Die EuropƤische Union (EU) hat eine neue Richtlinie āzur GewƤhrleistung eines hohen gemeinsamen Sicherheitsniveaus von Netzwerk- und Informationssicherheitā (kurz: NIS-2) verabschiedet, die eine Reihe an Anforderungen zur IT-Sicherheit umfassend Ć¼berarbeitet und erweitert. Das neue Gesetzespaket sieht strengere MaĆnahmen gegen Cyberangriffe vor, die ausdrĆ¼cklich die FĆ¼hrungsetage mit einbeziehen sollen. Ā Ā
Die NIS-2-Richtlinie erweitert den Anwendungsbereich um zusƤtzliche Wirtschaftsbranchen und fĆ¼hrt neue IT-Sicherheitsanforderungen ein. Bis zum 17. Oktober 2024Ā muss die Richtlinie nun in nationales Recht der EU-Mitgliedstaaten umgesetzt werden. Ā
KRITIS besonders in der Pflicht
Mƶchten Unternehmen die Vorgaben bis Herbst 2024 umsetzen, sollte sich bereits jetzt damit beschƤftigt werden, denn die Anforderungen in der IT-Sicherheit steigen mit der neuen Richtline erheblich an und sie schlieĆt deutlich mehr Unternehmen ein. Davon betroffen sind unzƤhlige Unternehmen vom Mittelstand bis zu den DAX 40 ā alle, die mindestens 50 Mitarbeiter und 10 Millionen Euro Umsatz vorweisen kƶnnen.Ā
Besonders strenge Vorgaben gelten fĆ¼r āSektoren mit hoher KritikalitƤtā, wie es in der Richtlinie heiĆt. Zu diesen KRITIS-Unternehmen zƤhlen unter anderem Energieversorger, Verkehrsunternehmen, Internet- und Cloud-Anbieter, Gesundheitsdienstleister, Organisationen aus dem Bereich Weltraum, der ƶffentliche Verwaltungsapparat und auch Banken. Ā
Was wird konkret gefordert?
Wie eingangs erwƤhnt, soll die IT-Sicherheit zur Aufgabe der FĆ¼hrungsetage und damit Teil der Unternehmenssteuerung werden. Institutionen mĆ¼ssen ein Risikomanagement, NotfallplƤne sowie ein System fĆ¼r die zĆ¼gige Meldung von VorfƤllen an die Aufsichtsbehƶrden einfĆ¼hren.Ā
Neben der Verschiebung der Verantwortlichkeiten bringt die neue Richtlinie auch einen Katalog an technischen MaĆnahmen mit sich. Unter āCyberhygieneā fasst NIS-2 die systematische Datensicherung, Konzepte fĆ¼r die Zugriffskontrolle, das Management von Schwachstellen sowie die InformationsverschlĆ¼sselung verpflichtend zusammen. Auch die Schulung der Mitarbeiter in Cybersicherheitsthemen soll kĆ¼nftig zur Vorgabe werden.Ā
Abseits der āCyberhygieneā mĆ¼ssen auch Lieferketten stƤrker abgesichert werden. Unternehmen werden in die Pflicht genommen, ein entsprechendes Schutzkonzept fĆ¼r ihre Lieferketten zu erarbeiten.Ā
VerstoĆ mit Konsequenzen
Unternehmen, die diese Richtlinien kĆ¼nftig nicht befolgen, sollen abgestraft werden. Besonders fĆ¼r die Unternehmen āmit hoher KritikalitƤtā drohen Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, anderen Firmen von bis zu sieben Millionen Euro oder 1,4 Prozent des Erlƶses.Ā
Die neue Richtlinie setzt damit vor allem MittelstƤndler massiv unter Druck. Denn wƤhrend GroĆunternehmen sich ohnehin mit den bisherigen Regulierungen der IT-Sicherheit auseinandersetzen mussten, waren viele mittlere Unternehmen bislang nicht in der Pflicht. Ob dafĆ¼r jedoch bei allen Unternehmen die entsprechenden Kernkompetenzen vorhanden sind, ist fraglich. Eine schnelle Etablierung, wie von der Richtlinie gefordert, dĆ¼rfte also schwer umzusetzen sein. Ā
Ob die Richtlinie vor der gesetzten Deadline in Deutschland in Kraft treten wird, ist noch nicht absehbar.Ā Das Bundesinnenministerium (BMI) will in der ersten HƤlfte dieses Jahres einen Referentenentwurf vorlegen. Ā
TIPP: Sie mƶchten Sie gern mehr zum Thema Cybercrime lesen? Dann erfahren Sie hier mehr zum Banking Trojaner āGodfatherā oder lesen Sie hier welche Ergebnisse die neuste Umfrage des Bitkom zum Thema Cybersicherheit ergeben hat.
Dennis Witzmann ist ehemaliger Redakteur beim BANKINGCLUB.