Home » News » Security Management » NIS2: Irrtümer und Fehleinschätzungen könnten teuer werden

NIS2: Irrtümer und Fehleinschätzungen könnten teuer werden

Mit der neuen EU-Richtlinie für Cybersicherheit (NIS2) steigt die Zahl der betroffenen Unternehmen in Deutschland von rund 2.000 auf etwa 30.000. Während Großunternehmen oft von ihren Rechtsabteilungengut beraten sind, fühlen sich viele Mittelständler allein gelassen und unsicher. Hier die wichtigsten Fakten und Fehleinschätzungen zum Thema.

2 Min. Lesezeit
NIS-2-Richtlinie
Foto: ©AdobeStock/Cavad

Das Risiko, Opfer einer Cyberattacke zu werden, ist aktuell so hoch wie nie – und viele Unternehmen sind darauf nicht ausreichend vorbereitet. Aus diesem Grund hat die EU 2022 die NIS2-Richtlinie verabschiedet, eine strengere Version der bestehenden Vorgaben zum Schutz von Netzwerken und IT-Systemen. In Deutschland wird diese Richtlinie gerade in nationales Recht umgesetzt. Der IT-Softwarehersteller Deskcenter warnt jedoch vor sieben häufigen Missverständnissen rund um NIS2:

  1. NIS betrifft nur KRITIS-Unternehmen.

Bisher galten die Vorgaben nur für kritische Infrastrukturen (KRITIS), doch NIS2 erweitert den Kreis auf „wichtige Einrichtungen“, darunter fast die gesamte Fertigungsindustrie und Hersteller chemischer Stoffe.

  1. Mittelständler sind nicht betroffen.

Auch kleinere Firmen müssen nun NIS2 beachten. Unternehmen mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz/Bilanzsumme fallen bereits unter die Richtlinie.

  1. Es gibt eine Übergangsfrist.

Eine Übergangsfrist ist nicht vorgesehen. Die Bundesregierung muss die Vorgaben bis zum 17. Oktober 2024 umsetzen, ein Inkrafttreten der Vorschriften könnte ab dem 18. Oktober 2024 erfolgen. Der jeweils aktuelle Stand lässt sich auf der Webseite des Bundesinnenministeriums abrufen.

  1. Backup, Firewall und Virenscan genügen.

Diese Maßnahmen sind wichtig, aber nicht ausreichend. Zentrales Element der Cybersicherheit ist eine kontinuierliche Inventarisierung der IT-Infrastruktur, um alle Geräte und Softwareversionen stets im Blick zu haben.

  1. Patchmanagement ist optional.

Sicherheitslücken müssen schnell behoben werden. Unternehmen, die nicht zeitnah auf Schwachstellen reagieren, riskieren nicht nur Angriffe, sondern auch empfindliche Strafen.

  1. Technisch gut aufgestellt ist genug.

NIS2 fordert ein umfassendes Risikomanagement, das auch organisatorische und personelle Maßnahmen umfasst, wie regelmäßige Schulungen der Mitarbeitenden.

  1. Die IT-Abteilung trägt allein die Verantwortung.

Natürlich liegen strategische Planung und taktische Umsetzung in der Hand der IT-Abteilung oder eines damit beauftragten Dienstleisters. Die alleinige Verantwortung dafür tragen sie gemäß NIS2 jedoch nicht. Die Richtlinie nimmt speziell die Geschäftsleitung in die Pflicht, und das in mehrfacher Hinsicht. So müssen die „leitenden Organe“ einer Organisation zum einen die zu ergreifenden Risikomanagementmaßnahmen umsetzen und deren Umsetzung überwachen. Des Weiteren müssen sie durch regelmäßige Schulungen nachweisen, Risiken und deren Auswirkungen erkennen und bewerten zu können.

Fazit

Vor allem kleinere und mittlere Unternehmen haben im Bereich Cybersicherheit und NIS2-Compliance noch Aufholbedarf. Da rund 28.000 Betriebe erstmals von der NIS2-Richtlinie betroffen sind, wird die Zeit knapp. „Für Mittelständler wird es höchste Zeit, aktiv zu werden. Sie benötigen bis Oktober einfach umsetzbare Lösungen“, betont Martin Schaletzky, Vorstand von Deskcenter. „Cybersicherheit beginnt mit der täglichen Inventarisierung der eigenen IT-Infrastruktur und deren Absicherung durch automatisierte Updates. So können viele der zentralen Anforderungen der NIS2-Richtlinie schnell erfüllt werden.“ Auch wenn der deutsche Gesetzentwurf noch nicht endgültig verabschiedet ist, sind die EU-Vorgaben bereits bekannt.

Porträt Martin Schaletzky
Foto: Deskcenter

Martin Schaletzky, Vorstand, Deskcenter AG

Andere interessante News

Cybersecurity-Konzept Netzwerksicherheit

Über die Hälfte deutscher Unternehmen von Netzwerkangriffen betroffen

Deutsche Unternehmen kämpfen mit zahlreichen Sicherheitsvorfällen: 54 Prozent berichten von Netzwerkangriffen, 42 Prozent von ausgeführtem Schadcode im Firmennetzwerk. Bedenklich: ...

Untersuchung eines System-Problems mit Lupe

Schwachstelle zur Umgehung von UEFI Secure Boot entdeckt

Eine gravierende Schwachstelle gefährdet die Sicherheit von UEFI Secure Boot: Angreifer könnten die Schutzmechanismen umgehen und unautorisierte Software starten. Microsoft reagier...

Backup & Recovery

Backup und Recovery: Fünf Trends für 2025

Strengere Vorschriften und wachsende Cybergefahren erhöhen den Druck auf Unternehmen, ihre Daten bestmöglich zu schützen. Doch traditionelle Ansätze reichen nicht mehr aus. Experte...