NIS2-Richtlinie: Was kommt und wie Sie mit ISO 27001 optimal vorbereitet sind

Wie eine kürzlich durchgeführte Umfrage unter mehr als 400 unserer Interessenten zeigt, haben etwa 20 % von ihnen noch nie von NIS2 gehört. In Anbetracht der enormen Auswirkungen, die die Richtlinie für viele Unternehmen in der EU hat, ist es höchste Zeit, das zu ändern!

DataGuard hat sich mit dem Handelsblatt zusammengetan, um mit Dr. Marnix Dekker, Leiter des Sektors NIS der ENISA (Agentur der Europäischen Union für Cybersicherheit), unserem DataGuard Co-Founder Kivanc Semen und Dr. Frank Schemmel, Senior Director International Privacy & Compliance bei DataGuard, über die neue Direktive zu sprechen.

Gemeinsam erläutern sie, warum NIS2 eingeführt wurde, was sich im Vergleich zu NIS1 geändert hat und wie Sie Ihr Unternehmen am besten auf die kommenden Anforderungen vorbereiten können.

Eine Zusammenfassung des Webinars finden Sie nachfolgend.

Warum braucht es überhaupt eine NIS2-Richtlinie?

• Prognosen zufolge wird die Cyberkriminalität im Jahr 2023 weltweit 8 Billionen USD kosten.
• Die Menge der bei Cyberangriffen gestohlenen Daten betrug im Jahr 2021 über 260 Terabyte.
• Die durchschnittlichen Kosten eines Datenlecks betragen weltweit 4,45 Millionen USD.

Wenn man sich diese Zahlen ansieht, wird klar: Die jüngsten Bemühungen der EU zur Stärkung der Cybersicherheit sind nicht nur von grundlegender Bedeutung, sondern auch im besten Interesse von Unternehmen, die ihre Vermögenswerte und Produktivität schützen müssen.

"Der zunehmende Einsatz von Technologie in unserem täglichen Leben hat uns anfälliger für Cyberkriminelle gemacht, die ständig neue Angriffsmethoden entwickeln", so Schemmel.

"Ransomware wird als Hauptbedrohung eingestuft, gefolgt von Malware und Social Engineering. Deshalb hat der europäische Gesetzgeber Maßnahmen ergriffen, um das Niveau der Cybersicherheit und Cyberresilienz in Europa zu erhöhen", fügte er hinzu.

"Bei der NIS-Richtlinie geht es darum, Angreifer fernzuhalten und auf Sicherheitsvorfälle vorbereitet zu sein", sagte Marnix Dekker, "es geht nicht nur darum, sicherzustellen, dass die Gesellschaft weiterläuft und die Wirtschaft nicht beeinträchtigt wird."

"Es geht vielmehr um eine Partnerschaft zwischen den nationalen Behörden und den Eigentümern der Infrastruktur als um die Einhaltung von Vorschriften." 

Von NIS1 zu NIS2 - die wichtigsten Änderungen

Die NIS2-Richtlinie setzt den Fokus der Resilienz aus NIS1 fort.

Sie versucht, das Vorgehen europaweit zu harmonisieren und die Zusammenarbeit zwischen den EU-Mitgliedsstaaten zu verbessern. Bei NIS1 führten die Länder teils sehr unterschiedliche Maßnahmen und Anwendungsbereiche ein, was für großes Ungleichgewicht in der Umsetzung sorgte.

In NIS2 gibt es nun genauere Rahmenvorgaben dazu, welche Sicherheitsmaßnahmen ergriffen werden müssen und wie das Risikomanagement umgesetzt werden soll.

"Es ist wichtig zu bedenken, dass die nationale Behörde nicht auf dem Stuhl des CISO sitzt", so Dekker. "Es ist nicht die Regierung, die entscheidet, welche Sicherheitsmaßnahmen genau umgesetzt werden müssen, es basiert auf dem Risiko".

Jedoch erhalten die nationalen Aufsichtsbehörden auch mehr Spielraum für Sanktionen, um die Verbindlichkeit zu erhöhen. Allen voran kann die Führungsebene nun persönlich haftbar gemacht werden, wenn die nötigen Maßnahmen nicht umgesetzt werden.

Geldbußen können bis zu 10 Mio. € oder 2 % des Gesamtumsatzes betragen.

Außerdem wurde die Zahl der betroffenen Wirtschaftssektoren drastisch erhöht: "Es gibt doppelt so viele Sektoren und mehr Unternehmen innerhalb jedes Sektors", so Dekker.

Umso wichtiger ist es also jetzt für Unternehmen, herauszufinden, ob NIS2 auch für sie gilt.

Wer ist von NIS2 betroffen? - Die Sektoren erklärt

Die Sektoren werden in zwei Gruppen unterteilt - Essential Entities und Important Entities. Essential Entities unterliegen verstärkter Überwachung und Sanktionen. Sie waren bereits Teil der NIS1-Richtlinie.

Bei den neu hinzugekommenen Important Entities handelt es sich um Post- und Kurierdienste, Abfallwirtschaft, Chemikalien und digitale Dienste.

Im Allgemeinen gilt die NIS2-Richtlinie nur für Unternehmen mit mehr als 50 Beschäftigten und einem Jahresumsatz von mindestens 10 Mio. €. Kritische Infrastrukturen, zu denen in der NIS2 auch digitale Infrastrukturen gehören, fallen unabhängig von ihrer Größe unter die Regelungen.

Wie man sich auf die NIS2-Richtlinie vorbereitet

Die EU-Mitgliedstaaten haben bis zum 18. Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht zu überführen. Doch betroffene Unternehmen müssen jetzt handeln.

Kivanc Semen erklärt, warum:

"Die Nachfrage nach Experten auf dem Markt ist hoch. Aus eigener Erfahrung bei der Mitarbeitersuche kann ich sagen: es ist fast unmöglich, NIS2 rechtzeitig zu implementieren.

Aus diesem Grund ist es so wichtig, frühzeitig anzufangen, die wenigen Ressourcen auf dem Markt zu nutzen und sich für einen Anbieter zu entscheiden, der technologische Lösungen zusätzlich zur fachlichen Expertise bieten kann."

Der DataGuard-Ansatz, der Sie mit fachkundiger Begleitung und digitalisierten Prozessen zur ISO 27001-Zertifizierung führt, wurde von Marnix Dekker für die NIS2-Vorbereitung befürwortet:

"Mit ISO 27001 sollte alles in Ordnung sein."

Das liegt daran, dass es erhebliche Überschneidungen zwischen den Anforderungen von ISO 27001 und NIS2 gibt:

Nächste Schritte

Also, wo anfangen? Kivanc Semen weist darauf hin, dass "Unternehmen, die sich noch nie mit NIS2 befasst haben, eine Budgeterhöhung von 22% benötigen werden."

Wenn Ihr Unternehmen von NIS2 betroffen ist, bedeutet dies, dass sich die ersten Schritte auf die Sensibilisierung des Managements konzentrieren, um die notwendige Budgetplanung zu ermöglichen.

Weitere Informationen finden Sie in unserem Schritt-für-Schritt Leitfaden zur NIS2-Richtlinie oder sehen Sie sich hier das vollständige Webinar.

Möchten Sie mehr darüber erfahren, wie ISO 27001 Sie bei der Umsetzung der neuen NIS2-Verordnung unterstützen kann? Vereinbaren Sie mit uns einen Termin.