NIS2, auch bekannt als die „Network and Information Security (NIS) Directive“, ist eine Richtlinie, die die Cyber- und Informationssicherheit von Unternehmen und Institutionen regelt. Sie trat im Januar 2023 in Kraft und muss bis Ende 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Ziel ist es, ein höheres gemeinsames Cybersicherheitsniveau in der EU zu erreichen, indem Mindeststandards für die IT-Sicherheit in bestimmten Unternehmen oder Institutionen festgelegt werden.
Wer? Wie? Was?
Die neue NIS2-Richtlinie geistert bereits seit einiger Zeit wie ein Schreckgespenst durch die IT- und Unternehmenswelt oder ist im schlimmsten Fall dem einen oder anderen noch gar kein Begriff. In jedem Fall ergeben sich mit ihr ergeben viele Fragen:
- Warum gibt es NIS2
- Wer ist betroffen?
- Was muss ich tun?
- Wie wird das überprüft?
- Was passiert, wenn man die Voraussetzungen nicht erfüllt?
- Wer haftet bei Verstößen?
Der Wirkungskreis von NIS2 ist groß – vermutlich größer, als es im ersten Moment scheint. NIS2 betrifft beispielsweise öffentliche und private Einrichtungen in 18 Wirtschaftssektoren mit bestimmten Größenkriterien. Diese Sektoren umfassen unter anderem Energie, Verkehr, Abwasser, Gesundheitswesen, Bankwesen, Post- und Kundendienste sowie Forschung und Anbieter digitaler Dienste. Zusätzlich können auch Einrichtungen unabhängig von ihrer Größe unter NIS2 fallen, zum Beispiel Teile der digitalen Infrastruktur, die öffentliche Verwaltung, kritische Infrastrukturen (KRITIS) oder Unternehmen, die Teil einer Lieferkette bei betroffenen Einrichtungen sind.
Die NIS2-Richtlinie legt Pflichten in verschiedenen Bereichen fest. Diese Pflichten umfassen unter anderem Maßnahmen zum Risikomanagement, ein gefahrenübergreifender Ansatz, Lieferantenkontrollen oder auch Nachweispflichten, Audits und Zertifizierungen.
NIS2 wird mit Sicherheit Kontrollen nach sich ziehen, zu einer Anpassung entsprechender Befugnisse und der Festlegung neuer Bußgelder führen. Eines steht jetzt schon fest: ab jetzt wird die Einhaltung von Mindeststandards für Cybersecurity Thema der Geschäftsleitung.
Absicherung der IT und der Infrastruktur wichtiger denn je
Nicht nur die stetig ansteigende Cyber-Kriminalität auch die neue NIS2-Richtlinie zwingt viele Unternehmen und Einrichtungen dazu, mehr Augenmerk auf die IT-Security zu richten. Zur optimalen Absicherung der IT und der gesamten Infrastruktur eines Unternehmens oder einer anderen Einrichtung müssen sowohl organisatorische Faktoren als auch technische berücksichtigt werden. Insbesondere bei den technischen Faktoren gibt es viele Möglichkeiten. In jedem Fall ist es wichtig, Angriffsvektoren ganzheitlich zu betrachten und geeignete Tools zu nutzen.
KOSTENLOSES Webinar „Die NIS2-Richtlinie und was Sie für Unternehmen bedeutet“
In einer kostenlosen Snack Session beleuchten IT-Experte Alexander Karls und Rechtsanwalt Andree Hönninger (MKM + PARTNER Rechtsanwälte) das Thema NIS2 aus rechtlicher und unternehmerischer Sicht sowie aus Sicht der IT-Sicherheit. Sie geben grundlegende Einblicke, besprechen rechtliche Aspekte wie geänderte Pflichten, Kontrollen und Haftung. Dabei werden auch die neusten Entwicklungen zu dem Thema berücksichtigt. Außerdem zeigen sie mögliche Maßnahmen zur Absicherung der IT im Unternehmen, mit denen Sie auch der Einhaltung der NIS2-Richtlinie entgegen kommen.
Im Anschluss haben Sie Gelegenheit, den beiden Referenten Ihre Fragen zu stellen.