Von Tobias Mielke. Die Bedrohung durch Hackerangriffe ist so groß wie nie. Das zeigen auch Auswertungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Mit der Einführung der NIS-2-Richtlinie will die EU wichtige Unternehmen widerstandsfähiger gegen Cyberangriffe machen. Ab dem 17. Oktober erhöht sich damit im Vergleich zu NIS-1 der Radius der betroffenen Unternehmen und erweitert die Verantwortung für die Abwehr von Cyberbedrohungen bis in den Mittelstand. Die EU-Richtlinie muss noch in nationales Recht umgesetzt werden. In Deutschland soll dies durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) geschehen.
Auch wenn eine gesetzliche Umsetzung noch nicht erfolgt ist, sollten Unternehmen nicht warten, die vorgegebenen Maßnahmen zu implementieren. Detailliertere Meldepflichten, Authentifizierung, Awareness sowie Mindestmaßnahmen in den Bereichen Risikomanagement, Sicherheitsvorfälle, Business Continuity, Supply Chain, Kryptographie, Personal, Zugriff und Asset-Management sind unter anderem Teil der neuen Richtlinie.
Kleine und mittelständische Produktionsunternehmen sollten sich daher dringend mit den Anforderungen der NIS-2-Richtlinie auseinandersetzen. Unternehmen, die bereits ein Informationssicherheits- Managementsystem (ISMS) etabliert haben, müssen möglicherweise keine schwer umsetzbaren Anforderungen mehr bewältigen. Sollten sie sich jedoch noch nicht mit dem Thema befasst haben, besteht ein dringender Handlungsbedarf, um hohe Bußgelder und Sicherheitsvorfälle zu vermeiden.
Durch eine Prüfung der Betroffenheit können sich Unternehmen zunächst einen Überblick über den Status quo verschaffen. Hier unterstützen wir von TÜVIT beispielsweise mit unserem neuen und
kostenlosen NIS-2-Betroffenheitscheck. Dieser Check gibt Aufschluss darüber, welche
Anforderungen erfüllt und wie sie umgesetzt werden müssen (weitere Informationen hierzu unter TÜV NORD GROUP Newsroom). Ein möglicher Weg zur NIS-2-Umsetzung ist
dann die Implementierung und Etablierung eines Informationssicherheits-Managementsystems nach ISO 27001 oder nach BSI IT-Grundschutz, mit dem viele der NIS-2-Anforderungen abgedeckt werden. Zudem
liefert die NIS-2-Richtlinie Unternehmen konkrete Maßnahmen und auch das BSI stellt erste Informationen bereit. Unternehmen sollten aktiv werden und gegebenenfalls Unterstützung von Expertinnen
und Experten in Anspruch nehmen. Die Einhaltung der NIS-2-Anforderungen ist entscheidend, um die Folgen von Cyberangriffen zu minimieren.
Mit der Umsetzung in nationales Recht sind Übergangsfristen vorgesehen, für Unternehmen besteht aber bereits jetzt dringender Handlungsbedarf, um die Sicherheit ihrer IT-Systeme zu gewährleisten.
Unser Experte:
Tobias Mielke ist Lead Expert für Informationssicherheit und Datenschutz sowie Gutachter und Auditor bei TÜVIT für die verschiedensten Verfahren (u.a. ISO 27001, KRITIS, Trusted Site Data Privacy, EuroPriSe sowie De-Mail). Unser Experte ist per Mail oder telefonisch unter 0201 8999-553 erreichbar.