Die digitale Transformation hat dazu geführt, dass Unternehmen vermehrt von Cyberangriffen bedroht sind. Um die Sicherheit der Informationssysteme zu gewährleisten, hat die Europäische Union die Richtlinie über Netzwerk- und Informationssicherheit (NIS) eingeführt. NIS2 ist die überarbeitete Version dieser Richtlinie, die nun deutlich mehr Unternehmen und Einrichtungen in den Fokus nimmt.
NIS2, Netzwerk- und Informationssicherheit, hat das Ziel, die Widerstandsfähigkeit der Informationssysteme von Unternehmen zu stärken. Es legt Mindestanforderungen für die Sicherheit von Netzwerken und Informationssystemen fest und verpflichtet Unternehmen, diese zu implementieren und einzuhalten. Die Richtlinie dient dazu, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme innerhalb der EU zu gewährleisten.
Die Umsetzung von NIS2 kann für mittelständische Unternehmen eine Herausforderung darstellen. Oftmals verfügen sie nicht über die gleichen Ressourcen wie große Unternehmen, um umfangreiche Sicherheitsmaßnahmen zu implementieren. Die Kosten für die Einhaltung der Richtlinie können ebenfalls eine Belastung darstellen. Es ist jedoch wichtig, die Bedeutung von NIS2 zu erkennen und die notwendigen Maßnahmen zu ergreifen, um die eigenen Informationssysteme zu schützen.
Ein möglicher Ansatz zur finanziellen Unterstützung kann der Einsatz von Fördermitteln sein. Zudem gibt es weltweit über 7000 Anbieter von Cybersicherheitslösungen, was die Auswahl der richtigen Lösung zur Herausforderung machen kann.
Ein weiterer kritischer Punkt ist die Haftung. Geschäftsführungs- und Vorstandsmitglieder können persönlich haftbar gemacht werden, wenn die Richtlinie nicht eingehalten oder erfüllt wird. Dies unterstreicht die Notwendigkeit, die Anforderungen von NIS2 ernst zu nehmen und entsprechende Maßnahmen zu ergreifen.
Unternehmen müssen zudem sicherstellen, dass ihre Dienstleister und Zulieferer ebenfalls angemessene Sicherheitsmaßnahmen implementieren.
NIS2 betrifft Unternehmen in verschiedenen wichtigen Sektoren, darunter Energie, Verkehr, Gesundheit, Finanzen, IT-Dienstleister, Lebensmittelindustrie und Medien. Die Richtlinie gilt generell für alle Unternehmen in diesen Sektoren, unabhängig von ihrer Größe. Allerdings gibt es spezielle Anforderungen für Unternehmen, die als "Anbieter wesentlicher Dienste" (AWS) eingestuft werden. Diese Einstufung hängt davon ab, ob die Dienstleistungen eines Unternehmens für die Aufrechterhaltung wesentlicher gesellschaftlicher und wirtschaftlicher Aktivitäten von großer Bedeutung sind. Mittelständische Unternehmen können als AWS eingestuft werden, wenn sie bestimmte Schwellenwerte, wie mehr als 50 Mitarbeiter oder einen Umsatz von über EUR 10 Mio., überschreiten.
NIS2 betrifft Unternehmen aus verschiedenen wichtigen Sektoren, wie zum Beispiel:
Die Richtlinie gilt für Unternehmen, die wesentliche Dienste anbieten. Ein Unternehmen fällt unter die NIS2-Richtlinie, wenn es:
NIS2 unterscheidet zwischen "wesentlichen" und "wichtigen" Sektoren. Wesentliche Sektoren, wie Energie und Gesundheit, unterliegen strengeren Sicherheitsanforderungen und Kontrollen. Wichtige Sektoren, wie Post- und Kurierdienste oder die Lebensmittelproduktion, unterliegen geringeren Strafen und einer reaktiven Aufsicht durch die Behörden.
Am 17. Juli 2024 hat das Bundeskabinett das NIS2-Umsetzungsgesetz verabschiedet, das nun dem Bundestag zur Beratung vorliegt. Dieses Gesetz soll die Anforderungen der NIS2-Richtlinie in nationales Recht umsetzen. Unternehmen, die in den Geltungsbereich der Richtlinie fallen, müssen die neuen Anforderungen innerhalb von sechs Monaten nach Verkündung des Gesetzes erfüllen.
NIS2 schreibt verschiedene Sicherheitsmaßnahmen vor, die von den betroffenen Unternehmen umgesetzt werden müssen. Diese Maßnahmen umfassen:
Die Implementierung der Zwei-Faktor-Authentifizierung (2FA) ist eine effektive Sicherheitsmaßnahme. Hierbei wird ein zusätzlicher Sicherheitsfaktor neben dem Passwort eingeführt, wie z.B. ein einmaliger Code, der an das Handy des Benutzers gesendet wird. Dies erhöht die Sicherheit erheblich, da ein Angreifer sowohl das Passwort als auch das mobile Gerät benötigen würde.
WIR bieten Unterstützung in mehreren Phasen:
1. Kontaktaufnahme: Erste Beratung und Klärung der spezifischen Anforderungen des Unternehmens.
2. Erfassen des IST-Zustands und Diagnostik: Analyse der aktuellen Sicherheitslage und Identifikation von Schwachstellen.
3. Von IST zu SOLL: Entwicklung eines maßgeschneiderten Sicherheitskonzepts basierend auf den Ergebnissen der Diagnostik.
4. Umsetzung der Maßnahmen: Unterstützung bei der Implementierung der empfohlenen Sicherheitsmaßnahmen.
5. Fragenkatalog und Cyberversicherung: Hilfestellung bei der Beantragung einer Cyberversicherung, inklusive Beantwortung relevanter Fragen und Überprüfung des Scorings.
WIR verfügen über ein breit gefächertes Netzwerk von Dienstleistern, die passgenaue Lösungen für die spezifischen Anforderungen Ihres Unternehmens anbieten. Dies umfasst unter anderem Dienstleistungen wie Penetrationstests, um Schwachstellen in den Systemen zu identifizieren, sowie die Implementierung umfassender Sicherheitslösungen.
Für mittelständische Unternehmen ist es entscheidend, die Anforderungen von NIS2 zu verstehen und umzusetzen, um ihre Informationssysteme zu schützen. Mit der Unterstützung durch spezialisierte Dienstleister und Fördermittel können auch kleinere Unternehmen effektive Sicherheitsmaßnahmen implementieren und so ihre Widerstandsfähigkeit gegen Cyberangriffe erhöhen. Die Beachtung der NIS2-Richtlinie ist nicht nur für den Schutz der eigenen Systeme entscheidend, sondern auch, um Haftungsrisiken für die Unternehmensführung zu vermeiden.