Die Cyber-Welt ist schlecht und steckt voller Bedrohungen. Soweit das Credo derer, die mit Beratung, Forensik, Software, Schulungen, Zertifizierungen u.ä. ihr Geld verdienen.
Das lässt sich sogar quantifizieren; über 200 Milliarden Euro Schaden – allein in Deutschland – schon im dritten Jahr in Folge, sagt die Studie des Digitalverbandes Bitkom. Und erstmals fühlen sich mehr als 50% der Unternehmen durch Cyberattacken in ihrer Existenz bedroht.
Alarmierend, das bedeutet aber nicht, dass man sich in dieses Schicksal ergeben muss. In den vergangenen Beiträgen haben wir verschiedentlich aufgezeigt, was zum präventiven Schutz geeignet sein kann und warum sich das Konzentrieren auf einzelne Maßnahmen zulasten des Gesamtschutzes vermieden werden sollte.
Heute werfen wir einen vertieften Blick in die neue Richtlinie der EU – NIS-2
Die NIS-2-Richtlinie („The Network and Information Security Directive“) wurde am 27.12.2022 im EU-Amtsblatt veröffentlicht und ist am 16.01.2023 in Kraft getreten. Darin sind die Cyber- und Informationssicherheit von Unternehmen und Institutionen geregelt.
Muss das sein?
Eindeutig ja. Die rasante Verbreitung des Internets der Dinge (IoT), neuer Mobilfunkstandards (5G) und die daraus resultierende starke Versuchung, mittels Cyberattacken Zugriff zu bekommen, haben eine sowohl flinkere, als auch stabile Ergänzung der bestehenden NIS-1 (EU 2016/1148) Richtlinie erforderlich gemacht.
Während die noch gar nicht so alte Netz- und Sicherheitsrichtlinie im Jahr 2016 einen „CYBERResilienz“-Grundstein legte und erste Anforderungen an die Unternehmen – wichtig im Besonderen für die kritischen Sektoren Energie, Gesundheit und Verkehr – schuf und den Rahmen für die Mitgliedsstaaten legte, hat sich die Welt der digitalen Konnektivität explosionsartig ausgedehnt.
Damit war eine Anpassung der Regularien und Handlungsempfehlungen zwingend erforderlich; die Geburtsstunde der NIS-2.
Was ist neu?
Formuliert wurde das einmal unter einem Oberbegriff der in etwa „die Schaffung einer Kultur der Cybersicherheit“ bedeutete und im Wesentlichen auf sechs Ziele ausgerichtet ist.
Da ist zuerst der erweiterte Geltungsbereich. Die neue Richtlinie umfasst deutlich mehr Sektoren und Anbieter digitaler Dienstleistungen und Produkte. Das bedeutet, viel mehr Unternehmen müssen ihre „CYBEResilienz“ überdenken und ordentlich stärken.
Zur Vereinfachung werden harmonisierte Sicherheitsvorschriften etabliert, um den Dschungel verschiedener Regelungen und Bestimmungen der einzelnen Sektoren zu lichten und durch einheitliche, klare und konsistente Regelungen das allgemeine Sicherheitsniveau leichter anheben und Unsicherheiten beseitigen zu können.
Damit einher gehen allerdings auch striktere Anforderungen und eine strengere Aufsicht. Die Unternehmen werden härter an die Kandare genommen und die Aufsichtsbehörden technisch und personell aufgerüstet, um mehr und effizientere Kontrollen vornehmen zu können. Zwangsläufig haben Unternehmen damit mehr Verantwortung, die sich– so die Erwartung – in proaktiven, holistischen und nachhaltigen Sicherheitsmaßnahmen widerspiegeln sollte.
Auch die Förderung der Zusammenarbeit von Unternehmen und/oder Sektoren ist eines der Teilziele. In der Hoffnung, dass sich best practice schnell und übergreifend etabliert und man gemeinsam effizienter zu starken Sicherheitsnetzen kommt, was im Falle eines Angriffs auch schnellere gegenseitige Unterstützung bedeuten kann.
Insgesamt soll das zu einer verbesserten Anpassungsfähigkeit an neue Risiken führen und die Flexibilität auf Veränderungen in der Cyber-Landschaft erhöhen. Für die Unternehmen bedeutet das, sie müssen in der Lage sein, sowohl strategisch, technologisch und organisatorisch mit den neuen Anforderungen und Bedrohungen Schritt halten zu können.
Um keinen Zweifel daran zu lassen, wen es trifft, wenn die Umsetzung mangelhaft ist, hat man zur „Motivation“ ein besonderes Augenmerk auf die Rolle der Geschäftsführer gelegt, deren Haftung im Rahmen der aktualisierten Richtlinie erweitert wurde.
Wenn Sie als Geschäftsführer mehr zu den Anforderungen an Ihr Unternehmen wissen wollen und wie Sie mit SECIRA© und den Möglichkeiten zur Anbindung an Ihre Bestandsysteme die Anforderungen an NIS-2 erfüllen können, kontakten Sie uns einfach. Per Mail, per Telefon via XING, LinkedIN oder sogar im „richtigen Leben“. Wir sind der Beratungspartner auf Ihrer Seite.