Resilienz verbessern – Informationssicherheit umsetzen
So erfüllen Sie die Vorgaben der NIS-2-Richtlinie
Von Thomas Althammer, HannoverNetzwerk- und Informationssicherheit erhöhen
Um sich vor Cyber-Kriminalität zu schützen sollen in der EU höhere Cyber-Security-Mindeststandards etabliert werden; zu diesem Zweck ist am 16.01.2023 die EU-NIS-2-Richtlinie (2016/1148) in Kraft getreten. Die Mitgliedstaaten müssen die Richtlinie nun bis zum 17.10.2024 in nationales Recht umsetzen.
Wer ist betroffen?
Ein Kernpunkt der neuen Richtlinie ist die Erweiterung der KRITIS-Sektoren. Lag es bisher im Ermessen der Mitgliedstaaten, die Kriterien festzulegen, welche Unternehmen zur kritischen Infrastruktur gehören, werden künftig allgemeine Schwellenwerte gelten. Konkret sind betroffen:
- Mittlere Unternehmen mit
- 50 bis 250 Beschäftigten,
- 10-50 Mio. € Umsatz und
- bis zu 43 Mio. € Bilanzsumme - Große Unternehmen mit
- mehr als 250 Beschäftigten,
- über 50 Mio. € Umsatz und
- mehr als 43 Mio. € Bilanzsumme.
Gleichzeitig wird die Anzahl der Sektoren auf 18 vergrößert – dabei wird unterschieden zwischen elf wesentlichen („essential“) und sieben wichtigen („important“) Sektoren, an die verschieden hohe Anforderungen bzgl. der umzusetzenden Maßnahmen gestellt werden.
Erstmals werden Mindestanforderungen an Cyber-Sicherheit und Risiko-Management bei den Betreibern gestellt, u. a. zu Risikoanalyse und Informationssicherheit, Sicherheit der Lieferketten (Supply Chain), aber auch Schulungen im Bereich der Cyber-Sicherheit. Überwacht wird die Einhaltung der NIS-2 vom Bundesamt für Sicherheit in der Informationstechnik. Bei Nichterfüllung der Vorgaben drohen empfindliche Bußgelder.
Was ist zu tun?
Aufgrund der aktuellen Cyber-Sicherheitslage wird allen Unternehmen empfohlen, sich kritisch mit dem eigenen Reifegrad in Sachen Informationssicherheit auseinanderzusetzen. Zu den wirksamsten Schritten gehören:
- Informationssicherheit zentral verankern und
Ressourcen bereitstellen
- Sensibilisierung und Schulung von Mitarbei- tenden, z. B. mit Security-Awareness-Kampagnen
- Systeme und Komponenten auf dem neues -
ten Stand halten
- durchgängiges Identitätsmanagement mit Mehrfaktor-Authentifizierung
- Absicherung von Netzwerk, Geräten und
Applikationen
- Implementierung, Kontrolle und Verbesserung
von Backup- und Notfallkonzepten.
Externe Begleitung und Überprüfung nach dem 4-Augen-Prinizp ist eine wirksame Maßnahme, um einen wirksamen Schutz vor Cyber-Angriffen zu verankern.
- Schlagwörter
- Resilienz|
- Informationssicherheit|
- NIS-2-Richtlinie|
- Finanzen|
- Steuern|
- Recht|
- Mindmap
- Finanzen Steuern Recht
- Hannover 2023