NIS-2: Es wird ernst
Bis Oktober 2024 muss die EU-Richtlinie NIS-2 in nationales Recht umgesetzt werden, in Deutschland durch das neue IT-Sicherheitsgesetz 3.0. Das Ziel: ein modernisierter Rechtsrahmen, der mit der zunehmenden Digitalisierung und der wachsenden Bedrohung durch Cyberkriminalität Schritt hält. Worauf müssen sich Unternehmen einstellen?
Advertorial
Das ändert sich für Unternehmen in Deutschland
Für diejenigen, die bereits unter die Bestimmungen von NIS-1 fallen, sind die Änderungen nicht gravierend. Nach Artikel 21 müssen weiterhin Maßnahmen in den Bereichen Cyber-Risikomanagement, Business Continuity Management, Penetrationstests, Kryptografie, sichere Kommunikation sowie Zugangskontrolle und Authentisierung durchgeführt werden. Neu in NIS-2 ist die Forderung, die Sicherheit in der gesamten Lieferkette im Blick zu behalten. In Deutschland ist dies allerdings bereits im IT-Sicherheitsgesetz 2.0 festgeschrieben.
Aber: Eine der wichtigsten Änderungen durch NIS-2 ist die Erweiterung des Anwendungsbereichs. Die neue Regelung bezieht eine viel größere Anzahl an Organisationen und Sektoren ein, darunter kleine Unternehmen und digitale Plattformen. Daher ist die erste Frage, die man sich stellen muss: „Bin ich betroffen?“ Wenn ja, lautet die zweite Frage: „Was muss ich tun?“
Gerade kleinere Unternehmen können mit der Umsetzung der festgelegten Meldepflichten und den geforderten Maßnahmen zum Schutz ihrer IT-Infrastruktur, Netzwerke und kritischen Dienstleistungen überfordert sein, da sie diese laut Richtlinie aktiv verteidigen müssen. Dazu gehört beispielsweise, dass regelmäßig Penetrationstests durchgeführt sowie Systeme zur Meldung von Sicherheitsvorfällen eingerichtet werden müssen. Um dies gewährleisten zu können, ist es sinnvoll, auf das Know-how von Experten wie Outpost24 zurückzugreifen. Deren Erfahrungen im Bereich Cyber-Risk-Management und Tools zum Schwachstellenmanagement von Webanwendungen, Cloud- und On-Premises-Infrastruktur sowie Cyber Threat Intelligence und Zugriffsmanagement helfen, die gesetzlichen Vorgaben einzuhalten.
Bußgelder bis zu zehn Millionen Euro
Schon aus Eigeninteresse sollten Unternehmen sich aktiv gegen Cyberkriminalität schützen, aber auch der Druck durch den Gesetzgeber steigt. Während NIS-2 bei den Anforderungen und Meldepflichten nur unwesentlich über NIS-1 hinausgeht, müssen Unternehmen mit schärferen Kontrollen, Nachweispflichten und im Falle der Zuwiderhandlung mit deutlich höheren Strafen rechnen. So wurde unter anderem die Obergrenze für Verstöße gegen die Cybersecurity-Maßnahmen oder Meldepflichten von 50.000 Euro deutlich erhöht: Unternehmen der Kategorie „Wesentliche Einrichtungen“ drohen nun Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes (des vorangegangenen Finanzjahrs). Bei Unternehmen der Kategorie „Wichtige Einrichtungen“ betragen die Höchststrafen 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes – jeweils je nachdem, welcher Betrag höher ist.
Fazit
Viele Unternehmen, die nicht vom IT-Sicherheitsgesetz 2.0 betroffen waren, werden ab Ende 2024 den Regularien des kommenden IT-Sicherheitsgesetzes 3.0 unterliegen. Daher sollten alle bisher nicht regulierten Unternehmen prüfen, ob sie betroffen sind. Ist dies der Fall, müssen die nötigen Schutzmaßnahmen ermittelt und implementiert werden. Für die Umsetzung können Experten wie Outpost24 hinzugezogen werden. Mit deren Unterstützung werden die gesetzlichen Bestimmungen erfüllt und Präventionsmaßnahmen zuverlässig umgesetzt, ohne Gefahr zu laufen, die eigenen IT-Ressourcen zu überlasten.
Kontakt:
Specops Software GmbH
Gierkezeile 12
10585 Berlin
Patrick Patrick, Marketing Manager
Tel: +49 160 3484013
E-Mail: Patrick.Lehnis@specopssoft.com
Webseite