In der heutigen digitalen Ära, mit zunehmenden Bedrohungen und ausgefeilten Cyber-Angriffen, kann die Bedeutung robuster IT-Sicherheitsmaßnahmen nicht hoch genug eingeschätzt werden. Dies spiegelt sich in der NIS-2-Richtlinie („The Network an Information Security Directive“) wider.
Die im Dezember 2022 veröffentliche und am 16. Januar 2023 in Kraft getretene EU-Richtline NIS-2 muss bis Oktober 2024 in nationales Recht umgesetzt werden Demnach bleibt noch knapp ein Jahr. Ein Referentenentwurf, der die Umsetzung der NIS-2-Richtlinie in Deutschland regelt, das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), liegt bereits vor.
Die NIS2-Richtlinie und das NIS2UmsuCG stellt den überarbeiteten Rahmen der Europäischen Union zur Gewährleistung der Sicherheit von Netz- und Informationssystemen dar. Es wird darauf abgestellt, die Abwehr der EU gegen Cyber-Bedrohungen zu stärken und ein hohes gemeinsames Niveau der Cybersicherheit in den Mitgliedstaaten sicherzustellen.
Folge der Umsetzung der EU-Richtline und des Umsetzungsgesetztes ist u. a. eine signifikante Ausweitung des Geltungsbereiches der Unternehmen, die unter diese Regelungen fallen. Hierzu zählen auch Einrichtungen aus dem Sektor Gesundheitswesen, insbesondere “Gesundheitsdienstleister“.
Neu ist, dass es zukünftig keine Schwellenwerte mehr geben soll, sondern nur noch zwischen „besonders wichtigen“ und „wichtigen Unternehmen“ unterschieden werden soll und mittlere und große Unternehmen unter die Regulierung fallen sollen. Dabei sind Unternehmen:
- Mittel: 50-250 Beschäftigte ; 10-50 Mio. EURO Umsatz ; < 43 Mio. EURO Bilanzsumme
- Groß: >250 Beschäftigte ; >50 Mio. EURO Umsatz ; > 43 Mio. EURO Bilanzsumme
Unternehmen, die unter die Regelungen fallen müssen, angemessene Maßnahmen zum Schutz der infomationstechnischen Systeme, Komponenten und Prozesse vor Sicherheitsvorfällen ergreifen. Die Maßnahmen sind als Mindestanforderungen in einem 10. Punkte Plan beschrieben.
Hierzu zählen u. a.
- Incident Management,
- Business Continuity Management,
- Sicherheit in der Lieferkette,
- Identity- und Access-Management aber auch
- Offenlegung von Schwachstellen (Penetration-Testing/Schwachstellen-Scans),
- Schulungen im Bereich der Cybersicherheit und
- die Etablierung eines kontinuierlichen Verbesserungsprozesses.
Ein weiterer wichtiger Punkt ist die Ausweitung mögliche Sanktionen. Bei Verstößen können zukünftig Bußgelder zwischen 100.000 und 20 Millionen EURO verhängt werden und die Geschäftsführung kann persönlich haftbar gemacht werden.
Die NIS2-Richtlinie unterstreicht das Engagement der EU und ihrer Mittgliedstaaten zur Stärkung der Cybersicherheit. Die folgenden praktischen Schritte zur Umsetzung der NIS-2-Richtline sind wichtig:
- Prüfen Sie zunächst, ob ihr Unternehmen nunmehr unter die o. a. Regelungen fällt.
- Führen Sie eine IT-Sicherheitsanalyse durch, ob Sie alle geforderten Mindestmaßnahmen schon erfüllen und entwickeln einen Maßnahmenplan.
- Beginnen Sie zeitig damit den Maßnahmenplan umzusetzen und stärken Sie somit ihr Cybersicherheitsumfeld.
- Etablieren Sie ein Verfahren zur Überwachung und regelmäßigen Risikobewertungen: Verstehen Sie die Schwachstellen Ihrer Organisation und gehen Sie sie proaktiv an.
Auch wenn bislang erst der Referentenentwurf vorliegt, das Jahr bis zum Inkrafttreten der o.a. Regelungen wird wie im Fluge vergehen. Daher ist es notwendig sich jetzt mit dem Thema zu beschäftigen und die ersten Schritte einzuleiten. Sprechen Sie uns gerne an.