Über 15 Millionen Meldungen zu Schadprogramm-Infektionen wurden vergangenes Jahr vom BSI an deutsche Netzbetreiber übermittelt. Laut dem Bundesamt für Sicherheit in der Informationstechnik ist die Bedrohung durch Cyberangriffe heute so groß wie noch nie. Als Antwort auf die exponentiell steigenden Cybersecurity Vorfälle veröffentlichte die Europäische Union die NIS-2-Richtlinie (Network and Information Security) am 27.12.2022 im Amtsblatt L333. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen.
Die 2016 eingeführten EU-Vorschriften (NIS) zur Cybersicherheit wurden somit durch die NIS2 überholt und intensiviert. Doch was bedeutet das für Unternehmen auf dem deutschen Markt?
Die Neuerungen der Richtlinie zielen darauf ab, die Mindeststandards für die Betreiber kritischer Infrastrukturen einzuhalten bzw. zu erhöhen.
Für Unternehmen auf dem europäischen Markt gilt es nun in erster Linie zu überprüfen, ob sie von der neuen Richtlinie betroffen sind, näher, ob sie sich an die neuen Mindeststandards halten müssen. Denn die Sektoren und Branchen, die als Operatoren von Kritischen Infrastrukturen (KRITIS) zählen, wurden sichtlich erweitert. Beispielsweise wurde der Bereich Medizintechnik im vergangenen Jahr noch nicht als Betreiber kritischer Infrastruktur eingestuft, ab nächstem Jahr jedoch unterliegt auch diese Branche allen dafür geltenden Richtlinien. Darüber hinaus wurden auch die Schwellenwerte für die Einstufung als „important bzw. essential entity“ herabgesetzt. Betroffen sind von nun an auch Unternehmen mit einem Umsatz ab 10 Millionen Euro und einer Mitarbeiteranzahl ab 50 Personen.
Es liegt also in der Verantwortung von Unternehmen, insbesondere in der Verantwortung der Geschäftsleitung, zu überprüfen, inwiefern die Richtlinie für sie relevant bzw. verpflichtend ist und dementsprechende Maßnahmen zu ergreifen. Betroffenen Unternehmen, die nicht entsprechend der Mindestanforderung agieren, drohen hohe Strafen: Sowohl die Unternehmen selbst können mit hohen Geldstrafen sanktioniert als auch die Geschäftsführer persönlich haftbar gemacht werden.
Um also als Unternehmen den neuen Anforderungen zu entsprechen, muss die Geschäftsführung eine intensive Auseinandersetzung mit Maßnahmen zur Cybersicherheit sicherstellen.
Dies umfasst in erster Linie die unmittelbare Meldung von Sicherheitsvorfällen an die Behörden (optimalerweise automatisiert), definierte Notfallkonzepte für eine einwandfreie Reaktion auf derartige Situationen, Vorbereitungsmaßnahmen im Sinne von Backups, Installation von Schutzsoftware etc., als auch regelmäßige Überprüfung der Sicherheit mittels Penetrationstests und Schulung der sogenannten Awareness der Mitarbeiter (bspw. durch Phishing Kampagnen und Cyber-Security-Schulungen).
Wir bei Kleeberg sind uns dessen bewusst, dass diese Umstellung für viele Unternehmen neben dem Tagesgeschäft eine große Herausforderung darstellt. Aufgrund unserer Erfahrung durch IT-Prüfungen von Unternehmen diverser Branchen und Größen haben wir einen soliden Überblick über aktuelle Regularien und Best Practices zu Cybersicherheitsfragen und helfen Ihnen gerne dabei, Sie bei der Definition der für Sie relevanten Maßnahmen zu beraten, damit die Sicherheitsvorkehrungen Ihres Unternehmens den neuen Richtlinien entspricht und, noch wichtiger, gegen Cyberangriffe gewappnet ist.