
Die Digitalisierung schreitet voran und damit auch die Notwendigkeit, kritische Infrastrukturen vor Cyberangriffen zu schützen. Ein aktuelles Beispiel verdeutlicht dies: Eine globale IT-Panne hat kürzlich zu massiven Störungen in verschiedenen Sektoren geführt, darunter Fluggesellschaften, Banken und Krankenhäuser. Auch in Deutschland waren mehrere Flughäfen und Kliniken betroffen. Diese Ereignisse unterstreichen die Wichtigkeit einer robusten Cybersicherheit, die die NIS-2-Richtlinie adressieren soll. Doch was genau verbirgt sich hinter dieser Richtlinie und wie betrifft sie Unternehmen und Organisationen? In diesem Blogbeitrag möchten wir Ihnen die wichtigsten Aspekte der NIS-2-Richtlinie näherbringen und erläutern, wie Sie sich darauf vorbereiten können.
Hintergrund der EU-Richtlinie
Die NIS-2-Richtlinie ist die Nachfolgerin der NIS-Richtlinie aus dem Jahr 2016. Sie wurde ins Leben gerufen, um auf die steigende Bedrohungslage durch Cyberangriffe zu reagieren und die Resilienz der Mitgliedsstaaten der Europäischen Union zu erhöhen. Die ursprüngliche NIS-Richtlinie legte den Fokus auf Betreiber kritischer Infrastrukturen wie Energie, Verkehr, Wasser, Gesundheitswesen und digitale Infrastruktur. NIS-2 erweitert diesen Kreis und schließt mehr Sektoren und Unternehmen ein, um eine breitere Abdeckung und höhere Sicherheitsstandards zu gewährleisten. Dabei werden nicht nur große Konzerne, sondern auch kleinere und mittlere Unternehmen einbezogen, die als Dienstleister für kritische Infrastrukturen tätig sind.
Umsetzung noch ausstehend
Die NIS-2-Richtlinie muss bis Oktober 2024 in nationales Recht umgesetzt werden. Das bedeutet, dass die Mitgliedsstaaten der EU ihre bestehenden Gesetze und Verordnungen anpassen müssen, um die neuen Anforderungen zu erfüllen. Der Regierungsentwurf wurde am 24.07.2024 verabschiedet. Für Unternehmen bedeutet dies, dass sie ihre Cybersicherheitsmaßnahmen überprüfen und gegebenenfalls anpassen müssen, um den neuen Standards zu entsprechen.
Was muss nun beachtet werden?
Unternehmen müssen eine Reihe von Maßnahmen ergreifen, um den Anforderungen der NIS-2-Richtlinie zu entsprechen. Dazu gehören unter anderem:
- Risikomanagement: Unternehmen müssen ein umfassendes Risikomanagementsystem implementieren, das potenzielle Bedrohungen identifiziert und Maßnahmen zur Risikominderung festlegt.
- Vorfallmeldung: Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden.
- Sicherheitsmaßnahmen: Es müssen technische und organisatorische Maßnahmen getroffen werden, um die Sicherheit der Netzwerke und Informationssysteme zu gewährleisten.
- Regelmäßige Audits: Unternehmen müssen regelmäßige Audits durchführen, um die Wirksamkeit ihrer Sicherheitsmaßnahmen zu überprüfen.
Betroffen oder nicht?
Die NIS-2-Richtlinie betrifft eine breite Palette von Sektoren und Unternehmen. Laut Diagnosen wird der Umfang betroffener Unternehmen auf über 30.000 Unternehmen ansteigen. Dabei sind nicht nur Unternehmen unmittelbar betroffen, sondern es ist auch eine mittelbare Betroffenheit als Lieferant denkbar. Damit könnte beispielsweise ein kleines Softwareentwicklungsunternehmen betroffen sein, wenn es Dienstleistungen für kritische Infrastrukturen anbietet. Daher ist es wichtig, dass Unternehmen prüfen, ob sie unter die NIS-2-Richtlinie fallen und entsprechende Maßnahmen ergreifen. Aus diesem Grund haben wir auf unserer Website einen Check für Sie bereitgestellt, wo Sie unverbindlich prüfen können, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt.
Vorsorge ist besser als Nachsorge – Jetzt beginnen!
Die NIS-2-Richtlinie stellt höhere Anforderungen an die Cybersicherheit in der EU. Unternehmen sollten frühzeitig handeln, um die neuen Anforderungen zu erfüllen und sich vor Cyberbedrohungen zu schützen.
Aus diesem Grund sollten Unternehmen bereits jetzt damit beginnen, ihre Sicherheitsvorkehrungen zu stärken, um nicht in Zeitnot zu geraten. Der frühe Start bietet auch den Vorteil, dass erste Schwachstellen rechtzeitig identifiziert und behoben werden können. Die Umsetzung der NIS-2-Richtlinie kann dabei komplex sein und erfordert umfassende Kenntnisse in der IT-Sicherheit. Daher kann es sinnvoll sein, externe Berater hinzuzuziehen, die über das nötige Fachwissen verfügen und Unternehmen bei der Einhaltung der Richtlinie unterstützen können.
Mit diesem Beitrag hoffen wir, Ihnen einen verständlichen Überblick über die NIS-2-Richtlinie gegeben zu haben und wie Sie sich darauf vorbereiten können. Wenn Sie weitere Fragen haben oder Unterstützung benötigen, zögern Sie nicht, unsere Berater der IT-Security zu kontaktieren.
Autorin

Sophie Powierski
Sophie ist als Compliance-Beraterin bei der BREDEX tätig. Neben Daten- und Hinweisgeberschutz setzt sie sich mit neuen Gesetzen auseinander und versucht diese den Kunden oder eigenen Kollegen näherzubringen.
Jobs

Ihre Ansprechpartnerin
Gerne erzählen wir Ihnen mehr zu diesem Thema.