1. Was ist NIS-2?
Ab dem 17. Oktober 2024 gilt NIS-2, eine EU-weite Gesetzgebung zur Cybersicherheit. Sie verpflichtet Unternehmen, die als „Betreiber kritischer Infrastrukturen“ eingestuft sind, bestimmte Mindeststandards in Bezug auf die Sicherheit ihrer Netzwerke und Systeme zu erfüllen. Das Hauptziel der Richtlinie besteht darin, die Cyberresilienz kritischer Infrastrukturen innerhalb der EU zu stärken.
Möglicherweise sind nun auch Sie von der Richtlinie betroffen. Ursprünglich galt die NIS-Richtlinie für Unternehmen in verschiedenen Sektoren, darunter das Gesundheitswesen, die virtuelle Infrastruktur, das Transportwesen, die Wasserversorgung, digitale Dienstleister, das Bankwesen, die Finanzmarktinfrastruktur und die Energiebranche.
Mit NIS-2 werden zusätzliche Sektoren einbezogen. Dazu gehören:
- Anbieter öffentlicher Kommunikationsnetze oder -dienste,
- Unternehmen im Abwassersektor
- Unternehmen im Bereich der Chemikalien
- das erweiterte Gesundheitswesen (Pharma, Forschung und Entwicklung, kritische Medizinprodukte)
- Lebensmittelproduzenten, -verarbeiter und -händler
- Hersteller kritischer Produkte (Medizinprodukte, Computer, Elektronik, Kraftfahrzeuge)
- digitale Anbieter (Social Networking Plattformen, Suchmaschinen, Online-Marktplätze)
- Raumfahrt, Post- und Kurierdienste
- Öffentliche Verwaltung
3. Was genau passiert bei Versäumnis?
4. Was ist die Handlungsempfehlung?
Mit der Einführung der NIS-2-Richtlinie sind Unternehmen gefordert, ihre Sicherheitsmaßnahmen zu überprüfen und anzupassen. Hier sind einige Schritte, die Unternehmen in Angriff nehmen sollten:
1. Prüfen der Einstufung als „Netz- und Informationssystemdienst“ (NIS-Dienst): Unternehmen sollten überprüfen, ob sie als NIS-Dienst eingestuft werden. Dies betrifft Unternehmen in verschiedenen Sektoren, darunter Energieversorgung, Gesundheitswesen, Finanzdienstleistungen, Transportwesen und Telekommunikation.
2. Risikobewertung: Unternehmen sollten eine umfassende Risikobewertung durchführen, um potenzielle Angriffe und IT-Sicherheitsrisiken zu identifizieren und zu bewerten. Grundlage hierfür ist eine vollständige Erfassung und Analyse der IT-Landschaft sowie der Erfassung und Bewertung aller IT-Services.
3. Implementierung eines Sicherheitsmanagementsystems: Ein effektives Sicherheitsmanagementsystem ist entscheidend, um Sicherheitsmaßnahmen regelmäßig zu überprüfen und auf dem neuesten Stand zu halten. Ergebnisse von Sicherheitsüberprüfungen müssen an die zuständigen Behörden gemeldet werden.