Noch in diesem Jahr soll die europäische Network und Information Security Directive 2 (kurz NIS-2) ohne Übergangsfristen in deutsches Recht umgesetzt werden. Das bedeutet, dass sich nicht nur große Konzerne, die zur kritischen Infrastruktur (KRITIS) zählen, auf die neuen Regularien zur Steigerung der Cybersicherheit vorbereiten müssen. Was Unternehmen jetzt beachten sollten, erklärt ein kostenfreies Whitepaper der Digitalberatung Althammer & Kill.
NIS-2 betrifft in Deutschland 40.000 Unternehmen
Wie das auf die Bereiche Datenschutz, Informationssicherheit, Künstliche Intelligenz (KI) und Compliance spezialisierte Beratungsunternehmen Althammer & Kill mitteilte, sind bis zu 40.000 Unternehmen und Organisationen direkt oder indirekt von NIS-2 betroffen. Dabei handelt es sich um Unternehmen, die die Schwellenwerte übersteigen (z. B. mehr als 50 Mitarbeitende oder ein Jahresumsatz von mehr als 10 Millionen Euro) oder aus anderen Gründen als sehr wichtige oder wichtige Einrichtungen gesehen werden. Ähnlich dem Lieferkettensorgfaltspflichtengesetz erfasst NIS-2 auch Dienstleister und Zulieferer.
„Der Bundestag hat NIS-2 beschlossen und wir gehen davon aus, dass es nur noch eine Frage weniger Wochen ist, bis das deutsche Umsetzungsgesetz vollständig in Kraft ist. Die NIS-2-Verordnung der EU gilt übergreifend schon längere Zeit. Wer jetzt noch nicht begonnen hat, sollte schleunigst starten”, sagt Thomas Althammer, Geschäftsführer von Althammer & Kill GmbH & Co.KG. Die betroffenen, besonders wichtigen oder wichtigen Unternehmen müssen die erweiterten Pflichten im Risikomanagement dann sofort umsetzen. Wichtig zu wissen: Geschäftsführung und Vorstand sollen dann bei Pflichtverletzungen der Umsetzung und Überwachung der Risikomanagementmaßnahmen haften (§38 Abs.2 BSIG-E).
Auch kleinere Unternehmen können unter NIS-2 fallen
Für viele kleinere Unternehmen und Organisationen unterhalb der Schwellenwerte aus Bereichen wie Energie, Transport und Verkehr, Gesundheit, digitale Infrastruktur und IT-Dienstleister und viele weitere, besteht noch Unklarheit. Sie sind grundsätzlich ausgenommen, können jedoch erfasst werden, wenn sie kritische Dienstleistungen erbringen oder eine besondere Bedeutung auf nationaler Ebene haben.
Es bestehen außerdem mittelbare Verpflichtungen, je nach Größe, Struktur und Leistungsangebot der Unternehmen und Organisation. „Wir gehen davon aus, dass sich NIS-2 und die weiteren Regelungen zum branchenübergreifenden Orientierungsrahmen entwickeln, der künftig „Reifegrad“ und „Stand der Technik“ bewertet“, sagt Thomas Althammer, Geschäftsführer der Althammer & Kill GmbH & Co.KG.
- DSGVO Art. 32 „Stand der Technik“: Aus der Datenschutz-Grundverordnung ergeben sich eine Reihe von Pflichten zur Sicherstellung der Informationssicherheit. Im Fall von Datenschutzvorfällen oder Cyberattacken erfragen die Aufsichtsbehörden im Bereich Datenschutz regelmäßig, welche technischen und organisatorischen Schutzmaßnahmen zur Verhinderung von Vorfällen getroffen wurden. Diese sind nachzuweisen.
- Cyberversicherung: Sollten Unternehmen eine Cyberversicherung abgeschlossen haben, verlangen die Anbieter in der Regel entsprechende Vorkehrungen, um mögliche einzutretende Risiken bestmöglich zu verhindern. In der Regel handelt es sich hierbei um den Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS).
Ausklammern von Kommunen und Verwaltungen ist nicht gut
Dass Kommunen und kleinere Behörden ausgeklammert werden sollen, sei eindeutig ein falsches Signal, sagt Althammer. Die jüngste Vergangenheit habe gezeigt, dass Kommunen und Verwaltungen von Cyberkriminellen lahmgelegt wurden und teilweise sensible Daten abgeflossen seien. Zwar ist die Aufnahme von Verwaltungs- und Bildungseinrichtungen keine Pflicht, sie wurde aber in vielen anderen EU-Staaten umgesetzt.
„Die aktuelle Cyber-Bedrohungslage, allgemeine gesetzliche Vorgaben und Fürsorgepflichten für die anvertrauten Menschen erfordern eine aktivere Auseinandersetzung mit Informationssicherheit und Business-Continuity-Management für viele kleine und mittelständische Unternehmen über alle Branchen hinweg, sowie Behörden und Kommunen“, so Althammer weiter. „Hier möchten wir mit unserem kostenfrei erhältlichen Whitepaper Orientierung geben.“
Das NIS-2-Whitepaper von Althammer & Kill zeigt auf, was Unternehmen bei der Umsetzung von NIS-2 beachten sollten und steht zum kostenfreien Download zur Verfügung:
Zum DownloadWeitere Informationen gibt es unter www.althammer-kill.de.
