iX: NIS2 erzwingt IT-Security
Richtlinie für Risikomanagement und Cybersicherheit ab Oktober

Hannover, 23. Februar 2024 – Die Richtlinie NIS2 soll die Cybersicherheit in der EU umfassend verbessern und muss zum 17. Oktober 2024 in deutsches Recht umgesetzt werden. 30.000 Unternehmen sind dann zu neuen Risikoanalysen, erweitertem Risikomanagement und Maßnahmen zur Informationssicherheit verpflichtet. Das IT-Profimagazin iX erklärt in Ausgabe 3/24, was auf Unternehmen zukommen.

Gegenüber den bisherigen Regelungen für Betreiber kritischer Infrastrukturen bringt die Richtlinie NIS2 (Network and Information Security) drei grundlegende Änderungen: „Sie stuft 18 Sektoren, die EU-Bürger mit lebenswichtigen Gütern und Diensten versorgen, als kritisch ein, verschärft den Bußgeldkatalog erheblich und macht Geschäftsleitungen persönlich haftbar“, erklärt iX-Redakteur Philipp Steevens.

Der deutsche Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) umfasst neben Risikoanalysen und -management, Maßnahmen zur Informationssicherheit sowie Krisenmanagement beim Sicherheitsvorfall auch die Sicherheit der Lieferkette. Damit können auch Lieferanten und Dienstleister von der Richtlinie indirekt betroffen sein und müssen dann ebenfalls die Sicherheitsanforderungen erfüllen. Das wird auch viele IT-Dienstleister betreffen.

Insgesamt 10 Maßnahmenpunkte werden aufgeführt. Steevens bewertet: „Das Ziel ist unmissverständlich ein funktionierendes Risikomanagement, aus dem betroffene Einrichtungen Sicherheitsvorkehrungen zum Eindämmen der Risiken ableiten.“ Auch Beschaffung, Entwicklung und Wartung von IT- und Netzwerktechnik sind einzubeziehen, genauso wie Cyberhygiene (kein Mehrfachverwenden von Passwörtern und Ähnliches), Schulungen zur Cybersicherheit oder etwa gesicherte Kommunikation auch im Notfall.

In den Zielsektoren sind Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Mio. Euro betroffen. Aber auch kleinere Unternehmen können über den Einbezug der Lieferkette betroffen sein. Wer sich nicht sicher ist, ob sein Unternehmen von den Richtlinien betroffen ist, kann sich von Beratungsunternehmen oder Industrieverbänden zu der Rechtslage beraten lassen.

iX-Redakteur Steevens betont, dass Cybersicherheit schon jetzt in alle Unternehmensprozesse integriert und täglich gelebt werden muss: „Das erfordert schnelles Handeln, da der Aufbau von Know-how bei der Geschäftsführung und den Angestellten Zeit kostet.“

Für die Redaktionen: Auf Wunsch schicken wir Ihnen gerne die komplette Artikelstrecke zur Rezension.