Mit Inkrafttreten der NIS-2 legt die EU einen verbindlichen Rahmen für Verpflichtungen vor, die zur Steigerung der Informationssicherheit von kritischer Infrastruktur durch digitale Angriffe dienen sollen, teilte das auf Beratung im Bereich Datenschutz, Informationssicherheit, Cloud- & Cyber-Security und Compliance spezialisierte Unternehmen mit. In Deutschland sind Schätzungen zufolge bis zu 40.000 Unternehmen direkt oder indirekt von NIS-2 betroffen (Unternehmen ab 50 Mitarbeitende und 10 Millionen Euro Umsatz). Insofern können zukünftig unter anderem auch IT-Dienstleister, Onlinemarkplätze, Maschinenbauunternehmen, Lebensmittelversorger, Labore und Forschungseinrichtungen dazugehören, wenn sie die Schwellenwerte übersteigen oder aus anderen Gründen als wichtige Einrichtungen gesehen werden. Ähnlich dem Lieferkettensorgfaltspflichtengesetz erfasst NIS-2 auch Subunternehmen. „Das bringt schlagartig eine ganze Reihe an Unternehmen in die Verantwortung, die sich vorher nur wenig mit ihrer Informationssicherheit auseinandergesetzt haben“, sagt Thomas Althammer, Geschäftsführer der Althammer & Kill GmbH & Co.KG. „Unsere Publikation bringt klar und transparent auf den Punkt, wo Organisationen verschiedener Branchen im Feuer stehen und leistet damit einen Beitrag zu Transparenz und Aufklärung.“ Auf der von Althammer & Kill eingerichteten Webseite können Unternehmen auch in einem Quick-Check herausfinden, ob sie voraussichtlich von NIS-2 betroffen sind. Die Richtlinie betrifft die kritischen Infrastrukturen (kurz KRITIS), also Organisationen mit wesentlicher Bedeutung für die Gesellschaft, wie Gesundheit, Energie, Transport und Logistik und viele weitere. Bis zum 17.Oktober 2024 müssen die Mitgliedsstaaten die neue Richtlinie nun in ein nationales Gesetz überführen.
Welche Vorteile bringt die neue Richtlinie?
Die Richtlinie forciert ein höheres Maß an Cybersicherheit, was viele Unternehmen vor technologische und personelle Herausforderungen stellen wird, dennoch ist NIS-2 zu begrüßen. Wird sie doch dazu führen, dass die zuletzt stark gestiegene Anzahl der Datenlecks und Hacks (vermutlich) zurückgehen und Daten von Kunden, Mitarbeitenden und/oder Patienten besser geschützt werden. Langfristig werden IT-Abteilungen durch neue Technologien entlastet und das Management erhalte klare Prozesse, was im Notfall zu tun sei, so Althammer weiter.
Was ist genau zu beachten?
Das Whitepaper listet die Handlungsfelder auf und gibt klare Handlungsanweisungen, was Organisationen und Unternehmen zu beachten haben. Dabei geht es unter anderem um
• den Umgang mit Sicherheitsvorfällen,
• die Mitarbeitersensibilisierung,
• die Informationssicherheit in Lieferketten,
• Kryptographie und Verschlüsselung,
• die Angriffserkennung, Notfallmanagement und vieles mehr.
Bei Nichtbeachtung der Network and Information Security Directive 2 drohen den KRITIS-Organisationen und den verbundenen Unternehmen empfindliche Strafen.
Welche Sanktionen sieht NIS-2 vor?
Setzen sich betroffene Unternehmen in diesem Jahr nicht intensiv mit ihrer Informationssicherheit auseinander und treffen Gegenmaßnahmen, drohen ihnen empfindliche Strafen mit bis zu maximal 10 Millionen Euro oder zwei Prozent des gesamten weltweiten Jahresumsatzes. Aus den bisherigen Diskussionspapieren werden im Whitepaper unter anderem Verstöße gegen Nachweis- und Meldepflichten, vollziehbare Anordnungen, Registrierungspflichten und Nichtmitteilen von Änderungen mit möglichen Geldbußen gelistet.
Weitere Informationen, sowie Download des Whitepapers: https://www.althammer-kill.de/nis-2-quick-check-whitepaper
Online-Event zu NIS-2 für Finanz- und Gesundheitsfachleute
Am 19. Juni 2024 veranstaltet Althammer & Kill das Online-Event „NIS-2: Neue Herausforderungen und innovative Lösungsansätze“, welches den Organisationen, die von NIS-2 betroffen sind, kompakt einen Überblick über die neuesten Anforderungen gibt. Weitere Informationen zur Veranstaltung unter: https://www.althammer-kill.de/nis-2-online-event