Die Europäische Union (EU) hat eine neue Richtlinie „zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netzwerk- und Informationssicherheit“ (kurz: NIS-2) verabschiedet, die eine Reihe an Anforderungen zur IT-Sicherheit umfassend überarbeitet und erweitert. Das neue Gesetzespaket sieht strengere Maßnahmen gegen Cyberangriffe vor, die ausdrücklich die Führungsetage mit einbeziehen sollen.
Die NIS-2-Richtlinie erweitert den Anwendungsbereich um zusätzliche Wirtschaftsbranchen und führt neue IT-Sicherheitsanforderungen ein. Bis zum 17. Oktober 2024 muss die Richtlinie nun in nationales Recht der EU-Mitgliedstaaten umgesetzt werden.
KRITIS besonders in der Pflicht
Möchten Unternehmen die Vorgaben bis Herbst 2024 umsetzen, sollte sich bereits jetzt damit beschäftigt werden, denn die Anforderungen in der IT-Sicherheit steigen mit der neuen Richtline erheblich an und sie schließt deutlich mehr Unternehmen ein. Davon betroffen sind unzählige Unternehmen vom Mittelstand bis zu den DAX 40 – alle, die mindestens 50 Mitarbeiter und 10 Millionen Euro Umsatz vorweisen können.
Besonders strenge Vorgaben gelten für „Sektoren mit hoher Kritikalität“, wie es in der Richtlinie heißt. Zu diesen KRITIS-Unternehmen zählen unter anderem Energieversorger, Verkehrsunternehmen, Internet- und Cloud-Anbieter, Gesundheitsdienstleister, Organisationen aus dem Bereich Weltraum, der öffentliche Verwaltungsapparat und auch Banken.
Was wird konkret gefordert?
Wie eingangs erwähnt, soll die IT-Sicherheit zur Aufgabe der Führungsetage und damit Teil der Unternehmenssteuerung werden. Institutionen müssen ein Risikomanagement, Notfallpläne sowie ein System für die zügige Meldung von Vorfällen an die Aufsichtsbehörden einführen.
Neben der Verschiebung der Verantwortlichkeiten bringt die neue Richtlinie auch einen Katalog an technischen Maßnahmen mit sich. Unter „Cyberhygiene“ fasst NIS-2 die systematische Datensicherung, Konzepte für die Zugriffskontrolle, das Management von Schwachstellen sowie die Informationsverschlüsselung verpflichtend zusammen. Auch die Schulung der Mitarbeiter in Cybersicherheitsthemen soll künftig zur Vorgabe werden.
Abseits der „Cyberhygiene“ müssen auch Lieferketten stärker abgesichert werden. Unternehmen werden in die Pflicht genommen, ein entsprechendes Schutzkonzept für ihre Lieferketten zu erarbeiten.
Verstoß mit Konsequenzen
Unternehmen, die diese Richtlinien künftig nicht befolgen, sollen abgestraft werden. Besonders für die Unternehmen „mit hoher Kritikalität“ drohen Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, anderen Firmen von bis zu sieben Millionen Euro oder 1,4 Prozent des Erlöses.
Die neue Richtlinie setzt damit vor allem Mittelständler massiv unter Druck. Denn während Großunternehmen sich ohnehin mit den bisherigen Regulierungen der IT-Sicherheit auseinandersetzen mussten, waren viele mittlere Unternehmen bislang nicht in der Pflicht. Ob dafür jedoch bei allen Unternehmen die entsprechenden Kernkompetenzen vorhanden sind, ist fraglich. Eine schnelle Etablierung, wie von der Richtlinie gefordert, dürfte also schwer umzusetzen sein.
Ob die Richtlinie vor der gesetzten Deadline in Deutschland in Kraft treten wird, ist noch nicht absehbar. Das Bundesinnenministerium (BMI) will in der ersten Hälfte dieses Jahres einen Referentenentwurf vorlegen.
TIPP: Sie möchten Sie gern mehr zum Thema Cybercrime lesen? Dann erfahren Sie hier mehr zum Banking Trojaner „Godfather“ oder lesen Sie hier welche Ergebnisse die neuste Umfrage des Bitkom zum Thema Cybersicherheit ergeben hat.
