Das GeheimNIS

Das GeheimNIS - NIS-2

NIS-2 – die neuen Cybersecurity-Pflichten

“Wer immer noch denkt: ‘Ich habe ein kleines Unternehmen, warum sollten sich Hacker für mich interessieren?’ steht vor einem ernsthaften Problem”, warnt Steffen Rüter von IT-Systempartner Lüneburg. Die Bedrohung durch virtuelle Angriffe nimmt unaufhaltsam zu und im Herbst sollten eigentlich neue Regeln im Bereich der Cybersicherheit in Kraft treten. Mindestens 30.000 Unternehmen bei uns in Deutschland werden davon betroffen sein ihr Risikomanagement zu überarbeiten und ihre Sicherheitsvorkehrungen zu verbessern. “Wer diese Anpassungen nicht vornimmt, riskiert empfindliche Geldstrafen, die leicht in die Millionen gehen können”, fügt er hinzu.

NIS steht für die Sicherheit der Netz- und Informationssysteme („The Network and Information Security (NIS) Directive“). Die Richtlinie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Weiterhin soll auch die Zusammenarbeit in diesem Bereich zwischen den Mitgliedsstaaten gefördert und das Cybersicherheitsniveau erhöht werden.

Das GeheimNIS

Mit dem NIS-2-Umsetzungsgesetz (NIS-2-UmsuCG) und dem Kritis-Dachgesetz sollen eigentlich zwei Richtlinien der Europäischen Union – die neue NIS-2 Richtlinie und die CER-Richtlinie – in nationales Recht umgesetzt werden. Diese Richtlinien zielen darauf ab, die Sicherheit von Netzwerken und Informationssystemen in der gesamten EU zu stärken, um gegen Cyberbedrohungen gemeinsam und besser gewappnet zu sein.
Ein halbes Jahr hätten die Unternehmen jetzt noch Zeit gehabt, die neuen NIS2-Richtlinie umzusetzen, welche aber noch nicht einmal final verabschiedet wurde, geschweige denn der Referentenentwurf ([Link] letzter Stand vom 22.12.2023) komplettiert wurde. Auch beim Entwurf für die neue KRITIS-Verordnung: Fehlanzeige.
Versprochen wurde beides bis März/April 2024, nun wird die Verabschiedung der NIS2-Richtlinie in Deutschland vorraussichtlich nicht mehr in 2024 erfolgen.

Egal wie, „wer auf die finale Version des NIS2UmsuCG wartet, will wohl ein paar saftige Strafen riskieren”, spottet Steffen Rüter, denn fest stehen schon die zu erwartenden Geldbußen von bis zu 10 Mio. Euro oder 2% des Jahresumsatzes. Aufgrund des Fachkräftemangels auch bei uns im IT-Dienstleistungssektor dürfte ein Kraftakt erforderlich sein, um eine ordnungsgemäße Umsetzung der Mindestverpflichtungen in der dann verbleibenden Zeit zu gewährleisten.

Kein HinderNIS

Es war schon immer grob fahrlässig, sich bei der Cybersecurity zurückzulehnen. Mit der bevorstehenden NIS2-Richtlinie ist Passivität endgültig keine Option mehr. Außerdem ist offensichtlich, dass die Kosten eines erfolgreichen Cyberangriffs in der Regel weit höher sind als die Investition in eine angemessene Prävention. Daher ist es jetzt der richtige Zeitpunkt, in einen umfassenden Schutz der Unternehmens-IT zu investieren. Für diejenigen, die ihre internen personellen und finanziellen Ressourcen nicht überbeanspruchen möchten, stehen wir als Dienstleister jederzeit zur Verfügung.

Update

Mit Stand vom 07.05.2024 gibt es einen Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz [33 MB] – Mit diesem Referentenentwurf wurde der erste Schritt im Gesetzgebungsverfahren getätigt. Das Inkrafttreten des Gesetzes wird frühestens Mitte Oktober 2024 erwartet.  

Wir werden kontinuierlich am Ball bleiben und Ihnen alle relevanten Informationen zur Verfügung stellen, sobald sie verfügbar sind.