NIS 2: Mehr Cybersicherheit in der EU
Dass Cybersicherheit auch im nächsten Jahr ein großes Thema sein muss und es noch einiges an Aufholbedarf in Deutschland gibt, um mehr Sicherheit zu erreichen, hat der Bericht des BSI zur Lage der IT-Sicherheit eindrücklich bewiesen. Die Cyber-Bedrohung ist so hoch wie nie. Betroffen sind sowohl Unternehmen als auch Behörden. Ein Schritt in Richtung mehr Sicherheit ist die überarbeitete NIS-Richtlinie, die ursprünglich im Oktober 2024 in Kraft treten sollte.
Warum NIS 2?
Aufzeichnung zum Webinar
“NIS 2-Richtlinie – Der Countdown läuft”.
Sind Sie schon bereit?
Erfahren Sie in dieser Aufzeichnung des Experten-Talks mit IT-Rechtsexperte Prof. Dr. Dennis-Kenji Kipker und Ari Albertini, CEO von FTAPI, warum es empfehlenswert ist, Cybersicherheit nicht erst für Oktober zu priorisieren und was schon heute wichtig ist, wenn es darum geht, Unternehmen NIS 2-fit zu machen.
Was beinhaltet NIS-2?
Die Deadline für die Umsetzung war ursprünglich der 17. Oktober 2024, was von Deutschland aber nicht eingehalten wurde. Nun wird es voraussichtlich März 2025 bis die Richtlinie in Kraft tritt.
Mit NIS 2 wird der bisherige Anwendungsbereich vergrößert. Die erneuerte Richtlinie umfasst nun mehr Organisationen aus unterschiedlichen Sektoren. Dabei wird unterschieden zwischen KRITIS Sektoren (Energie, Transport/ Verkehr, Finanz/Versicherung, Gesundheit, Trinkwasser/ Abwasser, Ernährung, IT und TK, Weltraum, Entsorgung und Ernährung), besonders wichtigen Einrichtungen (Energie, Transport/ Verkehr, Finanz/Versicherung, Gesundheit, Trinkwasser/ Abwasser, IT und TK, Weltraum) und wichtigen Einrichtungen (Energie, Transport/ Verkehr, Finanz/Versicherung, Gesundheit, Trinkwasser/ Abwasser, IT und TK, Weltraum, Entsorgung, Lebensmittel, Verarbeitendes, digitale Dienste, Chemie, Entsorgung, Forschung).
Besonders wichtige Einrichtungen sind Organisationen mit mehr als 250 Mitarbeitenden, mehr als 50 Millionen Euro Umsatz und einer Jahresbilanzsumme, die größer als 43 Millionen Euro ist. Zusätzlich gibt es auch Sonderfälle, für die die oben genannte Definition nicht gelten, beispielsweise Telekommunikationsanbieter. Hier liegt die Mitarbeitergrenze bereits bei mehr als 50.
Zu den wichtigen Einrichtungen zählen Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme, die größer als 10 Millionen Euro ist.
Folgende Maßnahmen müssen zukünftig von den Organisationen aus den oben genannten Sektoren ergriffen werden:
- Risikoanalyse und -management
- Bewältigung von Sicherheitsvorfällen
- Krisenmanagement und Business Continuity Management
- Sicherheitsmaßnahmen in der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Regelungen zum Einsatz von Kryptographie
- Personalsicherheit
- Zugriffsmanagement
- Sichere Kommunikation
- Meldepflicht bei erheblichen Sicherheitsvorfällen an Kontrollbehörde
- Mitteilungspflicht von Sicherheitsvorfällen an Kunden
Whitepaper
“NIS-2-Richtlinie: Zukunftssicherer Datenaustausch”
Erfahren Sie in diesem Whitepaper, welche Unternehmen von NIS-2 betroffen sind, welche Maßnahmen ergriffen werden sollten und wie FTAPI dabei unterstützen kann.
Was passiert bei Nichteinhaltung der Maßnahmen?
In jedem Fall empfiehlt es sich, die bisherigen Vorkehrungen im Unternehmen rund um die Cybersicherheit kritisch auf den Prüfstand zu stellen und die Zeit bis Oktober sinnvoll zu nutzen. Nutzen Sie bei der Übermittlung von Daten Verschlüsselung? Sind sensible, personenbezogene Daten ordnungsgemäß geschützt – sowohl “in rest” als auch “in motion”? Und können Sie schon heute Ihre gesamte Lieferkette überblicken, inklusive Partner und Lieferanten? Wenn nicht, sollten Sie dringend nachbessern. Denn die Wahrheit ist: das Risiko, Opfer eines Cyberangriffs zu werden, war nie größer. Alleine deshalb macht es schon Sinn, sich damit auseinanderzusetzen. Außer der Gefahr Opfer eines Cyberangriffs zu werden, wird bei Nichteinhaltung der Richtlinie in der Zukunft mit Bußgeldern zu rechnen sein von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Im deutschen Gesetzesentwurf ist außerdem vorgesehen, dass Geschäftsführer mit ihrem Privatvermögen haften können.
Fazit
Bleiben Sie auf dem neuesten Stand!
Melden Sie sich zu unserem Newsletter an und erhalten Sie regelmäßig spannende Inhalte rund um die Themen Digitalisierung, Datensicherheit und sicherer Datenaustausch.