In unserem letzten Wissen macht Zukunft durften wir Thomas Ströbele von yourIT begrüßen, der uns die Pflicht und Kür der NIS-2-Richtlinie erklärte. Die wesentlichen Punkte finden Sie hier zum Nachlesen:
Unternehmen brauchen bessere Aufstellung in Sachen Cybersecurity
Der Risk-Monitor der Allianz schlägt seit zwei Jahren im Bereich Cybersicherheit Alarm. Zu viele erfolgreiche Angriffe zeigen, dass Cyberangriffe das größte Risiko für Unternehmen bedeuten und niemand die Gefahr unterschätzen sollte. Umso wichtiger ist es, sich schnellstmöglich mit dem Thema Cybersecurity zu beschäftigen – nicht nur, weil es durch die NIS-2 verpflichtend wird.
NIS-2 als EU-Richtlinie
Die Richtlinie ist seit 2024 für Unternehmen verpflichtend, auch wenn die Umsetzung in deutsches Recht noch nicht erfolgt ist. Ziel der Richtlinie ist es, die Cyberresilienz von kritischen und wichtigen Infrastrukturen in den EU-Mitgliedsländern zu stärken. Die Inhalte erweitern und verschärfen die Vorgaben des Vorgängers NIS-1. In der NIS-2 sind Maßnahmenziele definiert, die betroffene Unternehmen umsetzen müssen. Dies gilt für Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz aus 18 festgelegten Sektoren. Ein Unternehmen kann auch indirekt durch die Lieferkette von der NIS-2 betroffen sein.
Kontrolle der Umsetzung
Experte Thomas Ströbele schätzt die bisherige Umsetzung von Unternehmen mit der NIS-2 als minimal ein, da bisher noch keine Überprüfung stattfindet. Tritt das Gesetz in Kraft, erfolgen Kontrollen ähnlich wie beim Datenschutz: nach Hinweisen oder bei gemeldeten Angriffen. Beispielsweise kann ein Kunde in der Lieferkette ein anderes Unternehmen melden, wenn es Bedenken gibt, ob die NIS-2 umgesetzt wurde.
Vorgaben der NIS-2
NIS-2 beinhaltet keine konkreten Vorgaben, wie die Umsetzung in einem Unternehmen erfolgen muss. Auch die Norm ISO 27001 gibt Maßnahmenziele vor, jedoch keine allgemein gültigen Checklisten für alle Unternehmen. So kann jedes betroffene Unternehmen selbst prüfen, welche Maßnahmen erforderlich sind und wie diese umgesetzt werden. Die Umsetzungen müssen dokumentiert werden, damit bei einer Überprüfung alles nachgewiesen werden kann.
ISO 27001 als Maßstab
Die bereits erwähnte Norm ISO 27001 ist eine international anerkannte Norm für Informationssicherheitssysteme und kann als Nachweis für die Umsetzung der NIS-2 dienen. Dazu ist es nötig, die ISO 27001 von einem DAkkS-akkreditierten Anbieter durchführen zu lassen. Dies erkennt man, wenn beim Zertifikat DAkkS- und IAF-Stempel enthalten sind.
Was kann ein Unternehmen nun tun?
Thomas Schröbele empfiehlt Unternehmen, Beratung von Extern zuzuziehen, um gemeinsam den aktuellen Stand zu betrachten und aktuelle Lücken bei der ISO 27001 zu ermitteln und Maßnahmen auszuarbeiten. Dieser Prozess kann mehrere Monate in Anspruch nehmen, deswegen sollten sich Unternehmen schnellstmöglich darum kümmern.
Weiterführende Links:
Alle Informationen zur NIS-2 beim BSI (Bundesamt für Sicherheit in der Informationstechnik) inklusive Betroffenheitsprüfung: https://www.bsi.bund.de/dok/nis-2
Christine Czekalla, wissenschaftliche Mitarbeiterin im Bereich Öffentlichkeitsarbeit im Zukunftszentrum Süd
Das Bild ist KI-generiert mit Image Gen + bei HuggingChat.
