Neue Security-Richtlinie der EU
Wie man sich auf NIS 2 vorbereitet
Gesundheit, Bildung, Behörden – Cyberkriminelle gehen verstärkt neue Bereiche des öffentlichen Lebens an. Ohne Zweifel ist es an der Zeit, die Cybersicherheit europaweit stärker zu regulieren. Die neue EU-Richtlinie NIS 2 (Network and Information Security 2) tut dies für die wesentlichen und wichtigen Bereiche der öffentlichen Versorgung. Unternehmen sollten sich jetzt überlegen, mit wie sie ihre IT darauf vorbereiten wollen.
NIS 2 will Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau festlegen. Die Gesetzgeber in den einzelnen Ländern müssen bis 17. Oktober 2024 die im Dezember 2022 veröffentlichten Richtlinien in nationales Recht umsetzen. Dessen Inhalte bleiben unklar. Auch die DSGVO (Datenschutz-Grundverordnung der EU) schrieb kaum konkrete technische Maßnahmen vor, als es um das Umsetzen europäischer Vorgaben zum Datenschutz ging.
Sicher ist aktuell nur eines: Die Zahl der betroffenen Betriebe wird steigen, ebenso die Anforderungen an die IT-Sicherheit. Höhere Strafen an Betriebe werden möglicherweise zwei Konsequenzen haben: IT-Versicherungen legen die Messlatte noch höher, um eine Police auszustellen. Zudem werden sie anstreben, bestimmte Schäden ganz vom Schutz herauszunehmen. Hacker können versuchen, maximale Lösegelder zu fordern, solange diese noch unter der angedrohten höheren Strafe bleiben. MSSPs (Managed Security Service Provider) und die Fachdistribution der IT sollten sich auf eine zunehmende Nachfrage nach Diensten und beraterischer Kompetenz einstellen. Zwei Fragen stellen sich vor allem:
Frage 1: Sind die neuen Regeln für mein Unternehmen relevant?
Viele Verantwortliche denken, dass ihr Betrieb keine wesentliche oder wichtige Rolle für die öffentliche Versorgung im Sinne von NIS 2 spielt. Von geschätzt 3,4 Millionen Unternehmen in Deutschland (Stand 2021) ist NIS für rund 3,3 Millionen aufgrund ihrer geringen Größe (unter 50 Beschäftigte) nicht relevant. Es bleiben aber mindestens rund 90.000 andere Betriebe mit mehr als 50 Beschäftigten, die aufgrund ihrer Größe und bei entsprechendem Umsatz in Frage kommen.
Nach Ansicht des Gründers und Vorstands von Hisolutions, Timo Kob, wissen „rund 80 Prozent der Unternehmen nicht, dass sie von NIS 2 betroffen sind.“ Seinem Urteil nach dürften die Vorgaben für zusätzlich 40.000 deutsche Unternehmen gelten. Im Umfeld der allein von der Betriebsgröße relevanten Unternehmen spielt NIS 2 also schon bald eine Rolle – und wenn man der oben durchgeführten Kalkulation folgt, für fast jede zweite Organisation eine neue.
Zudem kommen die künftig Betroffenen aus den verschiedensten Branchen. NIS 2 unterscheidet zwischen wesentlichen und wichtigen Bereichen. Schon zu den wesentlichen Sektoren zählen nicht nur Versorgungsbetriebe im engeren Kritis-Sinn (kritische Infrastruktur). In der IT sind Betreiber digitaler Infrastrukturen und Managed Service Provider bereits als essenziell aufgeführt. Noch weiter geht die Liste der wichtigen Betriebe: In der IT sind es die Hersteller von Elektronik und Computern, digitale Marktplätze, soziale Netzwerke und Suchmaschinen, Forschungsinstitute, weite Teile der Produktion, Elektronik, Lebensmittel, Chemie, Fahrzeugbau, Medizinprodukte, Maschinenbau und Postdienste.
MSSPs werden sich also auf mehr Anfragen dieser Unternehmen einstellen müssen. Das erschließt ihnen neue Chancen für das Service-Geschäft. Aber sie benötigen dafür eine entsprechend kompetente Belegschaft oder externe Hilfe.
- Wie man sich auf NIS 2 vorbereitet
- NIS-2-Vorgaben umsetzen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
