Sicherheitsstrategien überprüfen und anzupassen

Deutschland kurz vor der Umsetzung der NIS-2-Richtlinie

Projekt, Strategie

Der Countdown läuft: In weniger als zwei Monaten, am 17. Oktober 2024, endet die Frist zur Umsetzung der NIS-2-Richtlinie in deutsches Recht.

Mit dem neuen Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu – doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln.

Anzeige

Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess. In Deutschland führte dies zu intensiven Diskussionen, insbesondere in Bezug auf die Harmonisierung mit bestehenden Gesetzen wie dem IT-Sicherheitsgesetz 2.0. Erst im Juli 2024 konnte die Bundesregierung das „Gesetz zur Umsetzung von EU NIS2 und zur Stärkung der Cybersicherheit“ verabschieden, das nun die Grundlage für die zukünftige Cybersicherheit in Deutschland bildet.

Das unterschätzte Risiko der Nachweispflichten:

Während sich viele Diskussionen um die umfangreichen neuen Sicherheitsmaßnahmen drehen, bleibt ein Aspekt oft unbeachtet: Die erheblich ausgeweiteten Nachweispflichten. Unternehmen müssen zukünftig nicht nur umfassend dokumentieren, welche Sicherheitsmaßnahmen sie umgesetzt haben, sondern auch nachweisen, dass diese Maßnahmen wirksam sind. Dies wird insbesondere für mittelständische Unternehmen, die bisher keine umfangreichen Compliance-Strukturen haben, eine große Herausforderung darstellen. Kleine und mittelständische Unternehmen verfügen häufig nicht über die notwendigen Ressourcen, die für eine detaillierte Dokumentation und kontinuierliche Überwachung von Sicherheitsmaßnahmen erforderlich ist. Begrenztes Personal, knappe IT-Budgets und komplexe regulatorische Anforderungen führen dazu, dass interne Prozesse grundlegend angepasst werden müssen.  

Neue EU-weite Standards im Fokus:

Interessant und bisher wenig diskutiert ist die Rolle der neuen EU-weiten Standards, die durch die NIS-2-Richtlinie etabliert werden sollen. Die EU-Kommission hat angekündigt, bis Oktober 2024 einen spezifischen Implementierungsakt zu verabschieden, der verbindliche technische Anforderungen für verschiedene Sektoren festlegt. Dazu zählen Cloud-Dienste, soziale Netzwerke und Betreiber von Online-Marktplätzen. Diese europaweit einheitlichen Standards könnten in einigen Fällen die nationalen Anforderungen überlagern und werden daher eine entscheidende Rolle für die betroffenen Unternehmen spielen.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Besonders für die Geschäftsführung wird es ernst:

Ein Aspekt, der ebenfalls noch nicht flächendeckend thematisiert wurde, ist die Einführung von persönlichen Haftungsrisiken für Geschäftsführer. Dies geht weit über die bisher üblichen Compliance-Vorgaben hinaus. Sollte ein Unternehmen die neuen Anforderungen nicht erfüllen, drohen nicht nur dem Unternehmen selbst, sondern auch den Geschäftsverantwortlichen empfindliche Strafen. Die NIS-2-Richtlinie sieht Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist.

„Die NIS-2-Richtlinie bringt einen deutlichen Paradigmenwechsel für die Cybersicherheit in Deutschland”, sagt Ari Albertini, CEO bei FTAPI. “Insbesondere die neuen Haftungsregeln und die erweiterten Nachweispflichten stellen Unternehmen vor große Herausforderungen. Es ist entscheidend, dass Unternehmen jetzt handeln und ihre Sicherheitsstrategien anpassen. Sie sollen dabei nicht nur gesetzeskonform agieren, sondern sich auch in Zeiten wachsender Cyberbedrohungen zukunftssicher aufstellen.“

Handlungsempfehlungen für Unternehmen:

1. Überprüfung und Aktualisierung von Cybersicherheitsstrategien: Unternehmen sollten ihre bestehenden Sicherheitskonzepte jetzt auf die neuen Anforderungen der NIS-2-Richtlinie hin überprüfen und aktualisieren. Insbesondere die Vorgaben zur Risikoanalyse, Incident Response und Dokumentation müssen an die neuen Standards angepasst werden.

2. Schulung und Sensibilisierung der Geschäftsführung: Angesichts der neuen Haftungsrisiken ist es unerlässlich, dass die Geschäftsführung umfassend über ihre Pflichten und Verantwortlichkeiten informiert ist. Schulungen zu den rechtlichen Anforderungen und zu den konkreten Sicherheitsmaßnahmen sind dringend zu empfehlen.

3. Implementierung von Compliance- und Reporting-Tools: Die erweiterten Nachweispflichten erfordern den Einsatz von spezialisierten Tools, die eine lückenlose Dokumentation und Berichterstattung ermöglichen. Unternehmen sollten geeignete Softwarelösungen implementieren, um diese Anforderungen effizient zu erfüllen.

4. Zusammenarbeit mit externen Experten: Gerade für mittelständische Unternehmen, die möglicherweise nicht über die internen Ressourcen verfügen, kann die Zusammenarbeit mit externen Cybersicherheits- und Compliance-Experten entscheidend sein. Diese können helfen, die neuen Vorgaben in die Praxis umzusetzen und Risiken zu minimieren.

Noch zwei Monate bis zur Umsetzung 

Während die Frist zur Umsetzung der NIS-2-Richtlinie näher rückt, sollten Unternehmen diese Zeit nutzen, um ihre Sicherheitsstrategien zu überprüfen und anzupassen. Insbesondere die erweiterten Nachweispflichten und die neue persönliche Haftung der Geschäftsführung machen ein proaktives Handeln unerlässlich.

(pd/FTAPI)

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.