PSW GROUP GmbH & Co. KG:
NIS2-Richtlinie: Das ändert sich für Unternehmen ab Oktober 2024
Fulda – Ab Oktober dieses Jahres wird die NIS2-Richtlinie für Unternehmen in Deutschland verbindlich. Konkret müssen dann Unternehmen in kritischen Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitaler Infrastruktur sowie öffentliche Verwaltungen und Forschungseinrichtungen die EU-Richtlinie einhalten. Darauf machen die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de) aufmerksam.
„Diese Richtlinie, die im Januar 2023 verabschiedet wurde, bringt einige grundlegende Veränderungen mit sich, insbesondere für Unternehmen in kritischen Sektoren. Für sie bedeutet es jetzt, proaktiv zu handeln, denn sie müssen bis Oktober spezifische Sicherheitsmaßnahmen implementieren, um ihre Netz- und Informationssysteme zu schützen. Dazu gehören die Einführung von Sicherheitsvorkehrungen wie Verschlüsselung, Zugangskontrolle und Incident-Response-Plänen sowie die Meldepflicht von Sicherheitsvorfällen an die nationalen Behörden“, so Patrycja Schrenk, Geschäftsführerin der PSW GROUP.
Die NIS2-Richtlinie ist ein wichtiger Schritt zur Stärkung der Resilienz gegenüber Cyberbedrohungen, denn sie legt Mindeststandards fest, um eine einheitliche und effektive Sicherheitsstruktur für Netz- und Informationssysteme in der gesamten Europäischen Union zu gewährleisten. Die Umsetzungspflicht der NIS2-Richtlinie betrifft dabei nicht nur große Unternehmen, sondern auch mittelständische Unternehmen. Unternehmen mit einer Größe von 50 bis 250 Mitarbeitern und einem jährlichen Umsatz von 10 bis 50 Millionen Euro bzw. einer Bilanzsumme von bis zu 43 Millionen Euro sind ebenfalls betroffen.
Auswirkungen auf Unternehmen: Was jetzt zu tun ist
Um den Anforderungen der NIS2-Richtlinie gerecht zu werden und potenzielle Sanktionen zu vermeiden, sollten Unternehmen jetzt wichtige Maßnahmen ergreifen. Patrycja Schrenk gibt konkrete Handlungsempfehlungen: „Zunächst einmal sollten Unternehmen prüfen, ob sie in den Anwendungsbereich der NIS2-Richtlinie fallen und sich dann beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Anschließend ist eine gründliche Risikoanalyse unerlässlich, um potenzielle Schwachstellen und Risiken in den eigenen Netz- und Informationssystemen zu identifizieren.“
Basierend auf den Ergebnissen dieser Analyse sollten angemessene technische und organisatorische Maßnahmen implementiert werden, um diese Risiken zu minimieren und die Sicherheit der Systeme – einschließlich der Lieferkette – zu verbessern. „Der Einsatz von Kryptografie und gegebenenfalls Verschlüsselungstechnologien ist in diesem Zusammenhang eine Maßnahme, um sensible Daten zu schützen. Darüber hinaus empfehlen sich auch Maßnahmen zur Personalsicherheit, Zugriffskontrolle und Asset Management, um unbefugten Zugriff zu verhindern. Eine Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentifizierung tragen übrigens dazu bei, die Sicherheit von Zugriffen zu erhöhen“, rät Schrenk. Mit der Etablierung sicherer Kommunikationskanäle für Sprach-, Video- und Textkommunikation kann auch im Sicherheitsvorfall eine unterbrechungsfreie Kommunikation gewährleistet werden. Zudem sollten Beschäftigte gemäß NIS2-Richtlinie jetzt regelmäßig in Cybersecurity geschult werden, um sie für Sicherheitsrisiken zu sensibilisieren.
Ein effektives Krisenmanagement ist entscheidend, um bei einem Sicherheitsvorfall schnell, fristgerecht und mit angemessener Reaktion zu handeln. Unternehmen sollten hier klare Verfahren und Protokolle für die Erkennung, Bewertung und Bewältigung von Sicherheitsvorfällen entwickeln und auch an ein effektives Backup-Management sowie Wiederherstellungsverfahren denken.
„Unternehmen, die die Anforderungen der NIS2-Richtlinie nicht erfüllen, riskieren erhebliche Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Zudem können leitende Organe persönlich haftbar gemacht werden“, warnt Schrenk vor den Konsequenzen einer Nichteinhaltung der EU-Richtlinie. Mit einem umfangreichen Angebot an digitalen Zertifikaten und Experten, die bei der Umsetzung der Anforderungen aus der ISO 27001 unterstützen, steht die PSW GROUP Unternehmen zur Seite, um die Cybersicherheit zu stärken und widerstandsfähiger gegen Cyberbedrohungen zu machen.
Weitere Informationen unter: www.psw-group.de/blog/nis2-richtlinie-das-aendert-sich-fuer-unternehmen-ab-oktober-2024/11070