Vielleicht, und hoffentlich kennen Sie sie bereits, die derzeit in Europa geltende Richtlinie über Netz- und Informationssicherheit (NIS). Vielleicht haben Sie schon davon gehört, mussten sich aber noch nicht damit auseinandersetzen. Diese Richtlinie gilt für systemrelevante Unternehmen wie Wasser- und Telekommunikationsunternehmen.
Heute wird NIS jedoch nicht mehr als ausreichend angesehen, so dass die EU eine neue Version vorlegt: NIS-2. Es wird mindestens zehnmal so viele Unternehmen geben, die unter NIS 2 fallen als unter die derzeitige Richtlinie. Infolgedessen besteht eine gute Chance, dass auch Ihr Unternehmen diese Gesetzgebung einhalten muss. Das liegt daran, dass immer mehr Unternehmen als essentiell oder wichtig identifiziert werden, aber auch daran, dass die gesamte Lieferkette betrachtet werden muss.
- Die zehn als wesentlich identifizierten Sektoren sind Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung und -verteilung, Abwasser, Raumfahrt, öffentliche Verwaltung/öffentliche Verwaltung und digitale Infrastruktur.
- Die Sektoren Post- und Kurierdienste, Abfallwirtschaft, chemische Herstellung und Vertrieb, Lebensmittelproduktion, -verarbeitung und -vertrieb, Verarbeitung und digitale Dienstleister werden als wichtig erachtet und werden daher AUCH von NIS2 abgedeckt.
Im Mai 2022 wurde eine politische Einigung zwischen dem Europäischen Parlament und dem Rat der Europäischen Union über die neue Richtlinie erzielt. Die förmliche Billigung durch das Europäische Parlament und den Rat erfolgte im November 2022. Von diesem Zeitpunkt an haben die Mitgliedstaaten achtzehn Monate Zeit, um diese Vorschriften in nationales Recht umzusetzen. Das bedeutet unter anderem, dass sie höhere Anforderungen erfüllen müssen, strengere Aufsichtsmaßnahmen eingeführt werden und Sanktionsmaßnahmen sowie Meldepflichten zwischen den Mitgliedstaaten harmonisiert werden. Schließlich wurde NIS 2 entwickelt, um Daten in einer Gesellschaft bestmöglich zu schützen, die sich im digitalen Wandel befindet und in der die Bedrohungslandschaft wächst.
Governance und Risikomanagement
Die Notwendigkeit, die Cybersicherheit besser zu regulieren, ist größer denn je. Für die Geschäftskontinuität ist es daher unerlässlich, die NIS-2-Richtlinie so schnell wie möglich zu erfüllen.
Die wichtigsten Schritte, die Sie unternehmen müssen, um NIS 2 so schnell wie möglich in Ihrem Unternehmen zu implementieren:
Schritt 1: Identifizieren Sie die Risiken und machen Sie sie beherrschbar
Dies beginnt mit einer Bestandsaufnahme dessen, was Priorität hat und was nicht. Sicherzustellen, dass die Risiken so schnell wie möglich erkannt und beherrschbar gemacht werden, ist eine gute Grundlage gegen Cyberkriminalität. Denken Sie zum Beispiel an das Bewusstsein der Mitarbeiter, als während der Pandemie plötzlich alle von zu Hause aus arbeiteten. Auf der Website von Tesorion finden Sie sieben konkrete Basismaßnahmen, die zu möglichst geringen Kosten ergriffen werden können, um die grundlegende Cyberhygiene in Ordnung zu bringen. Denken Sie immer daran, dass die Frage nicht ist, ob Sie betroffen sein werden, sondern wann.
Schritt 2: Stellen Sie sicher, dass sich Ihre Organisation der gesetzlichen Verpflichtungen bewusst ist
Eine Folge von NIS 2 ist, dass es strengere Kontrollen der Governance geben wird. Und wenn dieses System nicht richtig umgesetzt wird, wird dies schwerwiegendere Folgen haben. Es wird mehr Kontrollen oder Audits durch die Aufsicht geben. Zeigt sich, dass Organisationen den Verpflichtungen nicht nachkommen, drohen hohe Bußgelder. Darüber hinaus wird von den Organisationen selbst mehr erwartet. Zum Beispiel haben viele Unternehmen eine Meldepflicht, wenn ein Vorfall erkannt wird, ähnlich wie in der DSGVO. Diese Benachrichtigung muss innerhalb von 24 Stunden veröffentlicht werden, gefolgt von einem Abschlussbericht spätestens einen Monat später. Und auch Drohungen müssen gemeldet werden.
Darüber hinaus zwingt NIS 2 Sie auch dazu, sich mit Lieferanten an einen Tisch zu setzen. Denn was ist, wenn es bei einem Ihrer Lieferanten zu einem Cyber-Vorfall kommt? Cyberkriminelle können auch über das Netzwerk eines Ihrer (externen) Partner in Ihr Unternehmen eindringen. Die Art und Weise, wie Lieferanten und Partner ihre Sicherheit eingerichtet haben, hat daher direkte Auswirkungen auf ihre eigene Sicherheit. Auch hier gilt es, Risiken zu erkennen und Vereinbarungen zu treffen. Wer haftet für die (verlorenen) Kosten im Falle eines Cybervorfalls? Dies muss in Verträgen festgehalten werden.
Da es sich bei der Cybersicherheit um eine spezifische Disziplin handelt, empfiehlt es sich, bei vertraglichen Vereinbarungen auf das Wissen eines darauf spezialisierten Rechtsdienstleisters zurückzugreifen.
Schritt 3: Praktische Umsetzung
Sind die Risiken identifiziert, beherrschbar gemacht und die gesetzlichen Verpflichtungen klar, gilt es, die neue Regelung im Unternehmen umzusetzen und kontinuierlich zu messen und aufrechtzuerhalten. Es ist wichtig, dass in der gesamten Organisation ein Bewusstsein für NIS 2 geschaffen wird und warum es für den Geschäftsbetrieb so wichtig ist. Um einen Plan richtig in ein Unternehmen zu integrieren, müssen die Mitarbeiter auch den Bedarf erkennen und wissen, was von ihnen erwartet wird. Machen Sie den Mitarbeitern also die Risiken, Konsequenzen und Erwartungen klar, zum Beispiel mit Hilfe von E-Learning. Cybersicherheit muss Teil der Unternehmenskultur werden und darf nicht zu einer von der Organisation auferlegten Verpflichtung werden.
Große Veränderungen, große Gewinne durch NIS-2 Einführung
Die Einführung von NIS 2 bringt für viele Unternehmen Veränderungen mit sich. Das Ziel ist jedoch etwas, von dem jedes Unternehmen profitiert, nämlich eine sicherere Position in der digitalen Welt. Die Risiken nehmen weiter zu und können verheerende Auswirkungen auf die Geschäftskontinuität Ihres Unternehmens oder der Organisationen in Ihrer Lieferkette haben. Stellen Sie also sicher, dass Ihr Unternehmen auf diese neue Richtlinie und die damit verbundenen Verantwortlichkeiten vorbereitet ist.