Die NIS2-Richtlinie (Netz- und Informationssicherheit) ist derzeit eines der brisantesten Themen in der IT-Welt. Während sich große Unternehmen bereits intensiv mit der Umsetzung befassen, herrscht in vielen kleinen und mittelständischen Unternehmen (KMU) noch Unklarheit darüber, ob sie betroffen sind und welche Maßnahmen notwendig sind. Viele schieben die Auseinandersetzung mit NIS2 vor sich her – eine Entscheidung, die bald ernsthafte Konsequenzen haben könnte.
Warum NIS2 für mehr Unternehmen relevant ist
Während das Vorgängergesetz, das IT-Sicherheitsgesetz, nur eine relativ kleine Zahl von Unternehmen betraf, erweitert NIS2 den Kreis der betroffenen Firmen erheblich.
Die Schwellenwerte sind dabei niedriger, als viele denken: Unternehmen, die in einem der „kritischen Sektoren“ tätig sind, fallen bereits ab 50 Mitarbeitern und einem Jahresumsatz von 10 Millionen Euro, bzw. einer Bilanzsumme in gleicher Höhe in die Umsetzungspflicht.
Die Zahl der betroffenen Unternehmen wird schätzungsweise von 2000 auf 30000 ansteigen.
Es wird Zeit für die Umsetzung
Aktuell ist NIS2 noch eine EU-Richtlinie, die in nationales Recht umgesetzt werden muss. Deutschland hat bis zum 17. Oktober 2024 Zeit, das entsprechende Gesetz zu verabschieden. Allerdings sieht es momentan so aus, als könnte diese Frist nicht eingehalten werden, und die Verabschiedung verzögert sich möglicherweise bis Ende des Jahres.
Das bedeutet, dass den Unternehmen nicht mehr viel Zeit bleibt, um sich auf die neuen Anforderungen vorzubereiten. Man sollte frühzeitig mit der Umsetzung beginnen, um nicht unter Druck handeln zu müssen. Eine Übergangsfrist wird es vermutlich nicht geben.
Was NIS2 verlangt
Viele Unternehmen haben eine Firewall, machen regelmäßige Datensicherungen und setzen Antivirenschutz ein. Doch das reicht für die Anforderungen der NIS2-Richtlinie nicht aus. Diese verlangt eine wesentlich umfassendere IT-Sicherheitsstrategie, die im gesamten Unternehmen umgesetzt werden muss.
Einige Punkte behandeln dabei ausschließlich organisatorische Maßnahmen wie z.B. eine Richtline für den Fernzugriff auf das Unternehmensnetzwerk oder das Arbeiten im HomeOffice.
Natürlich sind auch technische Voraussetzungen wie die Mehrfaktor-Authentifizierung oder die obengenannten Punkte in der Richtlinie gefordert.
IT-Sicherheit muss ein kontinuierlicher Prozess sein und fest in die Strukturen eines Unternehmens eingebunden werden.
Erste Schritte:
Betroffenheitsprüfung
Wie können Sie herausfinden, ob NIS2 für Ihr Unternehmen relevant ist?
Ein guter erster Schritt ist die Betroffenheitsprüfung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Dieser einfache Check hilft Ihnen festzustellen, ob Ihr Unternehmen den neuen Anforderungen unterliegt.
Hier finden Sie den entsprechenden Link zur Prüfung: [Link].
Sie sind nicht betroffen?
Selbst wenn Ihr Unternehmen nicht direkt betroffen ist, sollten Sie das Thema nicht ignorieren. Ähnlich wie beim Lieferkettengesetz, ist zu erwarten, dass ab 2025 verstärkt Anforderungen an Lieferanten gestellt werden. Größere Unternehmen werden sehr wahrscheinlich von ihren Partnern und Zulieferern bestimmte Sicherheitsstandards verlangen. IT-Sicherheit wird somit auch für kleinere Unternehmen ein immer wichtigeres Thema.
Haben Sie sich schon mal gefragt, ob Sie es sich leisten können, wenn ein wichtiger Kunden einen Nachweis über Ihre Maßnahmen in der IT-Sicherheit verlangt?
Haben Sie genug Zeit, sich erst auf Nachfrage mit dem Thema zu beschäftigen oder wechselt der Kunde zu einem Lieferanten, der schon alle Voraussetzungen erfüllt?
Der CyberRisk-Check
Der CyberRisk-Check [Link] ist ein sehr guter Einstieg in das Thema. Der Check basiert auf den Anforderungen des BSI und bietet eine umfassende, erste Übersicht darüber, wie es um die IT-Sicherheit in Ihrem Unternehmen bestellt ist.
Der Fragenkatalog ist in der DIN SPEC 27076 vorgegeben. Die Antworten werden nach einem Punktesystem bewertet.
Die erste Seite des Berichts enthält eine Zusammenfassung und die Bewertung. Sie kann auch als Nachweis an Ihre Kunden herausgegeben werden. Im Anhang des Berichts werden klare Maßnahmen zur Umsetzung definiert.
Die Durchführung und Beratung des CyberRisk-Check werden durch das BAFA mit bis zu 50% gefördert. Wir übernehmen für Sie kostenlos die Beantragung und Kommunikation.
Wie wir Sie unterstützen können
Als IT-Dienstleister mit langjähriger Erfahrung bieten wir nicht nur den Cyber-Risk-Check an, sondern unterstützen Sie auch bei der Umsetzung der erforderlichen Maßnahmen. Gemeinsam können wir die wichtigsten Punkte angehen, um schnell und effizient ein solides Sicherheitsniveau zu erreichen.
Zusätzlich verfügen wir über die passenden Produkte und Lösungen, um viele der Bausteine der NIS2-Richtlinie zu erfüllen. Von der Implementierung sicherer Netzwerkstrukturen bis hin zum Risikomanagement – wir sind der richtige Partner, wenn es um IT-Sicherheit geht.
Bei Fragen rund um die NIS2-Richtlinie melden Sie sich gerne bei uns per E-Mail oder telefonisch unter der Nummer 02375 / 939269-0. Ihre Ansprechpartner zu diesem Thema sind Gabriel Arens und Kai Gaberle.
Fazit:
Handeln Sie jetzt
NIS2 wird die IT-Sicherheitslandschaft grundlegend verändern. Unternehmen, die nicht rechtzeitig handeln, laufen Gefahr, nicht nur gesetzliche Anforderungen zu verletzen, sondern auch anfälliger für Cyberangriffe zu werden. Zögern Sie nicht, uns bei Fragen zu kontaktieren – wir unterstützen Sie gerne auf Ihrem Weg zu einer sicheren und konformen IT-Umgebung.
