Advertorial
NIS2 in der Praxis: So gelingt die Umsetzung für Unternehmen
Sicherheits-Vorfälle sind kostspielig und haben direkte Auswirkungen auf das gesellschaftliche Leben. Um Europa physisch und im Cyberraum zu schützen, gibt es deshalb die europäische NIS2-Richtlinie. Wie können Unternehmen die gesetzlichen Anforderungen erfüllen und sich vor den Gefahren absichern?
NIS2-Richtlinie: Europas Werkzeug gegen Cyberbedrohungen
Mit der NIS2-Richtlinie soll ein hohes Cybersicherheitsniveau auf EU-Ebene geschaffen sowie der Binnenmarkt gestärkt werden. Die "EU Directive on Security of Network and Information Systems" versteht sich als eine Weiterentwicklung der EU NIS-Richtlinie. Dabei geht es nicht nur darum, volkswirtschaftlich bedeutsame Unternehmen und kritische Einrichtungen vor Cyberangriffen zu schützen, ihnen sollen auch Leitlinien an die Hand gegeben werden, wie sie auf Angriffe reagieren können.
Die Botschaft der EU ist klar: Alle EU-Mitgliedsstaaten sollen sich an dieselben Sicherheitsstandards halten, ein gemeinsames hohes Sicherheitsniveau aufrechterhalten und bei den Unternehmen sowie Betreibern von Anlagen einfordern.
Nach der Veröffentlichung der NIS2-Richtlinie am 27. Dezember 2022 folgte das Inkrafttreten am 16. Januar 2023 – seitdem läuft die Uhr für alle EU-Mitgliedsstaaten. Bis Oktober 2024 haben sie Zeit, die Richtlinie in nationales Recht umzusetzen. Deutschland erarbeitet aktuell das Umsetzungsgesetz.
Wie gestaltet sich die Umsetzung in Deutschland?
In Deutschland existiert ein Referentenentwurf zum Umsetzungsgesetz mit dem Titel „Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“. Im Rahmen dieses Gesetzes soll sowohl die Umsetzung der NIS2-Richtlinie als auch die Anpassung bestehender Gesetze erfolgen, die bereits Anforderungen zur Informationssicherheit enthalten. Aktuell ist abzuwarten, ob eine fristgerechte Inkraftsetzung im Oktober 2024 stattfinden wird.
Wie bereiten sich Unternehmen am besten vor?
Unternehmen sollten zunächst prüfen, ob und wie sie von dem neuen Gesetz betroffen sein werden. Hierzu sollte, aufsetzend auf dem aktuell vorliegenden Referentenentwurf des Umsetzungsgesetzes, eine Betroffenheitsanalyse mit den Parametern Sektor-Zugehörigkeit, Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme durchgeführt werden.
Hat die Analyse ergeben, dass das Unternehmen betroffen ist, sollte im nächsten Schritt eine sogenannte Gap-Analyse folgen. Dabei stehen die konkreten Informationssicherheitsanforderungen des Gesetzes im Fokus. Unternehmen, die bereits in der Vergangenheit verpflichtet waren Maßnahmen zur Informationssicherheit umzusetzen (wie zum Beispiel Betreiber kritischer Anlagen), können davon ausgehen, dass sie im weiteren Verlauf wesentlich weniger Maßnahmen umsetzen müssen.
Erfolgreiche Informationssicherheitsmaßnahmen sind immer eng verknüpft mit einem kontinuierlichen Prozess und dem Dreiklang aus Richtlinien, Verfahren und konkreter Umsetzung. Dafür empfiehlt es sich ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 :
- Vorbereitung und Anwendungsbereich
- Wertemanagement
- Risikomanagement
- Berichtswesen
- Audit und Schulung
secunet kann auf mehr als 20 Jahre Erfahrung bei der Konzeption und Einführung von ISMS zurückblicken und Organisationen dabei gemäß ihren individuellen Bedürfnissen unterstützen.
Jetzt reagieren, um sicher in die Zukunft zu blicken
Die NIS2-Richtlinie ist mehr als nur ein Regelwerk – sie ist ein Handlungsaufruf, IT- und OT-Sicherheit zu etablieren und eine widerstandsfähige Organisation und Infrastruktur zu schaffen und aufrecht zu erhalten. Setzen Unternehmen die Regeln nicht um, müssen sie mit Konsequenzen rechnen: Neben möglichen Bußgeldern wird bei Großunternehmen auch die Unternehmensleitung deutlich stärker in Haftung genommen. Die Aufsichtsbehörde kann den Betrieb besonders wichtiger Einrichtungen vorübergehend aussetzen oder der Geschäftsführung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen.
Eine Umsetzung der Anforderungen kann nicht von heute auf morgen erfolgen, sondern nimmt einige Zeit in Anspruch. Daher sollten betroffene Unternehmen frühzeitig planen und mit den ersten Vorbereitungsschritten (zum Beispiel Betroffenheitsanalyse und Gap-Analysen) beginnen.
Warum das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz KEIN 10-Punkte-Plan ist und wie Unternehmen die Maßnahmen langfristig und nachhaltig erfolgreich realisieren können, erläutert Marlitt Stolz von secunet am 26. Juni 2024 im connect professional Webinar.
Lesen Sie mehr zum Thema
