Die NIS2-Richtlinie kommt: Das müssen Unternehmen jetzt wissen - Advertorial
Stichtag für die Umsetzung der NIS2-Richtlinie ist der 17. Oktober 2024. Um Hackerangriffen vorzubeugen, müssen Unternehmen in der EU ihre IT-Sicherheitsmaßnahmen erhöhen – allein für rund 40.000 Firmen in Deutschland gilt die NIS2-Richtlinie. Mehr IT-Sicherheit ist keine Option, sondern ein Muss. Michael Klatte vom IT-Sicherheitsunternehmen ESET klärt auf und gibt wichtige Tipps.
Die Digitalisierung hat längst Einzug in den Unternehmensalltag gehalten. Dennoch klaffen in europäischen – und somit auch deutschen Firmen - eklatante (Wissens-)Lücken im Bereich der IT-Sicherheit. Der Gesetzgeber reagiert darauf mit der NIS2-Richtlinie ("Netz- und Informationssicherheitsrichtlinie 2") der Europäischen Union, die den Schutz der IT-Infrastruktur deutlich erhöhen soll. Experten rechnen damit, dass mehr als 40.000 Organisationen darunterfallen werden. Und es sind nur die Einrichtungen der Kritischen Infrastruktur gemeint: Über die Lieferkette können sogar Unternehmen betroffen sein, die eigentlich die vorgeschriebenen Kriterien nicht erfüllen. Der Stichtag für die Umsetzung ist der 17. Oktober 2024.
Wissenslücken und persönliche Haftungsrisiken
Eine repräsentative ESET Umfrage unter Unternehmensentscheidern zeigt, dass mehr als die Hälfte der Befragten (56 Prozent) die NIS2-Richtlinie gar nicht kennt oder die Inhalte unbekannt sind. Besonders alarmierend: Auch zwei von drei Vorständen oder Geschäftsführern fehlt das Wissen über die Richtlinie, obwohl sie ein wichtiges Element sind und persönliche Haftungsrisiken im Schadensfall tragen.
Unkenntnis bei NIS2-relevanten Unternehmen
Unternehmen mit mehr als 50 Beschäftigten sind oft von der NIS2-Richtlinie betroffen. Dennoch kennen 44 Prozent dieser Organisationen die Anforderungen nicht. Ähnlich sieht es bei größeren Unternehmen ab 250 Mitarbeitern aus, von denen die Hälfte (50 Prozent) die NIS2-Richtlinie nicht kennt. Hier besteht dringender Aufklärungsbedarf.
Verantwortung der Geschäftsführer und Vorstände
Die NIS2-Richtlinie bringt persönliche Haftungsrisiken für Geschäftsführer und Vorstände mit sich. Bei Verstößen gegen die Einhaltung der Richtlinie werden sie zur Verantwortung gezogen. Es ist daher besorgniserregend, dass zwei von drei Vorständen oder Geschäftsführern die NIS2-Richtlinie nicht kennen oder inhaltlich nicht damit vertraut sind.
IT-Entscheider und ihre Kenntnisse
Überraschenderweise sind auch IT-Entscheider nicht ausreichend informiert. Jeder Vierte kennt die Richtlinie nicht, und weitere 13 Prozent haben zwar davon gehört, kennen aber die Inhalte nicht.
Es bewegt sich etwas
Es gibt jedoch Hoffnung: Wenn Entscheider die NIS2-Richtlinie kennen und ihre Bedeutung verstehen, geht es mit der Umsetzung voran. Ein Drittel der Befragten ist bereits in der Transformation, und weitere 38 Prozent stehen kurz vor dem Beginn der Maßnahmen. Immerhin 15 Prozent der Umfrageteilnehmer sehen sich als nicht betroffen.
Was Unternehmen jetzt tun müssen
Unternehmen sollten zeitnah prüfen, ob sie unter NIS2 fallen. Wenn ja, bieten sich unter anderem die folgenden Schritte an, um sich darauf vorzubereiten:
- Bewusstsein schaffen: Schulungen und Workshops für Entscheidungsträger und IT-Personal durchführen
- Risikobewertung: Eine gründliche Analyse der eigenen IT-Infrastruktur und der potenziellen Risiken vornehmen
- Sicherheitsmaßnahmen implementieren: Basierend auf der Risikobewertung geeignete Sicherheitstechnologien und -prozesse einführen
- Notfallpläne entwickeln: Strategien für den Fall von Sicherheitsvorfällen ausarbeiten
- Regelmäßige Überprüfungen: Die Sicherheitsmaßnahmen sollten kontinuierlich überwacht und angepasst werden
Unternehmen, die die Umsetzung der NIS2-Richtlinie allein nicht bewältigen können, sollten folgende Vorschläge in Betracht ziehen:
- Externe Beratung: Externe Experten oder Beratungsunternehmen, die auf IT-Sicherheit spezialisiert sind, sollten konsultiert werden. Diese können bei der Risikobewertung, der Implementierung von Sicherheitsmaßnahmen und der Entwicklung von Notfallplänen helfen.
- Kooperation mit anderen Unternehmen: Kooperationsmöglichkeiten mit anderen Unternehmen, die bereits Erfahrung mit der NIS2-Richtlinie haben, sparen Zeit und Geld. Gemeinsame Ressourcen und Wissenstransfer können den Prozess erleichtern.
- Schulungen und Weiterbildungen: Externe Berater helfen gerne dabei, die Weiterbildung der Mitarbeiter voranzutreiben.
- Förderprogramme und Zuschüsse: Es stehen in Deutschland Förderprogramme und auch finanzielle Unterstützungsangebote für die Umsetzung von IT-Sicherheitsmaßnahmen zur Verfügung.
- Outsourcing: Wenn die internen Ressourcen begrenzt sind, können bestimmte Aufgaben oder Dienstleistungen im Bereich IT-Sicherheit auslagert werden. Diese können die Kosten senken und gleichzeitig die Qualität sicherstellen. Mit Managed Detection and Response (MDR) steht eine bezahlbare Alternative zur Verfügung, die von Security-Herstellern und externen Dienstleistern erbracht wird.
Die Idee hinter NIS2: Sicherheit für jede Organisation
Die NIS2-Richtlinie stellt mehr dar als nur eine gesetzliche Anforderung für Organisationen in kritischen Bereichen. Sie ist vielmehr ein Weckruf an alle Unternehmen und Verwaltungen, die IT-Sicherheit endlich auf das hohe Niveau zu bringen, das heute notwendig ist. Täglich liest man von erfolgreichen Hackerattacken, DDoS-Angriffen, Ransomware und Malware im Allgemeinen, vom Cyberkrieg mit Verbindung zur gar nicht zu sprechen. Die Einhaltung der NIS2-Richtlinie ist nicht nur eine Frage der Compliance, sondern auch ein entscheidender Faktor für die Widerstandsfähigkeit gegenüber Cyberangriffen. Organisationen sind daher aufgefordert, proaktiv zu handeln und die erforderlichen Sicherheitsmaßnahmen rechtzeitig umzusetzen. NIS2 bietet dafür eine hervorragende Orientierungshilfe.
ESET klärt auf
Der IT-Sicherheitshersteller ESET hat eine umfassende Kampagne zur NIS2-Richtlinie gestartet. Unter dem Motto "Flicken reicht in der IT-Sicherheit nicht aus" informiert ESET objektiv über die Richtlinie und gibt Ratschläge für die technische Umsetzung. Weitere Informationen finden Interessierte auf dieser ESET Webseite. Sie hilft auch denen, die nicht unmittelbar von NIS2 betroffen sind, aber dennoch das Sicherheitsniveau stärken möchten.