(openPR) UIMC warnt vor Verzögerungen – Unternehmen sollten schon jetzt handeln
Die Umsetzung der NIS2-Richtlinie rückt näher, doch der deutsche Gesetzgeber läuft Gefahr, die Frist im Oktober 2024 nicht einzuhalten. Tatsächlich ist mit einer Umsetzung in nationales Recht wohl erst für März 2025 zu rechnen. Obwohl das deutsche Gesetz derzeit erarbeitet wird, bestehen weiterhin viele offene Fragen. Unternehmen, insbesondere aus kritischen Sektoren wie Energie, Gesundheit, IT und Transport, müssen bereits jetzt Maßnahmen ergreifen, um den Anforderungen der NIS2-Richtlinie gerecht zu werden. „Die NIS2-Richtlinie verpflichtet Unternehmen, technische und organisatorische Maßnahmen auf den neuesten Stand der Technik zu bringen“, sagt Dr. Jörn Voßbein, Geschäftsführer von UIMC. „Unternehmen müssen sicherstellen, dass Standards der Informationssicherheit eingehalten werden. Hier besteht aus unserer Erfahrung zum Teil erheblicher Handlungsbedarf.“
Rückblick: Die NIS2-Richtlinie, die seit dem 27. Dezember 2022 in Kraft ist, stellt eine Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016 dar. Sie zielt darauf ab, die Standards für Informationssicherheit in der EU zu erhöhen und erweitert dabei den Geltungsbereich auf eine größere Anzahl von Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland dabei federführend für die Umsetzung zuständig, hält sich aber vor dem Abschluss des Gesetzgebungsverfahrens mit konkreten Aussagen zurück.
Status quo: Die aktuelle Unsicherheit bezieht sich nicht nur auf die finale Gesetzesform, sondern auch auf die Frage, welche Unternehmen konkret betroffen sind. Der Regierungsentwurf sieht eine Kategorisierung nach Mitarbeiterzahlen, Umsatz und Geschäftstätigkeit vor, doch viele Unternehmen wissen noch nicht genau, ob sie in den Anwendungsbereich fallen. Für Betreiber Kritischer Infrastrukturen (KRITIS), die bereits durch die erste NIS-Richtlinie geregelt wurden, bleibt der Handlungsdruck besonders hoch, da sie weiterhin in der höchsten Risikokategorie geführt werden.
Aktuelle Empfehlung: „Auch wenn das Gesetz noch nicht verabschiedet ist, sollten Unternehmen keine Zeit verlieren“, empfiehlt der erfahrene Fachmann für Informationssicherheit Benedict Voßbein. „Ein frühzeitiges Handeln kann nicht nur Cyberangriffe abwehren, sondern auch hohe Strafen bei Nichteinhaltung der Vorgaben vermeiden.“ Die Erfahrung aus der Einführung der DSGVO zeigt ferner, dass die Kapazitäten der Berater und der weiteren Experten auch zunehmend knapper werden.
Neuerungen durch die NIS2-Richtlinie: Die NIS2-Richtlinie bringt bedeutende Neuerungen, nicht nur bei der Frage, welche Unternehmen betroffen sind. So werden die Befugnisse des BSI erweitert und Unternehmen müssen nun umfassendere Sicherheitsmaßnahmen ergreifen. Dazu zählen unter anderem folgende Aspekte:
Risikomanagement und Sicherheit der InformationssystemeKrisen- und SchwachstellenmanagementSicherheit in der LieferketteSchulungen im Bereich CybersicherheitImplementierung von Systemen zur Angriffserkennung (besonders für KRITIS-Betreiber)
Ferner müssen sich Unternehmen beim BSI registrieren und eine Kontaktstelle benennen, um Meldungen bei Sicherheitsvorfällen zu gewährleisten. Das BSI unterstützt betroffene Unternehmen, insbesondere KRITIS-Betreiber, durch Mobile Incident Response Teams (MIRT), die bei schwerwiegenden Cyberangriffen vor Ort helfen.
Schnittmenge zur DSGVO: Viele der geforderten Maßnahmen überschneiden sich mit den Anforderungen der DSGVO, was zusätzliche Pflichten für Unternehmen schafft, aber die Chance bietet, durch eine gemeinsame Betrachtung Einsparungen und Mehrwert zu schaffen. „Die NIS2-Richtlinie fordert von Unternehmen, nicht nur Cybersicherheitsmaßnahmen zu ergreifen, sondern auch den Schutz personenbezogener Daten sicherzustellen“, betont Dr. Jörn Voßbein. „Unternehmen, die sich frühzeitig mit diesen Vorgaben auseinandersetzen, werden langfristig resilienter gegenüber Cyberbedrohungen und datenschutzrechtlichen Risiken sein.“
Fazit: Mit der NIS2-Richtlinie wird der gesetzliche Rahmen für Cybersicherheit in Europa erheblich erweitert. Betroffene Unternehmen sollten schon jetzt mit einer Ist-Analyse starten, um bestehende Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls Lücken zu schließen. UIMC unterstützt – neben der Beurteilung der Frage, ob das eigenen Unternehmen unter die Richtlinie fällt – auch dabei, die neuen Anforderungen zu bewerten und umzusetzen, um die Compliance mit der NIS2-Richtlinie sicherzustellen.