Home » Fachbeiträge » Cybersecurity » NIS-2: Es wird ernst

NIS-2: Es wird ernst

Bis Oktober 2024 muss die EU-Richtlinie NIS-2 in nationales Recht umgesetzt werden, in Deutschland durch das neue IT-Sicherheitsgesetz 3.0. Das Ziel: ein modernisierter Rechtsrahmen, der mit der zunehmenden Digitalisierung und der wachsenden Bedrohung durch Cyberkriminalität Schritt hält. Worauf müssen sich Unternehmen einstellen?

2 Min. Lesezeit
Justitia-Hammer vor EU-Flagge
iStock/MarianVejcik

Advertorial

Das ändert sich für Unternehmen in Deutschland

Für diejenigen, die bereits unter die Bestimmungen von NIS-1 fallen, sind die Änderungen nicht gravierend. Nach Artikel 21 müssen weiterhin Maßnahmen in den Bereichen Cyber-Risikomanagement, Business Continuity Management, Penetrationstests, Kryptografie, sichere Kommunikation sowie Zugangskontrolle und Authentisierung durchgeführt werden. Neu in NIS-2 ist die Forderung, die Sicherheit in der gesamten Lieferkette im Blick zu behalten. In Deutschland ist dies allerdings bereits im IT-Sicherheitsgesetz 2.0 festgeschrieben.

Aber: Eine der wichtigsten Änderungen durch NIS-2 ist die Erweiterung des Anwendungsbereichs. Die neue Regelung bezieht eine viel größere Anzahl an Organisationen und Sektoren ein, darunter kleine Unternehmen und digitale Plattformen. Daher ist die erste Frage, die man sich stellen muss: „Bin ich betroffen?“ Wenn ja, lautet die zweite Frage: „Was muss ich tun?“

Gerade kleinere Unternehmen können mit der Umsetzung der festgelegten Meldepflichten und den geforderten Maßnahmen zum Schutz ihrer IT-Infrastruktur, Netzwerke und kritischen Dienstleistungen überfordert sein, da sie diese laut Richtlinie aktiv verteidigen müssen. Dazu gehört beispielsweise, dass regelmäßig Penetrationstests durchgeführt sowie Systeme zur Meldung von Sicherheitsvorfällen eingerichtet werden müssen. Um dies gewährleisten zu können, ist es sinnvoll, auf das Know-how von Experten wie Outpost24 zurückzugreifen. Deren Erfahrungen im Bereich Cyber-Risk-Management und Tools zum Schwachstellenmanagement von Webanwendungen, Cloud- und On-Premises-Infrastruktur sowie Cyber Threat Intelligence und Zugriffsmanagement helfen, die gesetzlichen Vorgaben einzuhalten.

Bußgelder bis zu zehn Millionen Euro

Schon aus Eigeninteresse sollten Unternehmen sich aktiv gegen Cyberkriminalität schützen, aber auch der Druck durch den Gesetzgeber steigt. Während NIS-2 bei den Anforderungen und Meldepflichten nur unwesentlich über NIS-1 hinausgeht, müssen Unternehmen mit schärferen Kontrollen, Nachweispflichten und im Falle der Zuwiderhandlung mit deutlich höheren Strafen rechnen. So wurde unter anderem die Obergrenze für Verstöße gegen die Cybersecurity-Maßnahmen oder Meldepflichten von 50.000 Euro deutlich erhöht: Unternehmen der Kategorie „Wesentliche Einrichtungen“ drohen nun Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes (des vorangegangenen Finanzjahrs). Bei Unternehmen der Kategorie „Wichtige Einrichtungen“ betragen die Höchststrafen 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes – jeweils je nachdem, welcher Betrag höher ist.

Fazit

Viele Unternehmen, die nicht vom IT-Sicherheitsgesetz 2.0 betroffen waren, werden ab Ende 2024 den Regularien des kommenden IT-Sicherheitsgesetzes 3.0 unterliegen. Daher sollten alle bisher nicht regulierten Unternehmen prüfen, ob sie betroffen sind. Ist dies der Fall, müssen die nötigen Schutzmaßnahmen ermittelt und implementiert werden. Für die Umsetzung können Experten wie Outpost24 hinzugezogen werden. Mit deren Unterstützung werden die gesetzlichen Bestimmungen erfüllt und Präventionsmaßnahmen zuverlässig umgesetzt, ohne Gefahr zu laufen, die eigenen IT-Ressourcen zu überlasten.

 

Kontakt:

Specops Software GmbH
Gierkezeile 12
10585 Berlin

Patrick Patrick, Marketing Manager
Tel: +49 160 3484013
E-Mail: Patrick.Lehnis@specopssoft.com
Webseite

Andere interessante Fachbeiträge

Hand präsentiert Zertifizierungs-Symbol

Warum Zertifizierungen allein nicht ausreichen

Die Cyberangriffe der letzten Monate haben gezeigt, dass auch Schwachstellen in Prozessen und Anwendungen von Dienstleistern ein Risiko für die Sicherheit von Organisationen darste...

Justitia-Statue

Warum Unternehmen ein ISMS brauchen

Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) ist für viele Unternehmen heute unerlässlich, um die zahlreichen neuen Gesetze im Bereich der Cybersicher...

Gesundheits-App

Digitale Gesundheitsförderung und mobile Sicherheit

Die Gesundheitsförderung durch Apps ist auf mobilen Endgeräten allgegenwärtig geworden. Von Fitnesstracking über Ernährungsberatung bis hin zur Unterstützung bei der Krankheitsther...