Der verschärften Lage der Cybesicherheit begegnet die EU mit einheitlichen Mindeststandards, um systemrelevante Organisationen und Unternehmen und damit die ganze Gemeinschaft resilienter zu machen: Die EU-Direktive NIS-2 (Network and Information Security) muss bis Oktober 2024 in nationales Recht umgesetzt werden und erweitert die verschärften Anforderungen auf einen deutlich größeren Kreis von Organisationen.
Schätzungen zufolge werden in Deutschland zehnmal mehr Unternehmen und Organisationen von den NIS-2-Regelungen betroffen sein als bisher von der Definition kritischer Infrastrukturen (KRITIS). NIS-2 bezieht sich auf "wichtige" oder "besonders wichtige" Organisationen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen € aus bestimmten Sektoren wie zum Beispiel Gesundheitswesen, Nahrungsmittelproduktion, Energie, Verkehr, digitale Infrastruktur und Verwaltung von IKT-Diensten (B2B). Außerdem gilt die NIS2 Richtlinie indirekt auch für Dienstleister und Lieferanten betroffener Organisationen sowie für ausgewählte Einrichtungen unabhängig von ihrer Größe, die beispielsweise wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind. Insofern stellt es für viele Organisationen und Unternehmen eine Herausforderung dar abzuschätzen, ob sie von der NIS-2 Richtlinie betroffen sind oder nicht – im Zweifelsfall kann hier nur die Einschätzung eines Rechtsbeistands Klarheit schaffen.
Kostenfreies Webinar: Die NIS-2-Richtlinie und Ihr IT-Sicherheitskonzept
Die Aufzeichnung unseres kostenfreien Webinars aus dem März 2024 verschafft Ihnen einen Überblick über die rechtlichen Rahmenbedingungen, beleuchtet die anstehenden Neuerungen aus juristischer und IT-strategischer Perspektive und beantwortet die zentralen Fragen: Wie kann ich erkennen, ob meine Organisation betroffen ist, welche Pflichten resultieren daraus und welche Maßnahmen sollten wir umsetzen?
Hier finden Sie weitere Infos und können den Aufzeichnungslink anfordern
NIS-2 Konformität ist nicht per "Plug & Play" zu erreichen
NIS-2 verpflichtet zu umfassenden Risikomanagementmaßnahmen auf technischer und organisatorischer Ebene sowie zur Meldung von Vorfällen – und bei Verstößen drohen empfindliche Geldstrafen. Der Katalog der mindestens geforderten Maßnahmen umfasst unter anderem Konzepte zur IT-Risikoanalyse und -Sicherheit, Schulungen im Bereich der Cybersicherheit und die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung. Neben Maßnahmen zur Abwehr von Cyberangriffen sind auch solche gefordert, die helfen Vorfälle zu erkennen, zu analysieren und einzudämmen, sowie für den Fall der Fälle ein Notfallplan für das Krisenmanagement und die Wiederherstellung der Geschäftsbetriebs, u.a. mit Hilfe von Backups.
Dabei genügt es nicht, die Maßnahmen adäquat zu wählen und umzusetzen, sie bedürfen auch der Dokumentation, damit bei Prüfungen oder nach Vorfällen ein entsprechender Nachweis geführt werden kann.
Die eigenen Cybersecurity-Fähigkeiten realistisch analysieren und ganzheitlich aufbauen
Wir empfehlen grundsätzlich allen Kunden, schon im eigenen Interesse regelmäßig zu prüfen, ob ihre IT-Sicherheitsmaßnahmen noch aktuell sind oder aufgrund einer geänderten Gefahrenlage sinnvoll ergänzt oder angepasst werden sollten, auch wenn sie nicht von NIS-2 betroffen sind – mit NIS-2 wird das für viele Organisationen zur Pflicht.
Eine wichtige Rolle spielt hier der Mangel an IT-Fachkräften, der sich in den kommenden Jahren vermutlich noch verschärfen wird. Fehlt in einer Organisation das Know-how, um eine IT-Sicherheitsstrategie zu erarbeiten und zu etablieren, stehen alternativ oder ergänzend Dienstleister und Anbieter von IT-Sicherheitslösungen mit entsprechenden Services und Managed Services zur Verfügung. Diese entbinden zwar die Geschäftsführung nicht von ihrer Verantwortung und dem Haftungsrisiko bei Verstößen, können aber einen entscheidenden Beitrag bei der geforderten Konzeption und Umsetzung der Maßnahmen sowie bei erforderlichen Schulungen für Beschäftigte und Verantwortliche leisten.
Logiway unterstützt Kunden mit Lösungen von Software- und Hardware-Herstellern wie Microsoft, Sophos, Veeam, AvePoint, Trend Micro und weiteren etablierter IT-Anbietern. Außerdem bieten wir Ihnen eine breite Palette an Managed Services, Dienstleistungen im Rahmen von Projekten sowie Consulting-Leistungen rund um die Themen Digitalisierung, Cybersicherheit und modernes Arbeiten. Bitte fragen Sie uns an, wir informieren Sie gern über unser Leistungsangebot!