Ein operatives Cyber-Sicherheitsmanagement ist für viele kleine und mittelständische Unternehmen immer noch eine große Hürde. Ab Oktober 2024 werden viele KMU durch die EU Netzwerk- und Informationssicherheitsrichtlinie NIS2 gesetzlich zur Einhaltung von Sicherheitsstandards verpflichtet. Haben Sie für Ihr Unternehmen schon geprüft, ob Sie unter die Regulation der neuen EU-Gesetzgebung fallen werden?
Die EU-Cybersicherheitsrichtlinie NIS2 ist seit Januar 2023 in Kraft und die Umsetzung in nationales Recht erfolgt zurzeit. Am 17. Oktober 2024 soll sie in den deutschen Rechtsrahmen eingebunden sein.
Der Rahmen der betroffenen Unternehmen geht weit über die bisherigen KRITIS-Unternehmen hinaus. Die Zahl der Sektoren hat sich auf 18 verdoppelt und auch kleine Unternehmen können unter die Richtlinie fallen. Insbesondere als Zulieferer von betroffenen Unternehmen kann eine NIS2-Compliance vom Kunden verlangt werden.
Die Richtlinie sieht empfindliche Bußgelder bei Nichtbefolgung vor, die – ähnlich der DSGVO – als Prozentsatz des weltweiten Jahresumsatzes definiert werden. Darüber hinaus ist auch explizit eine persönliche Haftung der Geschäftsführung vorgesehen.
Um auf NIS2 vorbereitet zu sein, sind gewisse Mindeststandards einzuhalten. So sind Konzepte für die Risikoanalyse und Sicherheit für Informationssysteme zu erstellen sowie für die Bewältigung von Sicherheitsvorfällen. Für den Not- und Krisenfall sind Vorsorgemaßnahmen zur Aufrechterhaltung des Betriebs zu treffen. Auch in der Lieferkette müssen sicherheitsbezogene Aspekte berücksichtigt werden, was auch KMU, die aufgrund ihrer Größe nicht unter die NIS2-Regulation fallen, trotzdem zur Compliance verpflichten kann. Ebenso ist beim Erwerb, Entwicklung und Betrieb von Hard- und Software auf Sicherheitsmaßnahmen zu achten, beispielsweise beim Umgang mit Schwachstellen. Für die Belegschaft müssen Awareness-Schulungen angeboten werden. Des Weiteren muss der Einsatz kryptografischer Maßnahmen geregelt sein, es müssen Konzepte für die Zugriffskontrolle von Anlagen existieren und gesicherte Kommunikationswege bereitgestellt werden.
Wenn man bereits ein ISMS im Unternehmen hat oder sogar nach BSI-Grundschutz oder ISO27001 zertifiziert ist, bieten diese Punkte keine Überraschungen. Beginnt man jedoch erst mit dem Management der Cybersicherheit im Unternehmen, steht man vor einer großen Aufgabe.
Die NIS2-Richtlinie kann auf der offiziellen Webseite der Europäischen Union eingesehen werden.
Die digitalSee GmbH kann dabei mit ihren erfahrenen Cybersicherheitsexperten helfen, ein operatives Sicherheitsmanagement aufzubauen. Unter Umständen ist sogar eine staatliche Förderung der Beratungsleistung möglich.