NIS-1 hinausgeht, müssen Unternehmen mit schärferen Kontrollen, Nachweispflichten und im Falle der Zuwiderhandlung mit deutlich höheren Strafen rechnen. So wurde unter anderem die Obergrenze für Verstöße gegen die Cybersecurity-Maßnahmen oder Meldepflichten von 50.000 Euro deutlich erhöht: Unternehmen der Kategorie „Wesentliche Einrichtungen“ drohen nun Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes (des vorangegangenen Finanzjahrs). Bei Unternehmen der Kategorie „Wichtige Einrichtungen“ betragen die Höchststrafen 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes – jeweils je nachdem, welcher Betrag höher ist.

Fazit

Viele Unternehmen, die nicht vom IT-Sicherheitsgesetz 2.0 betroffen waren, werden ab Ende 2024 den Regularien des kommenden IT-Sicherheitsgesetzes 3.0 unterliegen. Daher sollten alle bisher nicht regulierten Unternehmen prüfen, ob sie betroffen sind. Ist dies der Fall, müssen die nötigen Schutzmaßnahmen ermittelt und implementiert werden. Für die Umsetzung können Experten wie Outpost24 hinzugezogen werden. Mit deren Unterstützung werden die gesetzlichen Bestimmungen erfüllt und Präventionsmaßnahmen zuverlässig umgesetzt, ohne Gefahr zu laufen, die eigenen IT-Ressourcen zu überlasten.

 

Kontakt:

Specops Software GmbH
Gierkezeile 12
10585 Berlin

Patrick Patrick, Marketing Manager
Tel: +49 160 3484013
E-Mail: Patrick.Lehnis@specopssoft.com
Webseite

Andere interessante Fachbeiträge

Kubernetes

Kubernetes sicher betreiben

Kubernetes ist eine Open-Source-Plattform zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen. Neben den vielen Vorteilen wie Ressou...

Hacker vor Monitoren

Wie die Angreifersicht beim Schutz des Unternehmens hilft

Unternehmen investieren viel Zeit und Aufwand in den Aufbau einer Sicherheitsarchitektur für ihre industrielle IT. Trotzdem kommt es immer wieder zu erfolgreichen Angriffen. Wie ka...

rotes Ausrufezeichen

Ransomware-Angriffe mit Zero-Trust-Segmentierung eindämmen

Ransomware-Angriffe sind eine große Gefahr. Die gute Nachricht ist: Sie brauchen Zeit. Die Angreifer müssen sich erst in der IT-Umgebung eines Unternehmens ausbreiten, sensible Dat...