Artikel erschienen am 19.06.2023
Finanzen Steuern Recht | Hannover 2023
E-Paper

Resilienz verbessern – Informationssicherheit umsetzen

So erfüllen Sie die Vorgaben der NIS-2-Richtlinie

Von Thomas Althammer, Hannover

Ist man gegenüber derartigen physischen Angriffen oft machtlos, kann man sich jedoch vor Attacken in der virtuellen Welt schützen – denn auch diese verursachen sehr realen Schaden.

Netzwerk- und Informationssicherheit erhöhen

Um sich vor Cyber-Kriminalität zu schützen sollen in der EU höhere Cyber-Security-Mindeststandards etabliert werden; zu diesem Zweck ist am 16.01.2023 die EU-NIS-2-Richtlinie (2016/1148) in Kraft getreten. Die Mitgliedstaaten müssen die Richtlinie nun bis zum 17.10.2024 in nationales Recht umsetzen.

Wer ist betroffen?

Ein Kernpunkt der neuen Richtlinie ist die Erweiterung der KRITIS-Sektoren. Lag es bisher im Ermessen der Mitgliedstaaten, die Kriterien festzulegen, welche Unternehmen zur kritischen Infrastruktur gehören, werden künftig allgemeine Schwellenwerte gelten. Konkret sind betroffen:

  •  Mittlere Unternehmen mit
    - 50 bis 250 Beschäftigten,
    - 10-50 Mio. € Umsatz und
    - bis zu 43 Mio. € Bilanzsumme
  •  Große Unternehmen mit
    - mehr als 250 Beschäftigten,
    - über 50 Mio. € Umsatz und
    - mehr als 43 Mio. € Bilanzsumme.

Gleichzeitig wird die Anzahl der Sektoren auf 18 vergrößert – dabei wird unterschieden zwischen elf wesentlichen („essential“) und sieben wichtigen („important“) Sektoren, an die verschieden hohe Anforderungen bzgl. der umzusetzenden Maßnahmen gestellt werden.
Erstmals werden Mindestanforderungen an Cyber-Sicherheit und Risiko-Management bei den Betreibern gestellt, u. a. zu Risikoanalyse und Informationssicherheit, Sicherheit der Lieferketten (Supply Chain), aber auch Schulungen im Bereich der Cyber-Sicherheit. Überwacht wird die Einhaltung der NIS-2 vom Bundesamt für Sicherheit in der Informationstechnik. Bei Nichterfüllung der Vorgaben drohen empfindliche Bußgelder.

Was ist zu tun?

Aufgrund der aktuellen Cyber-Sicherheitslage wird allen Unternehmen empfohlen, sich kritisch mit dem eigenen Reifegrad in Sachen Informationssicherheit auseinanderzusetzen. Zu den wirksamsten Schritten gehören:
- Informationssicherheit zentral verankern und
Ressourcen bereitstellen
- Sensibilisierung und Schulung von Mitarbei-  tenden, z. B. mit Security-Awareness-Kampagnen
- Systeme und Komponenten auf dem neues -
 ten Stand halten
- durchgängiges Identitätsmanagement  mit  Mehrfaktor-Authentifizierung
- Absicherung von Netzwerk, Geräten und
  Applikationen
- Implementierung, Kontrolle und Verbesserung
von Backup- und Notfallkonzepten.

Externe Begleitung und Überprüfung nach dem 4-Augen-Prinizp ist eine wirksame Maßnahme, um einen wirksamen Schutz vor Cyber-Angriffen zu verankern.

Ähnliche Artikel

Finanzen Steuern Recht

China – Abhängigkeit der Industrie in Deutschland / Baden-Württemberg

Die aktuelle Weltpolitik ist geprägt von Krisen, Konfusion und Verunsicherung – dies verlangt eine Anpassung der Wirtschaft und der Sicherheitsmaßnahmen.

Stuttgart 2024 | Christian Kunz, Stuttgart | Theo-Philo Rempel, Stuttgart

Finanzen Steuern Recht

Eigenverwaltung als Sanierungsinstrument

Die Eigenverwaltung ist keine eigene Verfahrensart, sondern eine besondere Form des Insolvenzverfahrens.

Stuttgart 2023 | Dr. iur. Christoph Morgen, Hamburg | Dr. iur. Jan Markus Planther, Frankfurt
Drucken