NIS2 macht es zur Pflicht, die Cyber-Resilienz kritischer und wichtiger Unternehmen zu stärken.
Die europäische Richtlinie NIS2 macht es zur Pflicht, die Cyber-Resilienz kritischer und wichtiger Unternehmen zu stärken. Ein großer Personenkreis ist jetzt dazu verpflichtet, Angriffe abzuwehren, ohne dass er direkt betroffen ist: Denn auch Firmen, die Teil einer Lieferkette sind, müssen die Richtlinien beachten. Sollten dennoch Regeln missachtet werden, stehen Geldstrafen ins Haus.
Unternehmen stehen vor einer Herausforderung, wenn es darum geht, sich vor Cyberangriffen zu schützen. Die Digitalisierung des Markts und die Möglichkeiten, die sie bietet, erhöhen die Gefahr, dass Cyber-Angriffe erfolgreich sind. Unternehmen müssen daher umfassende Maßnahmen ergreifen, um sich zu schützen. Dazu zählen die ständige Überarbeitung von Cybersecurity-Standardverfahren sowie die Sensibilisierung von Mitarbeitern für die potenziellen Risiken.
Die Europäische Union stellt sicher, dass kritische Organisationen und Unternehmen in ihren Mitgliedsländern besser geschützt sind und Angriffen standhalten können. 2016 erließ sie die NIS1-Richtlinie ("Network and Information Security") mit strengen Sicherheitsvorschriften.
Seit Januar 2023 ist die neue NIS2-Richtlinie EU-weit in Kraft und ersetzt die alte. Diese hat den Kreis betroffener Unternehmen deutlich erweitert und bezieht neben kritischer Infrastruktur auch wichtige Branchen und unter bestimmten Bedingungen auch kleinere Firmen ein, die als Zulieferer tätig sind.
Die EU teilt Unternehmen, die von NIS2-Richtlinien betroffen sind, in zwei Kategorien ein: "Essentiell" und "Wichtig". Unternehmen, die als "Essentiell" bezeichnet werden, wurden in der ersten Fassung der NIS-Vorschriften genannt, in der neuen Version aber umfasst die Kategorie mehr Klassen. Die zweite Gruppe der wichtigen Organisationen wird neu definiert. Direkt betroffen sind Unternehmen, die mindestens 50 Mitarbeiter und einen jährlichen Umsatz von über 10 Millionen Euro haben:
NIS2 ist zwar normalerweise für Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von bis zu zehn Millionen Euro nicht relevant. Es gibt jedoch Ausnahmefälle, bei denen die Firmengröße irrelevant ist. Anbieter von DNS-Diensten, TLD-Namensregistern sowie öffentlichen elektronischen Kommunikationsnetzen und -diensten müssen sich an die NIS2-Vorgaben halten.
Mittelständische und kleine Unternehmen können ebenfalls das Ziel von Angriffen sein, wenn sie Dienstleistungen oder Materialien an Unternehmen liefern, die unmittelbar von der neuen EU-Cybersecurity-Verordnung betroffen sind. In manchen Fällen müssen sie häufig die gleichen Maßnahmen in Bezug auf die Sicherheitssysteme ergreifen, um auch sie selbst vor Verstößen gegen die Verordnung zu schützen. Zum Beispiel kann ein Autohersteller seine Lieferanten dazu verpflichten, bestimmte Techniken oder Verfahren bei der Cybersecurity einzusetzen, um selbst nicht gegen Richtlinien der EU in Verzug zu geraten.
Organisationen, die unter die Richtlinie von NIS2 fallen, müssen angemessene und proportionale Techniken, Prozeduren und Maßnahmen ergreifen, um die Sicherheitsrisiken für ihre Netz- und Informationssysteme zu verringern und potenzielle Auswirkungen von Sicherheitsvorfällen auf Empfänger ihrer Dienste sowie andere Dienste möglichst auszuschließen. Sie müssen außerdem ihre Netz- und Informationssysteme ständig bewerten, um jederzeit die Sicherheit zu gewährleisten.
Die Richtlinie spezifiziert verschiedene Bereiche und Maßnahmen, die zumindest eingehalten werden müssen, darunter:
Organisationen sollten soweit wie möglich alle oben genannten Vorbereitungen treffen, wenn sie NIS2 anwenden. Zu den wichtigsten Schritten zählen hierbei:
Wir können Ihnen mit verschiedenen Frameworks dabei helfen, die gesetzlichen Anforderungen zu erfüllen und die operative Sicherheit Ihres Unternehmens zu steigern.
Unser Gestaltungsmöglichkeiten:
Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: