NIS2 offiziell in Kraft: Was Unternehmen jetzt tun sollten
Statement von Alexander Ingelheim, CEO und Mitgründer von Proliance
München (ots)
Seit dem 6. Dezember gilt die NIS2-Richtinie nun offiziell, ohne jegliche Übergangsfristen. Zum Hintergrund: Am 13. November wurde das Maßnahmenpaket final im Bundestag beschlossen. Die Verabschiedung und das Inkrafttreten stellen einen Wendepunkt für den deutschen Mittelstand dar. Endlich erhalten Unternehmen Rechtssicherheit, während die Cybersicherheit entscheidend gestärkt wird. Denn: Die Vorgabe verpflichtet deutlich mehr Unternehmen und Branchen zur Einhaltung einheitlicher europäischer Sicherheitsstandards und schreibt strengere Vorgaben für die IT-Sicherheit vor. Zudem erweitert sie die Meldepflichten bei Sicherheitsvorfällen und verschärft die Sanktionen bei Verstößen. Darüber hinaus soll die Zusammenarbeit der EU-Mitgliedstaaten bei der Abwehr von Cyberangriffen gestärkt werden. NIS2 gilt für Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Somit sind je nach Schätzung etwa 30.000 bis 40.000 deutsche Betriebe aus 18 festgelegten Sektoren ganz konkret betroffen. Bedenkt man die Wertschöpfungsketten, könnte sich laut dem Institut der deutschen Wirtschaft (IW) für über 200.000 weitere Firmen eine indirekte Verpflichtung ergeben.
Der Zeitpunkt zu handeln ist also jetzt. Doch was können Betriebe tun, um so schnell wie möglich compliant zu werden? Hier eine Übersicht der wichtigsten ersten Schritte, die Unternehmen dringend angehen sollten:
- Die Durchführung einer Risikobewertung: Von NI2 betroffene Firmen müssen jetzt ihre Netz- und Informationssysteme auf Schwachstellen und Bedrohungen hin analysieren sowie die bestehenden Risiken klassifizieren und bewerten.
- Implementierung eines Sicherheitsplans: Basierend auf den Ergebnissen dieser Analyse sollte ein Sicherheitsplan entwickelt werden, der spezifische NIS2-Maßnahmen zur Risikominimierung enthält. Dazu gehören technische und organisatorische Sicherheitsmaßnahmen (TOM), genauso wie die Schaffung von Sicherheitsprotokollen, der regelmäßigen Überprüfung und Aktualisierung der Systeme sowie kontinuierliche Mitarbeiterschulungen.
- Etablierung von Meldeverfahren: Ein nächster Schritt besteht darin, sicherzugehen, dass transparente und effiziente Meldeverfahren für den Fall eines Vorfalls bestehen. Dadurch werden Vorfälle schneller erkannt, gemeldet und Maßnahmen zur Eindämmung eingeleitet.
- Zusammenarbeit mit Behörden und anderen Betrieben: Unternehmen sind gut beraten, enge Beziehungen zu den zuständigen Behörden sowie anderen Einrichtungen in ihrer Branche aufzubauen und zu pflegen. Der Austausch, zum Beispiel bezüglich bewährter Verfahren und Prozesse, hilft, das allgemeine Cybersicherheitslevel zu steigern.
- Regelmäßige Prüfung und Anpassung aller NIS2-Maßnahmen: Generell gilt: die Schaffung einer guten Grundlage in Sachen IT-Sicherheit ist ein fortlaufender Prozess. Langfristig gesehen sollten Betriebe ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an neue Bedrohungsszenarien sowie technologische Entwicklungen anpassen. Dazu gehört kontinuierliches Monitoring aller Prozesse und die Flexibilität, auf neue Herausforderungen schnell zu reagieren.
Um diese Maßnahmen konkret umzusetzen, bietet sich die Etablierung eines spezialisierten Cybersicherheitsteams an, falls noch nicht vorhanden. Dies ist einer der wichtigsten Schritte, um schnell in die Handlung zu kommen. Auch sollten Betriebe über die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach aktuellen Standards wie ISO 27001 oder dem BSI-Grundschutz nachdenken. Im Idealfall hilft die Lösung bei der systematischen Verwaltung von Sicherheitsrisiken und kontinuierlichen Verbesserung der etablierten Maßnahmen.
Dass die Einführung eines Regelwerks wie NIS2 längst überfällig war, zeigen aktuelle Zahlen aus der Praxis. Während Unternehmen ihren Reifegrad in der Informationssicherheit kurz vor der Abstimmung im Bundestag durchschnittlich mit 4,1 von 5 Punkten bewerteten, meldete fast jedes dritte mindestens einen schwerwiegenden Sicherheitsvorfall in den vergangenen drei Jahren. Diese Selbstwahrnehmung steht hier in eklatantem Widerspruch zur Realität. Für unsere Studie wurden 122 mittelständische Entscheider befragt.
Fazit: Auch wenn die Richtlinie und Ihre Umsetzung zeitweise für Verunsicherung gesorgt hat: Gerade für den Mittelstand wird NIS2 dazu führen, die Cyberresilienz deutlich zu stärken. Schließlich helfen vorab definierte Notfall- und Wiederanlaufprozesse im Rahmen des Business Continuity Managements Unternehmen dabei, nach Cyber-Attacken schnell wieder arbeitsfähig zu werden. Außerdem schützt ein hohes Level an Informationssicherheit personenbezogene wie auch vertrauliche Daten und beugt Pannen in Sachen Datensicherheit vor. Sogar die Effizienz steigt, denn die Umsetzung des Regelwerks schafft Prozessklarheit, verschlankt Abläufe, macht Risiken sichtbar und somit besser beherrschbar. Zuletzt senken Geschäftsführer und Führungskräfte ihr eigenes, ganz persönliches Risiko, denn eine lückenlose Umsetzung vermindert deutlich das Haftungsrisiko, welches im Zuge von NIS2 auch für sie als Einzelpersonen gilt. Mithilfe der oben erwähnten Schritte, idealerweise in Kombination mit einer Lösung, die beim Monitoring und Management von Fallstricken in Sachen Informationssicherheit hilft, erreichen Unternehmen schnell und unkompliziert Compliance in Sachen NIS2.
Pressekontakt:
Kafka Kommunikation
proliance@kafka-kommunikation.de
Original content of: Proliance, transmitted by news aktuell