Am Montag, 16.01.2023, ist die neue EU-Richtlinie für Cybersicherheit in Kraft getreten. Darin werden Organisationen verschiedenster Branchen zum Schutz gegen Cyberangriffe verpflichtet. Die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“ (kurz: NIS 2) stellt hohe Anforderungen an die betroffenen Organisationen, die bis Herbst 2024 umzusetzen sind.
Ausführlich und sehr informativ informiert darüber ein Artikel im Handelsblatt vom 16.01.2023: "Kaum zu bewältigen: Neue EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck". Wir fassen nachfolgend die wichtigsten Facts aus dem Artikel zusammen.
Wer ist betroffen?
Die Richtlinie gilt nicht nur für Betreiber bekannter kritischer Infrastrukturen, sie ist wesentlich umfassender. Zwei Listen identifizieren „Sektoren mit hoher Kritikalität" und „sonstige kritische Sektoren“:
Sektoren mit hoher Kritikalität: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastrukturen (z. B. Internet- und Cloud-Anbieter), Weltraum, öffentliche Verwaltung
Sonstige kritische Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie- und Lebensmittelindustrie, Herstellung von Waren (z.B. Herstellung von „Datenverarbeitungsgeräten“, Autoindustrie, Maschinenbau) sowie auch Anbieter digitaler Dienste wie Onlinemarktplätze und Suchmaschinen
Schätzungen zufolge sollen allein in Deutschland circa 20.000 Unternehmen zu diesen Sektoren zählen und somit von der Richtlinie betroffen sein.
Was müssen Unternehmen tun?
Die Richtlinie macht IT-Sicherheit zum Bestandteil der Unternehmenssteuerung. Organisationen müssen u. a. einführen: ein Risikomanagement, Notfallpläne, ein System für die Meldung von Cyber-Attacken und Datenpannen an die Aufsichtsbehörden sowie ein Schutzkonzept zur Absicherung der Lieferketten.
Verpflichtend ist auch ein Maßnahmen-Katalog zur „Cyberhygiene“ wie z. B. die systematische Datensicherung, das Management von Schwachstellen, die Verschlüsselung von Informationen sowie Konzepte für die Zugriffskontrolle und Mitarbeiterschulungen.
Was heißt das für das Management?
Unternehmen sind zwar jetzt schon verpflichtet, sich gegen Risiken durch Cyberangriffe zu schützen. Doch mit der neuen Richtlinie wächst der Druck, dies systematisch zu tun. Denn: Bei Verstößen gegen die Vorschriften haftet das Management und es drohen – ähnlich wie bei der Datenschutz-Richtlinie - Strafen in Millionenhöhe.
Wie ist der weitere Zeitplan?
Die EU-Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 Zeit in nationales Recht umsetzen.
Ist Ihr Unternehmen betroffen?
Wenn Sie Unterstützung bei der Implementierung eines Managementsystems für IT-Sicherheit benötigen, sprechen Sie uns an.
NETSit. Kompetenz auf den Punkt.
Links / Quellen:
Comments