IT-Matchmaker news

Cyber-Resilienz wird zum Compliance Risiko

Die EU-Richtlinie zur Cybersicherheit fordert von Unternehmen ein IT-Risikomanagement ein. Das Update der Sicherheitsarchitektur ist ein umfangreiches strategisches Projekt, das die Verantwortlichen schnellstmöglich angehen sollten.

NIS-2
Quelle: ©Bermix Studio | Unsplash.com

Ein Blick zurück ist oft lehrreich: Ende Mai 2018 ist die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft getreten – genauer gesagt: die 24-monatige Übergangsfrist endete. Zwei Jahre hatten deutsche Unternehmen Zeit, ihre Prozesse an die neue Richtlinie anzupassen. Viele wurden allerdings erst wenige Tage vor Ablauf der Frist aktiv. Die einen versuchten in Eigenregie die offensichtlichen Schwachstellen zu beheben. Andere riefen externe Spezialisten zu Hilfe – mit dem verzweifelten Wunsch, sie im Eilverfahren DSGVO-tauglich zu machen.

Man muss kein Hellseher sein, um zu wissen, dass sich die Geschichte mit der Sicherheitsrichtlinie NIS-2 wiederholen wird. Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten die zweite Auflage der Network and Information Security Directive in nationales Recht umsetzen. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz vor. Künftig sind die betroffenen Betriebe verpflichtet, das Einhalten von Sicherheitsanforderungen zu gewährleisten und alle Vorfälle zu melden. Unter die Richtlinie fallen alle Unternehmen, die als Betreiber kritischer Infrastrukturen gelten. Dazu zählen beispielsweise Organisationen aus den Bereichen Energie, Verkehr und Gesundheit, aber auch Anbieter digitaler Dienste und das produzierende Gewerbe.

Die Richtlinie unterscheidet zwischen den Kategorien ‚wichtig‘ und ‚wesentlich‘ – je nachdem wie essentiell die einzelne Organisation für die Gesellschaft, die Sicherheit des Landes und die Wirtschaft ist. Mit NIS-2 wird Cyber-Sicherheit und Cyber-Resilienz in Deutschland für sehr viele Unternehmen zur Pflicht. Direkt betroffen sind mindestens 30.000 Betriebe. Indirekt kommen all jene hinzu, die im Rahmen der Sicherung ihrer Lieferketten besondere Maßnahmen umsetzen müssen.

Behörden dürfen die IT-Sicherheit prüfen

Je nach Einstufung eines Unternehmens als Betreiber kritischer Infrastrukturen oder wichtiger, beziehungsweise wesentlicher Einrichtungen, wird es Übergangsfristen für das Umsetzen der NIS-2-Vorschriften geben. Ab Inkrafttreten des Gesetzes kann das Bundesamt für Sicherheit in der Informationstechnik allerdings von besonders relevanten Einrichtungen Nachweise über die Maßnahmen oder sogar Audits einfordern. Das Damoklesschwert NIS-2 kann daher schneller wirksam werden, als manchem lieb ist.

Fakt ist: Die Anforderungen sind eine tickende Zeitbombe für alle, die ihre IT-Sicherheit bisher vernachlässigt haben. Erstens ist NIS-2-Konformität kein Produkt, das man einfach kaufen und tags darauf implementieren kann. Vielmehr müssen sich die von der Regelung betroffenen Unternehmen darüber im Klaren sein, dass das Umsetzen der neuen EU-Richtlinie ein umfangreiches, strategisches Projekt ist, das Auswirkungen in die unterschiedlichsten Bereiche hinein hat. Bedenkt man zudem, dass viele Hardwarekomponenten lange Lieferfristen haben, ist der zeitliche Rahmen knapp bemessen, um ein adäquates Sicherheitspaket zu schnüren. Schließlich dürften die wenigsten Betriebe in der Lage sein, die geforderten Auflagen mit der eigenen IT-Mannschaft zu erfüllen. Einen Chief Information Security Officer (CISO) hat außerdem nur eine Minderheit implementiert. Auch externe Spezialisten dürften auf den letzten Metern nur schwer zu bekommen sein.

Es drohen Bußgelder bis 10 Millionen Euro

Wer jetzt auf die Idee kommt, NIS-2 auszusitzen nach dem Motto „Wo kein Kläger, da kein Richter“ – schließlich werden nur die besonders relevanten Einrichtungen auditiert –, der handelt grob fahrlässig. Zum einen ist die neue EU-Richtlinie die Antwort auf die wachsenden Bedrohungen in der digitalen Welt. Cyber-Angriffe werden immer raffinierter und Unternehmen müssen sich im eigenen Interesse darauf vorbereiten. Andererseits treffen die vorgesehenen Sanktionen bei Sicherheitsvorfällen die Firmen und Organisationen hart. Betrieben, die als ‚wesentlich‘ eingestuft werden, drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Der Referentenentwurf des Bundesinnenministeriums sieht sogar vor, dass Geschäftsführer und andere Leitungsorgane mit ihrem Privatvermögen für das Einhalten der Risikomanagementmaßnahmen haften. Ihnen droht ein Bußgeld in gleicher Höhe.

NIS-2 ist also längst zu einem Compliance-Risiko geworden, das die Verantwortlichen sehr ernst nehmen sollten. Die Uhr tickt. Jedes Unternehmen, das unter die NIS-2-Richtlinie fällt, sollte schnellstmöglich die Umsetzung angehen und sämtliche Baustellen in seiner IT-Sicherheitsarchitektur beheben. jf


Der Autor

Verwandte Artikel

Der IT-Matchmaker® Newsletter erscheint alle 14 Tage und informiert Sie über Neues und Interessantes rund um den Einsatz von Business Software.

Aktuelle Marktübersichten

IT-Matchmaker®.guide KI-Lösungen für Business Software 2026

IT-Matchmaker®.guide ERP-Lösungen 2026

IT-Matchmaker®.guide Industrie 4.0 Lösungen 2026

Abschluss der Webinaranmeldung

Ihre gewählten Webinare

Information

Vielen Dank für Ihre Webinaranmeldung.

Wir prüfen die Verfügbarkeit und senden Ihnen in Kürze eine Mail mit den Webinardaten.

Anmeldung Webinare

Sie haben die folgenden Webinare ausgewählt:

Sie wollen Sich für mehrere Webinare gleichzeitig anmelden? Dann klicken Sie auf 'Weitere Webinare anzeigen‘ und setzen für jeden Termin einen Haken.

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Anmeldung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zur Vollendung der Anmeldung für unser Webinar.

Fehler

Der Link ist nicht mehr gültig

Bitte starten Sie die Registrierung / Anmeldung erneut.

Information

Alle Downloads sind jetzt freigeschaltet.

Wir haben Ihnen soeben einen Freischaltlink geschickt, mit dem Sie in Zukunft ohne erneute Registrierung auf alle Downloads zugreifen können.

Abschluss der Registrierung
Download-Freischaltung

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Registrierung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zum Abschluss der Registrierung für unser Download-Center.