Cybersicherheit für kritische Infrastrukturen und wichtige Einrichtungen: Bis zum 17. Oktober 2024 muss die NIS2-Richtlinie in den Mitgliedstaaten der Europäischen Union in nationales Recht überführt sein. Damit soll die digitale und datenbasierte Souveränität von Unternehmen in Europa gestärkt werden.
Bei Verstößen drohen jedoch empfindliche Strafen von bis zu 20 Millionen Euro.
Im Rahmen der NIS2-Richtlinie wird die staatliche Aufsicht durch Registrierungspflicht, Nachweise, Meldepflichten sowie verbindlichen Informationsaustausch erweitert. Entsprechend wichtig ist es für Unternehmen, die rechtskonforme Umsetzung der Vorgaben frühzeitig zu gewährleisten. Welche Weichen sie deshalb jetzt stellen müssen, erklären die Sicherheitsexperten von FTAPI:
1. Prüfen, ob das eigene Unternehmen betroffen ist
Relevant ist NIS2 für Betreiber kritischer Infrastruktur in den Sektoren Energie, Transport und Verkehr, der Finanz- und Versicherungsbranche, Gesundheit, Trink- und Abwasser, Ernährung, IT, Weltraum und Entsorgung. Darüber hinaus wird die Gültigkeit für wichtige und besonders wichtige Einrichtungen in Abhängigkeit von deren Mitarbeiterzahl, Umsatzhöhe oder Bilanzsumme festgeschrieben. Insofern ist jedes Unternehmen gut beraten, schon jetzt zu prüfen, ob es zum Kreis derer zählt, die die Anforderungen der NIS2-Richtlinie erfüllen müssen.
2. Maßnahmen zum Risikomanagement ergreifen
Um die Risiken für die Sicherheit ihrer IT-Systeme besser zu beherrschen, müssen Unternehmen schärfere Anforderungen im Bereich Risikomanagement erfüllen. Dazu zählen die Implementierung von Risikoanalyse- und Sicherheitskonzepten, die Bewältigung von Sicherheitsvorfällen, der Einsatz von Kryptografie und Lösungen für einen sicheren Datenaustausch, sowie Backup- und Krisenmanagement. Auch Verfahren zur Bewertung der Wirksamkeit der eigenen Risikomanagement-Maßnahmen gehören dazu.
3. Neue Meldepflichten für Cyberangriffe gewährleisten
Unternehmen müssen bei Cyberangriffen zukünftig schneller handeln: Innerhalb von 24 Stunden sind Sicherheitsvorfälle den zuständigen Behörten zu melden. Das soll die Reaktionszeiten verkürzen. Auch die Art der meldepflichtigen Vorfälle ändert sich: Während bisher nur Attacken erfasst wurden, die die Sicherheit von Netz- und Informationssystemen beeinträchtigten, müssen jetzt auch Fälle angezeigt werden, bei denen die Verfügbarkeit von Daten oder Diensten eingeschränkt ist.
4. Geschäftsführung muss mehr Verantwortung übernehmen
IT-Sicherheit ist zukünftig Chefsache. Die Geschäftsführer müssen die Umsetzung der geforderten Maßnahmen überwachen und haften für Verstöße. Deshalb sind Schulungen für die Führungsetage und die Beschäftigten hier eine wichtige Voraussetzung.
5. Lieferketten unter die Lupe nehmen
Das eigene Unternehmen abzusichern, reicht allerdings nicht. Ohne genaue Kenntnis und geeigneten Schutz der gesamten Cyber-Lieferketten bestehen weiter Gefahren. Deshalb sind Unternehmen zukünftig dazu verpflichtet, auch die Sicherheitsanforderungen für ihre Dienstleister und Lieferanten zu definieren und durch unternehmensübergreifende Sicherheitsstandards beim Datenaustausch ein einheitlich Sicherheitsniveau in der Lieferkette zu gewährleisten.
„Die Bedrohungslage ist so hoch wie nie. Deswegen müssen Unternehmen jetzt handeln und in die Cybersicherheit investieren – nicht nur, um am Ende des Jahres auf NIS-2 vorbereitet zu sein, sondern um das Sicherheitslevel ihrer Systeme schon jetzt langfristig zu erhöhen“, sagt Ari Albertini, CEO bei FTAPI. „Dabei gilt es nicht nur die technischen Lösungen und Prozesse nachzubessern, sondern auch mit internen Schulungen Bewusstsein für das Thema zu schaffen.“
www.ftapi.com