Ab Oktober 2024 wird mehr Cybersicherheit zur Pflicht!
Was ist eigentlich NIS2?
NIS (Network Information Security) ist eine Verordnung der Europäischen Union, die 2016 verabschiedet wurde und 2023 als NIS2 ein Update erhalten hat. Unter anderem wurde die Zielgruppe auf Unternehmen ab 50 Mitarbeiter und 10 Millionen Euro Umsatz erweitert.
Was ist das Ziel von NIS?
Der Schutz kritischer Infrastrukturen und damit der Schutz der Bevölkerung vor Ausfällen z.B. durch Cyberangriffe. Da es in der jüngsten Vergangenheit leider viele erfolgreiche Cyberangriffe gegeben hat, möchte man nun mehr Unternehmen davon “überzeugen”, sich um ihre Cybersicherheit zu kümmern.
Wann tritt NIS2 in Kraft?
Die Verordnung wird in Deutschland voraussichtlich im Oktober 2024 in nationales Recht umgesetzt, dazu gibt es das leicht von den Lippen gehende “NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz” oder kurz “NIS2UmsuCG”.
Neben den beschriebenen Faktoren Mitarbeiteranzahl und Umsatz werden auch Produkt- bzw. Dienstleistungsbereiche definiert, um die Unternehmen einer Kategorie zuzuordnen:
Im Wesentlichen gibt es 3 Kategorien:
- Betreiber kritischer Anlagen
- Besonders wichtige Einrichtungen
- Wichtige Einrichtungen
Die meisten neuen Unternehmen werden in die Kategorie “Wichtige Einrichtungen“ fallen und müssen daher nur 4 Dinge tun:
- Registrierung beim BSI → erst nach Verabschiedung des Gesetzes
- Risikomanagement
- IT-Notfallplanung für den Fall eines Cyber-Angriffs oder IT-Ausfalls
- Bewertung der Lieferkette und Abhängigkeiten
- Allgemeine Risiken Feuer, Wasser, Strom → hat sowieso jeder
- Meldeketten vorbereiten
- Meldung an Behörden
- Meldung an Kunden
- Geschäftsführung
- muss das alles “billigen“
- muss an Schulungen zu Risiken und Maßnahmen teilnehmen
- muss die Umsetzung der Maßnahmen kontrollieren
Was passiert, wenn ich als Geschäftsführer das nicht “billigen“ will?
- Mit NIS2 werden verschiedene Sanktionen möglich, zum einen eine Geldstrafe, die das Unternehmen bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes kosten kann.
- Neu ist, dass die Geschäftsführung persönlich haftbar gemacht werden kann.
Was muss ich also tun?
Im ersten Schritt reichen 2 Dinge:
- IT-Risikomanagement durchführen
- IT-Notfallhandbuch erstellen
Warum reichen nur diese beiden Aufgaben?
Weil die Meldeketten und die Schulung des Managements Teil des IT-Notfallhandbuchs sind.
Wer mehr Informationen benötigt und prüfen möchte, ob er betroffen ist, dem empfehle ich OpenKRITIS – Informationsplattform für KRITIS und NIS2
Unverbindlichen Termin zum NIS2 Readyness Workshop oder IT-Notfallhandbuch vereinbaren:
Das Thema Risikomanagement ist ein wesentlicher Teil der NIS 2, eine Frage müssen alle beantworten:
Was gehört in einen IT-NOTFALLKOFFER?