Die Ransomeware-Wette
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
Für viele Unternehmen in Deutschland und Europa drängt die Zeit: Die europäische Richtlinie für Cybersecurity „NIS2“ verlangt, dass sie sich bis Ende 2024 nachweisbar und verpflichtend besser gegen IT-Angriffe schützen.
Bei Nicht-Einhaltung bzw. Nicht-Umsetzung der umfangreichen, geforderten Maßnahmen drohen Bußgelder und Sanktionen. Mit diesem Ratgeber möchten wir Klarheit schaffen und wichtige Fragen zu NIS2 beantworten.
Die Abkürzung „NIS2“ steht für die „Network and Information Security Directive 2“ (Richtlinie über Netz- und Informationssysteme 2).
Die NIS2-Richtlinie ist eine europäische Gesetzgebung, die darauf abzielt, die Cyberresilienz in der Europäischen Union zu stärken. Sie baut auf der ersten NIS-Richtlinie auf und erweitert deutlich den Anwendungsbereich auf zusätzliche Branchen. Ziel ist es, die Sicherheit von Netz- und Informationssystemen zu verbessern. NIS2 tritt am 17.10.2024 in Kraft.
Die NIS2-Richtlinie legt bestimmte Anforderungen für betroffene Unternehmen fest. Sie müssen Sicherheitsmaßnahmen implementieren, um die Integrität, Verfügbarkeit, Vertraulichkeit und Robustheit ihrer Netz- und Informationssysteme sicherzustellen. Neben diesen Maßnahmen zur Gewährleistung der Sicherheit kommt die Verpflichtung zur Meldung von schwerwiegenden Sicherheitsvorfällen an nationale Behörden hinzu.
Die EU unterteilt Unternehmen, für die NIS2-Richtlinien gelten, in zwei Kategorien: „wesentlich“ und „wichtig“.
Erstere wurden zum Teil schon in der ersten NIS-Fassung erwähnt. In der neuen Version umfasst diese Kategorie aber mehr Sektoren. Die zweite Gruppe der wichtigen Organisationen definiert die EU-Regelung ganz neu. Direkt betroffen sind jeweils nur Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mehr als zehn Mio. EUR.
Zur Gruppe der wesentlichen Organisationen gehören vor allem KRITIS-Unternehmen, also Betriebe mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall gravierende Folgen hätte. NIS2 nennt hier folgende Bereiche:
Zu den wichtigen Organisationen werden folgende Branchen gezählt:
Für kleine Unternehmen greift NIS2 zwar eigentlich nicht. Gemeint sind damit Firmen, die weniger als 50 Mitarbeiter beschäftigen und deren Jahresumsatz bzw. Jahresbilanzsumme maximal zehn Millionen Euro beträgt. Allerdings gibt es Ausnahmen, bei denen die Unternehmensgröße keine Rolle spielt.
So können mittelgroße und kleine Firmen dann ins Visier geraten, wenn sie als Dienstleister und Lieferanten für die direkt von NIS2 betroffenen Organisationen tätig sind. Dann sind sie unter Umständen gezwungen, ebenso strenge Sicherheitsvorkehrungen einzuhalten, um die gesamte Lieferkette zu schützen. Es kann beispielsweise passieren, dass ein Automobilhersteller seinen Zulieferer verpflichtet, bestimmte Cybersecurity-Technologien oder -Methoden einzuführen, um selbst nicht gegen die EU-Vorgaben zu verstoßen.
Frist 17.10.2024: Jetzt handeln, bevor es zu spät ist!
Erfahren Sie, wie Sie als Geschäftsführer die Cyberreslienz in Ihrem Unternehmen erhöhen, um die neuen gesetzlichen Pflichten durch NIS2 erfüllen zu können.
Betroffene Unternehmen müssen laut NIS2-Richtlinie geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der eigenen Netz- und Informationssysteme zu beherrschen. Zudem sollen die Auswirkungen von Sicherheitsvorfällen verhindert bzw. minimiert werden.
NIS2 ist Chefsache. Die EU verlangt, dass sich um das Thema die Leitungsebene kümmern muss. Die Richtlinie nennt verschiedene Bereiche und Maßnahmen, die mindestens abgedeckt werden müssen. Dazu gehören unter anderem:
Unternehmen müssen dem BSI (Bundesamt für Sicherheit in der Informationstechnik) signifikante Sicherheitsvorfälle melden. Vorgesehen ist dafür ein dreistufiger Prozess:
In einigen Fällen können nationale Behörden dazu berechtigt sein, Verstöße öffentlich bekannt zu machen. Dies kann den Ruf eines Unternehmens erheblich beeinträchtigen. Die nationalen Behörden können auch Zwangsmittel und Anordnungen verhängen, um sicherzustellen, dass das Unternehmen die erforderlichen Sicherheitsmaßnahmen ergreift und sicherstellt, dass zukünftige Verstöße vermieden werden.
Der Referentenentwurf des Bundesinnenministeriums sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften.
Einzelne Bundesländer haben Förderprogramme zur Steigerung der Cybersicherheit in der Wirtschaft aufgesetzt.
In Nordrhein-Westfalen gibt es z. B. das Förderprogramm MID-Digitale Sicherheit. Es bietet die Chance, bis zu 15.000 Euro zu erhalten, um die digitale Selbstverteidigung zu stärken.
Eingerichtet wurde der Fördertopf im Rahmen des übergreifenden Förderprogramms „Mittelstand Innovativ & Digital” (kurz: MID). Um Maßnahmen zur digitalen Sicherheit schneller umzusetzen, können Betriebe jetzt auch einen Durchführungszeitraum von drei Monaten auswählen. Im Bereich Software sind Patchmanagement-Lösungen hinzugekommen. Außerdem lässt sich nun auch Hardware für Firewalls fördern. Genaueres zu den aktuell geförderten Maßnahmen erfahren Sie hier.
Mittelständische Geschäftsführer haben beim Thema NIS2 Bedenken, da die Richtlinie verschiedene Anforderungen und Auswirkungen auf ihr Unternehmen mit sich bringt:
Da die Umsetzung ab Oktober 2024 gesetzlich vorgeschrieben ist, ist es wichtig, bereits heute Maßnahmen zu ergreifen.
Wir haben uns ganz klar auf die Bedürfnisse mittelständischer Unternehmen ausgerichtet, die unter „wichtigen Einrichtungen“ in NIS2 eingestuft werden. Im Unterschied zu einigen Mitbewerbern starten wir die Zusammenarbeit nicht mit einer teuren GAP-Analyse.
Für uns zählt als Experte für IT-/OT-Security im Mittelstand Pragmatismus statt Perfektionismus. Unser Ziel ist es, eine maximale Sicherheit mit minimalem Aufwand (Zeit/Budget) zu erreichen.
Uns ist wichtig, dass nicht durch Fachchinesisch die Komplexität steigt. NIS2 soll so einfach wie möglich umgesetzt werden. Dazu haben wir einen Best Practice Ansatz geschaffen, damit Sie sich ganz auf Ihr Kerngeschäft konzentrieren können.
Starten Sie mit einer einfachen & pragmatischen Vorgehensweise nach dem Prinzip „minimaler Aufwand bei maximaler Sicherheit“:
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich
NIS2 – Warum sich Outsourcing lohnt Um Cybersicherheit in einem Betrieb herzustellen, reicht es heute nicht mehr aus, eine gute
Die NIS2-Richtlinie soll die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Cyberangriffe verbessern und wichtige Grundlagen dafür schaffen, dass Organisationen angemessene
Vielen Dank für Ihre Anfrage.
Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.
Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.