- Tags:
- nis2,
- kritis,
- cybersecurity
NIS2: Für KRITIS-Unternehmen wird es jetzt KRITISCH
Mit der Umsetzung der neuen gesetzlichen NIS2-Vorgabe müssen sich jetzt viele Unternehmen mit Sitz in der EU dringend auseinandersetzen. Es geht dabei nicht nur um Pflichterfüllung, sondern um mehr Sicherheit in der IT, von der wir alle profitieren.
Kurz & knapp
- NIS2 ist eine neue EU-Richtlinie zur Erhöhung der Cybersicherheit für kritische Infrastrukturen, die den Fokus auf mehr Unternehmen aus verschiedenen Branchen legt.
- Alle EU-Mitgliedstaaten müssen diese gesetzlichen Mindestanforderungen bis Oktober 2024 auf nationaler Ebene umsetzen.
- Rund 30.000 deutsche Unternehmen sind betroffen und müssen spätestens nächstes Jahr erhöhte Cybersecurity-Anforderungen erfüllen.
- NIS2 fordert klare Cybersicherheitsstandards, Risikoanalysen, Incident-Response-Management und Sicherheit der Lieferketten. In Deutschland überwacht das BSI die Einhaltung.
Da kritische Infrastrukturen verstärkt im Fokus von Hackern stehen, gibt es bereits seit 2016 die EU-Richtlinie zur Netzwerk- und Informationssicherheit. Mit dieser
„NIS-Richtlinie“ wollte die Europäische Union erstmals das Cybersicherheitsniveau von Netz- und Informationssystemen erhöhen, die bei sogenannten KRITIS-Organisationen im
Einsatz sind.
NIS betrifft damit alle Unternehmen und Institutionen, die mit kritischen Infrastrukturen zu tun haben. Hierzu gehören beispielsweise Unternehmen aus dem Energiesektor, dem
Gesundheitswesen oder dem Verkehr, aber auch aus dem Bankwesen.
Etwa 30.000 Unternehmen von NIS2 betroffen
2022 wurde der Anwendungsbereich dieser ursprünglichen NIS-Richtlinie sogar noch erweitert: Die aktuelle seit 2023 in Kraft getretene NIS2-Direktive (EU 2022/2555) löst damit die 2016er Regelung ab und verpflichtet
jetzt sogar noch mehr Betreiber und Anbieter wesentlicher Dienste in KRITIS-relevanten Branchen, ihre Maßnahmen zur Cybersicherheit EU-Richtlinien-gerecht aufzustellen.
Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von zehn bis 43 Millionen Euro werden ohne weitere Voraussetzungen
automatisch von der Richtlinie erfasst. Das gilt für z. B. sowohl für Anbieter von Post- und Kurierdienste. Aber auch Betreiber in der Abfallbewirtschaftung, Produzenten und Händler von
chemischen Stoffen, für die Produktion von Lebensmitteln sowie Anbieter digitaler Dienste und im Forschungsbereich fallen in den Geltungsbereich.
Hochkritische Bereiche
Als hochkritische Sektoren gelten nach NIS2 jetzt EU-weit die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale
Infrastruktur, Verwaltung von IKT-Diensten, sowie der Verbraucherbereich, öffentliche Verwaltung und Weltraum.
In Deutschland wird die Umsetzung von NIS2 durch „NIS2UmsuCG“ geregelt – das NIS2 Umsetzungsgesetz. Man schätzt, dass hierzulande etwa 30.000 Unternehmen von dieser KRITIS-Regelung
betroffen sind. Mit NIS2 steigen künftig auch die Cybersecurity-Anforderungen und Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Auf nationaler Ebene müssen alle EU-Mitgliedstaaten diese gesetzlichen Mindestanforderungen für IT-Sicherheit in Unternehmen und Organisationen bis Oktober
2024 umsetzen. In Deutschland beispielsweise liegt das Umsetzungsgesetz seit Juli 2023 bereits als zweiter Referentenentwurf vor und muss nur noch auf Bundesebene durch die
Bundesverwaltung bestätigt werden.
Was ist neu?
Das NIS2UmsuCG ergänzt die Artikel des bestehenden BSI-Gesetzes um ein Vielfaches. Parallel dazu wird durch das KRITIS-Dachgesetz – die EU-Direktive RCE/CER – auch die Resilienz bei
kritischen Betreibern in der EU-Region weiter reguliert.
Künftig müssen von NIS2 betroffene Unternehmen ein klares Anforderungsprofil für eine ausreichende Cybersicherheit (Safety und Security) erfüllen, was Risikoanalyse, Informationssicherheit, Maßnahmenbewertung
und -umsetzung, Incident Response Management, Krisenmanagement und Schulungen in diesem Bereich angeht. Damit legt NIS2 einen viel größeren Fokus auf das Risikomanagement und auch
die Sicherheit von Lieferketten rückt stärker in den Mittelpunkt.
Was Unternehmen tun müssen, um den Anforderungen von NIS2 gerecht zu werden, erfahren Sie in einem unserer nächsten Blogartikel.
Risiko von Phishing minimieren
Die Sicherheit der Unternehmen wird in Qualität und Quantität immer mehr von Kriminellen bedroht. Eine der wichtigsten Angriffstaktiken ist Phishing. In unserer kostenlosen Checkliste finden Sie einige einfach umsetzbare Tipps, die das Risiko, durch Phishing kompromittiert, zu werden deutlich zu senken.
- Tags:
- nis2,
- kritis,
- cybersecurity