NIS-2 und ihre Herausforderungen

Die NIS-2-Richtlinie (Network and Information Security Directive) ist ein am 27.12.2022 veröffentlichtes Rahmenwerk, welches am 16.01.2023 in Kraft getreten ist und zukünftig die Cyber- und Informationssicherheit von Unternehmen und Institutionen regeln soll. Sie räumt den einzelnen EU-Mitgliedsstaaten für die Umsetzung der Richtlinie in nationales Recht eine Karenzzeit bis zum Oktober 2024 ein.

Durch den erweiterten Geltungsbereich der NIS-2 betrifft sie deutlich mehr Unternehmen und Branchen als die NIS-1 und verschärft zusätzlich deren Anforderungen. Sie setzt unter anderem die Einführung eines Informationssicherheitsmanagementsystems sowie die Umsetzung von 70% aller Anforderungen des ISO 27001 voraus.

Vor dem Hintergrund der durch Cyberkriminalität jährlich verursachten Schäden wird klar, dass die Bemühungen der EU zur Stärkung der Cybersicherheit nicht nur wichtig, sondern auch richtig sind.

Auch wenn durch die Erweiterungen der NIS-2 nun die breite Masse von Unternehmen zum Handeln gezwungen wird, so steht die Richtlinie ganz im Interesse der Unternehmen, die ihre Daten, Geschäftsprozesse und Vermögenswerte schützen wollen.

Die Fakten:

• Innerhalb der deutschen Wirtschaft verursachte Cyberkriminalität durch den Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage einen Gesamtschaden von 202,7 Mrd. EUR¹
• Im Jahr 2022 betrugen die durchschnittlichen Kosten eines Datenverlusts weltweit 4,35 Mio. USD
• Die häufigsten Angriffsvektoren sind dabei:
  • Gestohlene oder kompromittierte Anmeldedaten mit 26,4%
  • Phishing mit 22,2%
  • Fehlerhafte Cloud-Konfigurationen mit 20,8%
  • Schwachstellen in Software von Drittanbietern mit 18,1%
  • Physische Sicherheitsbeeinträchtigungen mit 12,5%²

Mit der durch die Richtlinie eingeräumten Umsetzungsfrist bis zum Oktober 2024 bleibt den Unternehmen noch Zeit, um sich auf die Anforderungen der NIS-2 vorzubereiten. Vor dem Hintergrund der geforderten Maßnahmen im Bereich Informationssicherheit, Risikomanagement, Geschäftskontinuität sowie dem Umgang mit Sicherheitsvorfällen und Schulungen der Mitarbeiter zum Thema Cybersicherheit sind Unternehmen bereits jetzt gut damit beraten, sich mit den Themen von morgen zu beschäftigen.

Die durch den Gesetzgeber zugesprochene Relevanz wird dadurch verdeutlicht, dass bei nicht fristgerechter Umsetzung ähnliche Konsequenzen wie bei der Datenschutzgrundverordnung (DSGVO) drohen. Dabei können die Repressalien von Bußgeldern bis hin zur persönlichen Haftung der Geschäftsführung bei Verletzung des Risikomanagements reichen.
 

¹ www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022
² www.crucial.de/articles/external-ssd/data-loss-cyber-crime-in-numbers