Einstellungen für Cookies und ähnliche Technologien

Wir nutzen Cookies und ähnliche Technologien auf unserer Website. Neben technisch unbedingt erforderlichen Diensten und Funktionen werden mit Ihrer Einwilligung auch zusätzliche Dienste und Funktionen angesteuert. Ihre Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft über dieses Cookie-Consent-Tool geändert oder widerrufen werden. Detaillierte Informationen zu den genutzten Diensten finden Sie in unseren Datenschutzinformationen.

Ich stimme zu Auswahl anpassen
Nur notwendige Cookies akzeptieren
Impressum Datenschutzerklärung

Einstellungen für Cookies und ähnliche Technologien

Diese Cookies werden für die Grundfunktionen und zur Sicherheit der Website benötigt. Sie können deshalb nicht abgewählt werden.

Diese Cookies erlauben uns, die Nutzung der Website zu analysieren. So können wir unsere Seite immer weiter verbessern.

Wir integrieren redaktionelle Inhalte Dritter - zum Beispiel Videoplattformen oder Soziale Netzwerke - über iframes oder embeds in unserer Webseite. Diese externen Dienste können unter Umständen Ihre Daten zur Analyse Ihres Onlineverhaltens nutzen, wenn Ihnen ein entsprechenden Inhalt auf unserer Seite angezeigt wird. Wir haben keinen Einfluss darauf, ob und wie die Drittanbieter Ihre Daten nutzen.

Auswahl speichern
Impressum Datenschutzerklärung

Cookie-Einstellungen

WR-Intern
13.04.2023
Drucken

EU-weite Stärkung der Cybersicherheit durch die NIS-2-Richtlinie: Neue Pflichten für Unternehmen

Neue EU-Richtlinie über die Sicherheit von Netz- & Informationssystemen erweitertet Adressatenkreis deutlich und legt Standards für Cybersicherheit fest.
©None

Die Umsetzung der EU-Richtlinie über die Sicherheit von Netz- & Informationssystemen, der NIS-2-Richtlinie, bis Oktober 2024 stellt eine deutliche Erweiterung des Adressatenkreises auf EU-Ebene und in den Mitgliedstaaten im Bereich der Netzwerk- und Informationssicherheit dar. Allein in Deutschland sind zwischen 30.000 bis 40.000 Unternehmen und Einrichtungen betroffen. Unter die Vorgängerregulierung NIS-1 fielen noch 4.500 Unternehmen. 


Schätzungsweise 80 Prozent der Firmen haben jedoch noch keine Ahnung von der eigenen Betroffenheit. Insbesondere kleine und mittelständische Unternehmen (KMU) sowie Betreiber von kritischer Infrastruktur müssen sich auf umfassende Anforderungen einstellen, die mit hohen Kosten und einem erheblichen Verwaltungsaufwand verbunden sein können. Darüber hinaus besteht ein latenter Mangel an Fachkräften, was die technische und organisatorische Umsetzung in Betrieben erheblich erschwert.  


Erfasst werden als sogennante „wesentliche Einrichtungen“ Unternehmen in den Bereichen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Digitale Infrastruktur und Informations- und Kommunikations-Servicemanagement. Als wichtige Einrichtungen werden unter anderem explizit die Chemiebranche, hier Herstellung und Handel -, die Lebensmittelbranche, hier Produktion, Verarbeitung und Vertrieb, die Anbieter digitaler Dienste sowie Forschungseinrichtungen genannt. Hinsichtlich der Unternehmensgröße schreibt die Richtlinie erstmals einen EU-weit einheitlichen Schwellenwert vor. Erfasst werden grundsätzlich nur mittlere und große Einrichtungen in den betroffenen Sektoren. Jedoch sieht die Richtlinie auch einen Katalog an Unternehmen vor, die unabhängig von ihrer Größe erfassen werden.

Für betroffene Unternehmen wird es damit noch wichtiger, sich mit dem Thema IT-Compliance auseinanderzusetzen. Auch die Geschäftsführung beziehungsweise das zuständige Mitglied der Geschäftsleitung müssen ausreichende Risikomanagementkenntnisse nachweisen. Dies umfasst auch den Aufbau von technischen und organisatorischen Fachkompetenzen im Bereich der Cybersicherheit, etwa hinsichtlich der Kommunikation im Falle eines akuten Cyberangriffs. Tritt ein „erheblicher Sicherheitsvorfall“ ein, so ist eine Erstanzeige binnen 24 Stunden nach Kenntnisnahme des Vorfalls bei der zuständigen Behörde zu erbringen. Weitere Berichtspflichten schließen sich an.

Für die betroffenen Firmen und Einrichtungen empfiehlt es sich frühzeitig ein Informationssicherheitsmanagementsystem (ISMS), wie zum Beispiel nach den Anforderungen der ISO-Norm 27001 oder dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik, zu implementieren. Ein ISMS umfasst die Steuerung und Überwachung der IT-Sicherheitsmaßnahmen im entsprechenden Unternehmen. Eine anerkannte ISMS-Zertifizierung kann außerdem als rechtssicherer Nachweis gegenüber Versicherern und Behörden verwendet werden.

Der Wirtschaftsrat wird sich mit seiner Bundesarbeitsgruppe Cybersicherheit in den nächsten Monaten verstärkt mit der Thematik befassen und Handlungsempfehlungen zur Umsetzung der Richtlinie veröffentlichen. Hierunter fällt etwa die Erstellung eines offiziellen Leitfadens zur Unterstützung von Unternehmen bei der Umsetzung oder die Einrichtung einer zentralen Anlaufstelle für Betriebe. Ziel muss eine Erleichterung des Informationsaustausches zwischen Unternehmen und Behörden und die Verbesserung des Zugangs zu Expertenwissen für Firmen sein. Zudem sollten KMU durch gezielte staatliche Förderprogramme bei der Umsetzung der Richtlinie unterstützt werden. Was die vorgeschriebenen Meldepflichten von Cybervorfällen durch die betroffenen Unternehmen gegenüber Behörden anbelangt, ist eine klare Regelung zur Zusammenarbeit und eine Verpflichtung der Behörden zur Vertraulichkeit und zum Schutz der Unternehmens- und Kundendaten unbedingt notwendig. (AB)


Drucken