Kommentar: Was die neue NIS-2-Richtlinie für Unternehmen bedeutet
Im nächsten Jahr soll die zweite Version der Richtlinie zum Schutz von Netzwerk- und Informationssystemen (NIS) scharf gestellt werden, die Unternehmen verstärkt in die Pflicht nimmt. Sie wurde Ende 2022 im Amtsblatt L333 der Europäischen Union veröffentlicht und ist bereits in Kraft.
Die Mitgliedstaaten müssen sie nun innerhalb von 21 Monaten in nationales Recht umsetzen – so lange habe Unternehmen noch Schonfrist. Michael Heuer von Keepit mahnt jedoch, die Umsetzung nicht auf die lange Bank zu schieben.
„Die zunehmende Gefährdung Europas durch Cyberbedrohungen und die steigende Anfälligkeit für Hackerangriffe, die aus der zunehmenden Vernetzung resultieren, verlangen nach einer stärkeren Initiative zum Schutz der digitalen Infrastruktur. Als Reaktion auf diese Entwicklungen hat das EU-Parlament am 10. November 2022 die NIS-2-Richtlinie zur Stärkung der EU-weiten Cybersicherheit verabschiedet, welche unter anderem klare Anforderungen an die Datensicherung und die Wiederherstellung im Katastrophenfall enthält. Die Regulierungsbehörden legen hiermit eindeutige Regeln für Unternehmen fest.
Während die ursprüngliche NIS-Richtlinie, die im Jahr 2016 festgelegt wurde, vor allem kritische Infrastrukturen (KRITIS) abdeckte, sind jetzt weitere wesentliche und wichtige Sektoren hinzugekommen. Dazu gehören die öffentliche Verwaltung, Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Abfallwirtschaft, Luft- und Raumfahrt, kritische Produkte, wie medizinische Geräte, Post- und Kurierdienste, Lebensmittelketten sowie digitale Dienstleistungsplattformen. Entscheidend dafür, ob für Unternehmen die neuen Regularien gelten, sind Größenkriterien: So ist die NIS-2-Richtlinie für mittelgroße Firmen ab 50 Mitarbeitenden und einem Umsatz von zehn Millionen Euro sowie für große Organisationen ab 250 Beschäftigten und einem Umsatz von 50 Millionen Euro relevant. Allerdings können auch kleinere Unternehmen in den Anwendungsbereich fallen, beispielsweise dann, wenn sie an Lieferketten wesentlicher oder wichtiger Einrichtungen beteiligt sind.
Mit der neuen Richtlinie wird diesen Unternehmen ein Risikomanagementkonzept vorgeschrieben. Zu den Mindestanforderungen gehören unter anderem die Prävention, Detektion und Bewältigung von Sicherheitsvorfällen (Incident Management), Business Continuity Management und Krisenmanagement sowie die Sicherheit in der Lieferkette, bis hin zur sicheren Entwicklung bei Zulieferern. Eine Missachtung der Regelungen kann hohe Bußgelder oder Sanktionen nach sich ziehen. Aufgrund der umfassenden Sicherheitsmaßnahmen im Bereich des Risikomanagements, die diese Organisationen per Gesetz schon bald implementieren und aufrechterhalten müssen, erhöht sich der Druck, die technischen und organisatorischen Grundlagen hierfür zu legen.
Was die Unternehmen, die unter diese Regelungen fallen, jetzt tun können, ist die Durchführung einer fundierten Risikoanalyse. Erst dann lässt sich ausmachen, wie hoch das Potenzial von Cybervorfällen ist und welche Auswirkungen im schlimmsten Fall drohen. Im Zuge dessen können organisatorische und technische Maßnahmen umgesetzt werden, um auf die potenziellen Risiken zu reagieren. Allerdings sollte zunächst analysiert werden, welche Funktionen als wesentlich eingestuft werden und inwieweit es möglich ist, diese kritischen Funktionen nach einem Vorfall oder einer Unterbrechung des Geschäftsbetriebs aufrechtzuerhalten.
Leider weisen Unternehmen heute immer noch große Defizite im Bereich Backup und Disaster Recovery auf, da sie sich oftmals nicht bewusst sind, dass sie selbst in der Verantwortung stehen, die Daten, die sie tagtäglich verarbeiten, zu schützen. Das ist nicht Aufgabe des SaaS-Anbieters. Sich dieser Verantwortung zu stellen, ist der erste Schritt hin zur resilienten Organisation. Denn die Fähigkeit, Daten zu dokumentieren und wiederherzustellen, ist der Schlüssel zur Aufrechterhaltung der Geschäftskontinuität.“
Webinar: NIS 2 – EU-Update zur Cybersicherheit
Die <kes> veranstaltet ein Webinar zum Thema NIS2: Der Vortrag von Prof. Dennis-Kenji Kipker (Hochschule Bremen) befasst sich mit dem neuen regulatorischen Rahmen der NIS 2-Richtlinie und stellt die wesentlichen Aspekte des EU-Gesetzes vor. Hierzu gehören Fragestellungen zum aktualisierten, europäisch harmonisierten Anwendungsbereich, Anforderungen zu den Rechten und Pflichten von Betreibern und Anbietern, dem Umgang der EU-Kommission mit Durchführungsrechtsakten, von den EU-Mitgliedstaaten zu treffende Maßnahmen sowie zum Sanktionsregime bei Missachtung europäischer Cybersicherheitsvorgaben. Überdies soll das Regelwerk der NIS 2 in den Kontext anderer aktueller europäischer Regelungen zur Cybersicherheit gesetzt werden.
Termin: 24. Februar, 10 bis 11 Uhr
Die Teilnahme ist kostenlos (Werbeeinwilligung erforderlich).
Hier geht es zur Anmeldung.
Michael Heuer, Area VP DACH bei Keepit