Die NIS-2-Richtlinie wird aktuell in deutsches Recht umgesetzt und verpflichtet Unternehmen, ihre Schutzmaßnahmen gegen Cyberangriffe zu verstärken. Sobald sie in Deutschland in Kraft tritt, sind wesentliche Infrastrukturen, also Einrichtungen mit hoher Kritikalität, sowie wichtige Einrichtungen betroffen. Dazu zählen Unternehmen mit mehr als 50 Mitarbeitern in relevanten Sektoren oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils mehr als 10 Mio. Euro.
Betroffenheitsprüfung vornehmen
„Aus Sicht der IT-Sicherheit gibt es nur zwei Arten von Unternehmen. Die, die angegriffen wurden, oder die, die noch nicht angegriffen wurden“, sagt Reiner Veit, geschäftsführender Gesellschafter von CompData. Unternehmen sollten sich insbesondere durch die Umsetzung spezifischer technischer und organisatorischer Maßnahmen gezielt auf die Anforderungen der NIS-2-Richtlinie vorbereiten. Unabhängig von den gesetzlichen Anforderungen ist es angesichts der aktuellen IT-Sicherheitslage dringend ratsam, das Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen, um einen sicheren und reibungslosen Geschäftsbetrieb zu gewährleisten. Eine erste Orientierung, ob Unternehmen von NIS-2 betroffen sind, bietet das BSI mit der NIS-2-Betroffenheitsprüfung. In dem Online-Formular können konkrete, am Gesetzentwurf orientierte Fragen, beantwortet werden, um das eigene Unternehmen einzuordnen.
Geschäftsführung persönlich haftbar
Die in NIS-2 definierten Maßnahmen zum Risikomanagement sind vielfältig. Dazu zählen IT-Sicherheitskonzepte, Backup-Management, Meldepflichten, Schulungen, Zugriffskontrollen, Authentifizierungslösungen sowie eine gesicherte Notfallkommunikation. Neben all den definierten Maßnahmen für das Risikomanagement ist die persönliche Verantwortung der Geschäftsführung des Unternehmens ein elementarer Bestandteil der Richtlinie. Die NIS-2-Richtlinie sieht vor, dass Geschäftsführer und andere Leitungsorgane des Unternehmens für die Einhaltung der IT-Sicherheitsmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei bis zu 2% des weltweiten Jahresumsatzes betragen.
CompData, das System- und Softwarehaus aus Albstadt, analysiert den aktuellen Stand der IT-Sicherheit in mittelständischen Unternehmen und Bäckereien. Im Workshop „CyberRisikoCheck“ wird der Status quo des Sicherheitsniveaus ermittelt und darauf aufbauend ein maßgeschneidertes IT-Sicherheitskonzept entwickelt. Dieses enthält Empfehlungen, welche Maßnahmen die Unternehmen priorisiert umsetzen sollten, um ihre Sicherheitslage effektiv zu stärken.