Home » Fachbeiträge » Cybersecurity » NIS-2: Es wird ernst

NIS-2: Es wird ernst

Bis Oktober 2024 muss die EU-Richtlinie NIS-2 in nationales Recht umgesetzt werden, in Deutschland durch das neue IT-Sicherheitsgesetz 3.0. Das Ziel: ein modernisierter Rechtsrahmen, der mit der zunehmenden Digitalisierung und der wachsenden Bedrohung durch Cyberkriminalität Schritt hält. Worauf müssen sich Unternehmen einstellen?

2 Min. Lesezeit
Justitia-Hammer vor EU-Flagge
iStock/MarianVejcik

Advertorial

Das ändert sich für Unternehmen in Deutschland

Für diejenigen, die bereits unter die Bestimmungen von NIS-1 fallen, sind die Änderungen nicht gravierend. Nach Artikel 21 müssen weiterhin Maßnahmen in den Bereichen Cyber-Risikomanagement, Business Continuity Management, Penetrationstests, Kryptografie, sichere Kommunikation sowie Zugangskontrolle und Authentisierung durchgeführt werden. Neu in NIS-2 ist die Forderung, die Sicherheit in der gesamten Lieferkette im Blick zu behalten. In Deutschland ist dies allerdings bereits im IT-Sicherheitsgesetz 2.0 festgeschrieben.

Aber: Eine der wichtigsten Änderungen durch NIS-2 ist die Erweiterung des Anwendungsbereichs. Die neue Regelung bezieht eine viel größere Anzahl an Organisationen und Sektoren ein, darunter kleine Unternehmen und digitale Plattformen. Daher ist die erste Frage, die man sich stellen muss: „Bin ich betroffen?“ Wenn ja, lautet die zweite Frage: „Was muss ich tun?“

Gerade kleinere Unternehmen können mit der Umsetzung der festgelegten Meldepflichten und den geforderten Maßnahmen zum Schutz ihrer IT-Infrastruktur, Netzwerke und kritischen Dienstleistungen überfordert sein, da sie diese laut Richtlinie aktiv verteidigen müssen. Dazu gehört beispielsweise, dass regelmäßig Penetrationstests durchgeführt sowie Systeme zur Meldung von Sicherheitsvorfällen eingerichtet werden müssen. Um dies gewährleisten zu können, ist es sinnvoll, auf das Know-how von Experten wie Outpost24 zurückzugreifen. Deren Erfahrungen im Bereich Cyber-Risk-Management und Tools zum Schwachstellenmanagement von Webanwendungen, Cloud- und On-Premises-Infrastruktur sowie Cyber Threat Intelligence und Zugriffsmanagement helfen, die gesetzlichen Vorgaben einzuhalten.

Bußgelder bis zu zehn Millionen Euro

Schon aus Eigeninteresse sollten Unternehmen sich aktiv gegen Cyberkriminalität schützen, aber auch der Druck durch den Gesetzgeber steigt. Während NIS-2 bei den Anforderungen und Meldepflichten nur unwesentlich über NIS-1 hinausgeht, müssen Unternehmen mit schärferen Kontrollen, Nachweispflichten und im Falle der Zuwiderhandlung mit deutlich höheren Strafen rechnen. So wurde unter anderem die Obergrenze für Verstöße gegen die Cybersecurity-Maßnahmen oder Meldepflichten von 50.000 Euro deutlich erhöht: Unternehmen der Kategorie „Wesentliche Einrichtungen“ drohen nun Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes (des vorangegangenen Finanzjahrs). Bei Unternehmen der Kategorie „Wichtige Einrichtungen“ betragen die Höchststrafen 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes – jeweils je nachdem, welcher Betrag höher ist.

Fazit

Viele Unternehmen, die nicht vom IT-Sicherheitsgesetz 2.0 betroffen waren, werden ab Ende 2024 den Regularien des kommenden IT-Sicherheitsgesetzes 3.0 unterliegen. Daher sollten alle bisher nicht regulierten Unternehmen prüfen, ob sie betroffen sind. Ist dies der Fall, müssen die nötigen Schutzmaßnahmen ermittelt und implementiert werden. Für die Umsetzung können Experten wie Outpost24 hinzugezogen werden. Mit deren Unterstützung werden die gesetzlichen Bestimmungen erfüllt und Präventionsmaßnahmen zuverlässig umgesetzt, ohne Gefahr zu laufen, die eigenen IT-Ressourcen zu überlasten.

 

Kontakt:

Specops Software GmbH
Gierkezeile 12
10585 Berlin

Patrick Patrick, Marketing Manager
Tel: +49 160 3484013
E-Mail: Patrick.Lehnis@specopssoft.com
Webseite

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.