Die Zeit drängt
Die Deadline für die Umsetzung der EU-Richtlinie NIS2 rückt für Unternehmen immer näher: Stichtag ist der 17. Oktober 2024. Trotz dieser knappen Frist haben viele Entscheider bis heute noch nie von NIS2 gehört – so eine aktuelle Studie. Doch was bedeutet NIS2 für die betroffenen Unternehmen konkret? Und wie kann CANCOM bei der Umsetzung helfen? Das erfahren Sie im Artikel.
23. Mai 2024
|
Lesedauer: ca. 4 Min.
Bild: © weyo/stock.adobe.com
Das Ziel von NIS2 ist klar definiert: Die Cybersicherheit in der gesamten EU soll gestärkt und insbesondere die kritische Infrastruktur besser geschützt werden. Um dieses Ziel zu erreichen, schreibt NIS2, im Vergleich zur Vorgänger-Richtlinie NIS1, deutlich höhere Anforderungen an die Cybersicherheit vor – die nicht nur die direkt betroffenen Unternehmen selbst, sondern auch deren Partner und Lieferanten erfüllen müssen. Darauf weist Jochen Borenich (CSO, CANCOM) im CANCOM.info-Interview hin.
Um den gestiegenen Anforderungen gerecht zu werden, müssen Firmen eine Reihe zusätzlicher Maßnahmen umsetzen. Dazu gehören unter anderem die Einführung eines Risiko-, Krisen- und Notfallmanagements sowie die Einhaltung strenger Melde- und Nachweispflichten bei Cybersicherheitsvorfällen.
Doch wer ist nun konkret von NIS2 betroffen? Die offizielle Antwort lautet: Unternehmen, die als Betreiber kritischer Infrastrukturen gelten. Auf den ersten Blick erscheint diese Gruppe relativ klein. In Wirklichkeit ist das Gegenteil der Fall. Denn die Definition, wer als Betreiber gilt, ist in NIS2 deutlich weiter gefasst als noch in NIS1.
Nach NIS2 zählen dazu Unternehmen mit mindestens 50 Mitarbeitern, einem Jahresumsatz von mehr als 10 Millionen Euro und einer Zugehörigkeit zu einem von 18 Sektoren – darunter Forschung, Industrie und Produktion, öffentliche Verwaltung, Bankenwesen und viele weitere. Wie Jochen Borenich im CANCOM.info-Interview betont, treffen diese Kriterien allein in Deutschland und Österreich auf rund 50.000 Firmen zu.
All diese Unternehmen sind ab dem 17. Oktober 2024 gesetzlich verpflichtet, die NIS2-Vorgaben zu erfüllen. Denn bis zu diesem Zeitpunkt muss die EU-Richtlinie in nationales Recht umgesetzt worden sein.
Bei Nichteinhaltung sehen sich Firmen mit empfindlichen Strafen konfrontiert. So drohen ihnen Bußgelder in Höhe von bis zu 10 Millionen Euro bzw. zwei Prozent des weltweiten Jahresumsatzes. Besonders in die Pflicht nimmt NIS2 die Geschäftsführer und Vorstände: Sie haften bei Verstößen persönlich.
„Die Strafen können gerade für den Mittelstand existenzbedrohend sein. Deshalb ist es essenziell, dass sich Unternehmen spätestens jetzt mit dem Thema NIS2 intensiv beschäftigen“, so Alexander Ernst (Director Competence Center, Network & Security bei CANCOM), der in seiner Position den Netzwerk- und Security-Bereich bei CANCOM verantwortet.
Eine solche Beschäftigung findet in vielen Unternehmen jedoch bis heute nicht statt. Das zeigt eine aktuelle Studie des Marktforschungsinstituts YouGov im Auftrag des Sicherheitssoftware-Herstellers ESET, für die im März 2024 insgesamt 521 Entscheider aus Unternehmen ab 50 Mitarbeitern in Deutschland befragt wurden.
Demnach hat mehr als jeder dritte befragte Entscheider (36 Prozent) noch nie vom Thema NIS2 gehört. 20 Prozent wissen zwar, dass es die NIS2-Richtlinie gibt, kennen aber deren Inhalte nicht. Über die Inhalte von NIS2 Bescheid wüssten 44 Prozent – die knappe Mehrheit davon allerdings nur grob.
„Die deutsche Unternehmenslandschaft, insbesondere der Mittelstand, ist auf die kommenden Herausforderungen durch die NIS2-Richtlinie schlecht vorbereitet. Gut die Hälfte aller Entscheider in Organisationen mit mehr als 50 Mitarbeitern, die NIS-relevant sein könnten, wissen gar nicht, welche Anforderungen auf sie zukommen“, kommentiert Maik Wetzel, Strategic Business Development Director DACH bei ESET, in der offiziellen Pressemitteilung diese Ergebnisse. „Das ist fatal und unterstreicht den großen Aufklärungsbedarf. Es ist höchste Zeit, dass Unternehmen mit der Umsetzung beginnen.“
Laut Alexander Ernst müssen Unternehmen dabei eines beachten: Die Umsetzung der NIS2-Vorgaben benötigt eine genaue Planung und kostet Zeit. „Es handelt sich um einen Prozess, bei dem Unternehmen eine Reihe von Maßnahmen in Betracht ziehen müssen – sowohl auf rein technischer als auch auf taktischer und strategischer Ebene. Hier können wir als CANCOM mit unseren Services und Lösungen umfassend unterstützen.“
Zunächst ermittelt CANCOM mit dem Unternehmen, welche Maßnahmen mit welcher Priorität umgesetzt werden müssen, um die Anforderungen nach NIS2 zu erfüllen. Dazu wird ein gemeinsamer Workshop durchgeführt. Die potenziellen Maßnahmen können unterschiedlichste Bereiche betreffen: von Workload und Application Security über Endpoint Protection und Firewall-Lösungen bis hin zu Krisenmanagement, Backup-Konzepten und Mitarbeiterschulungen zur Sensibilisierung für Cybersicherheitsrisiken. Basierend auf den Workshop-Ergebnissen erfolgt anschließend die praktische Umsetzung der jeweils beschlossenen Maßnahmen – unterstützt durch ein Team aus zertifizierten CANCOM-Spezialisten.
Wie Alexander Ernst betont, verfolgt der gesamte Prozess dabei ein wesentliches Ziel: den Aufbau eines modernen Informationssicherheitsmanagementsystems (kurz: ISMS) nach ISO 27001. So sei es mit einem ISMS möglich, den NIS2-Anforderungen vollumfänglich gerecht zu werden. Konkret definiert ein ISMS genaue Regeln, Methoden und Abläufe, um die Informationssicherheit in einem Unternehmen zu steuern, zu kontrollieren, zu gewährleisten und zu optimieren.
Mit NIS2 werden die Anforderungen an die Cybersicherheit deutlich erhöht. Viele betroffene Unternehmen haben NIS2 bis heute nicht auf dem Radar – was sich schnellstmöglich ändern muss. So rückt der Stichtag für die Umsetzung der NIS2-Anforderungen, der 17. Oktober 2024, immer näher. Wer die Vorgaben nicht erfüllt, riskiert empfindliche, mitunter sogar existenzbedrohende, Strafen.
Bei der Umsetzung kann CANCOM umfassend unterstützen: Gemeinsam mit den Unternehmen identifiziert CANCOM zunächst die jeweils nötigen Maßnahmen auf technischer, taktischer und strategischer Ebene, um den NIS2-Anforderungen gerecht zu werden. Anschließend kümmert sich der IT-Konzern um die praktische Realisierung. Ein wesentliches Ziel ist dabei der Aufbau eines modernen Informationssicherheitsmanagementsystems.