Das IT-Systemhaus Bechtle hat ein neues Whitepaper mit dem Titel „NIS2: Ihr Wegweiser zur Compliance“ veröffentlicht. Es erklärt Unternehmen, wie sie rechtzeitig NIS2-konform werden können, da die EU-Richtlinie ein höheres Sicherheitsniveau von ihnen fordert.
„NIS2? Viele Organisationen sehen sich zum ersten Mal mit diesem Kürzel konfrontiert“, schreibt Bechtle zu Beginn des kostenlos erhältlichen Whitepapers. „Dabei handelt es sich um eine EU-Richtlinie zur Verbesserung der Cybersicherheit aus dem Jahr 2016 (NIS1), deren reformierte Fassung (NIS2) nun bis Oktober 2024 in deutsches Recht überführt werden muss.“
Mehr betroffene Organisationen
Das hat auch zur Folge, dass viel mehr Organisationen als früher betroffen sind – es kommen einige neue Branchen und Bereiche dazu. Schätzungen zufolge betrifft NIS2 rund 30.000 Einrichtungen aus 18 unterschiedlichen Sektoren in Deutschland, zum Beispiel Energie, Bankwesen, Forschung, Gesundheitswesen oder Lebensmittelproduktion. Dabei gibt es eine Unterscheidung zwischen besonders wichtigen und wichtigen Einrichtungen, abhängig von Mitarbeiterstärke, Jahresumsatz und Wichtigkeit für die Bevölkerung. „Die bisherigen KRITIS-Unternehmen fallen alle in eine dritte Kategorie der sogenannten Betreiber kritischer Anlagen“, ergänzt Bechtle. „Für die Versorgung der Bevölkerung haben sie strengere Vorgaben zu erfüllen als Unternehmen der Kategorie besonders wichtiger Einrichtungen.“
Selbsteinschätzung gefragt
Betroffene Organisationen müssen von sich aus tätig werden. „Der Gesetzgeber erwartet von den wichtigen und besonders wichtigen Einrichtungen, dass diese Organisationen eine Selbsteinschätzung durchführen, ob sie der NIS2-Richtlinie unterliegen“, schreibt das IT-Systemhaus. „Wenn ja, müssen sie sich spätestens drei Monate nach Veröffentlichung der nationalen Umsetzung beim Bundesamt für Informationssicherheit (BSI) als betroffene Organisation registrieren.“ Ist sich ein Betrieb nicht sicher, ob er NIS2 unterliegt, „empfiehlt es sich, eine juristische Beratung durch einen IT-Fachanwalt oder eine IT-Fachanwältin einzuholen“, rät Bechtle.
Höheres Sicherheitsniveau
Die NIS2-Richtlinie fordert zum Beispiel, „die Security-Prozesse und -Technologien auf ein umfassendes und standardisiertes Niveau zu erhöhen“, so Bechtle. Dass das nicht im Vorbeigehen funktioniert, liegt auf der Hand. Es reicht nicht aus, IT-Produkte zu kaufen und zu installieren. „Silolösungen und die Abdeckung von Teildisziplinen sind nicht zielführend und können sogar kontraproduktiv sein. Es geht vielmehr darum, den individuellen organisatorischen und technischen Handlungsbedarf als Managementaufgabe zu verstehen, Defizite zu identifizieren und mit den jeweils nötigen Werkzeugen, Methoden und Praktiken zu beheben.“ Ist eine Organisation von NIS2 betroffen, muss sie im nächsten Schritt prüfen, was sie beispielsweise in Sachen Compliance, Informationssicherheit, Notfall- und Cybersicherheitsprozesse zu tun hat.
Auf was genau die Verantwortlichen in welchen Bereichen dabei achten müssen und wie Bechtle dabei helfen kann, erfahren Sie im weiteren Verlauf des Whitepapers.