Strenge Sicherheitsanforderungen & Meldepflichten


NIS-2 fordert verschärfte Maßnahmen gegen Cybercrime
Neue europäische NIS-2-Richtlinie gilt seit Oktober 2024


Cyberangriffe sind zur täglichen Realität geworden. Jüngste Vorfälle, wie russische und chinesische Cyberattacken oder softwarebedingte Ausfälle, verdeutlichen die Brisanz der Lage. Unternehmen der kritischen Infrastruktur (KRITIS) – darunter Energie- und Wasserversorgung, Krankenhäuser, Banken und Verkehrsbetriebe – sind von essenzieller Bedeutung für das Leben und die Wirtschaft. Daher sind sie besonders gefährdete Angriffsziele.

Die NIS-Richtlinie (Network and Information Security) der Europäischen Union definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU. Die ursprüngliche Version aus dem Jahr 2016 wurde durch die NIS-2-Richtlinie ersetzt.

"Mit der Verschärfung erhöht sich nun die Anzahl der betroffenen Unternehmen und Organisationen deutlich, sowohl in Bezug auf Branchen als auch auf Größen", erklärt Julia Martin, IT-Auditor der Consilia Wirtschaftsprüfungs- und Steuerberatungsgesellschaft, Mitglied im globalen HLB-Netzwerk. "Die Richtlinie legt strenge Sicherheitsanforderungen und Meldepflichten für Zwischenfälle fest und fordert die Mitgliedstaaten auf, nationale Strategien und Behörden zur Steigerung der Cybersicherheit und digitalen Resilienz zu etablieren."

Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die NIS-2-Richtlinie in nationales Recht überführen. In Deutschland geschieht dies durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, das am 24. Juli 2024 vom Bundeskabinett verabschiedet wurde. Das Gesetz tritt nach abschließender Behandlung und Beschlussfassung im Bundestag in Kraft. Eine Übergangsfrist ist nicht vorgesehen. Unternehmen müssen die neuen Sicherheitsanforderungen ab dem Inkrafttreten des Gesetzes vollständig erfüllen, um ihre IT-Systeme besser gegen Cyberangriffe zu schützen. Dazu gehören regelmäßigen Sicherheitsüberprüfungen und der Einsatz moderner Technologien. Sicherheitsvorfälle müssen zudem umgehend den Behörden gemeldet werden. "Die Maßnahmen sind also sehr zeitnah umzusetzen, zumal drakonische Geldstrafen bis zu 10 Millionen Euro drohen", warnt Julia Martin.

Jedes Unternehmen sollte jetzt umgehend prüfen, ob es bezüglich Größe und Branche von der NIS-2-Richtlinie betroffen ist, rät die Expertin. Ein mittelständisches Unternehmen kann bereits darunterfallen, wenn es vereinzelte Kunden aus den relevanten Sektoren hat. Es sei ratsam, fachkundige Unterstützung, zum Beispiel durch den Steuerberater oder Wirtschaftsprüfer, hinzuziehen. Auch der bestehende IT-Dienstleister sollte angesprochen werden. Zudem müssten geeignete Personen festgelegt werden, die die Vorgaben operativ umsetzen.

Julia Martin stellt abschließend fest: "Aufgrund der sich stetig weiter entwickelnden Cyberbedrohungen müssen Unternehmen flexibel reagieren, ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren sowie in die Ausbildung und Sensibilisierung der Mitarbeiter investieren." Gleichzeitig sei zu erwarten, dass die EU die Rahmenbedingungen weiterentwickeln wird, um auf neue Sicherheitsbedrohungen zu reagieren.

Auch wenn sie zusätzliche Herausforderungen bringen, sollten die Maßnahmen nicht ausschließlich als Belastung angesehen werden, stellt Martin klar: "Denn die Verstärkung der Cybersicherheit erhöht nicht nur die Resilienz des Unternehmens, sondern auch das Vertrauen von Kunden, Geschäftspartnern und Stakeholdern."

Zahlen und Fakten
Eine Analyse des Digitalverbands Bitkom vom August 2024 ergab: 90 Prozent der deutschen Unternehmen wurden bereits Opfer einer Cyberattacke. Fast 267 Milliarden Euro Schaden verursachten Angriffe auf Unternehmen in den vergangenen zwölf Monaten. 45 Prozent der Befragten gaben an, mindestens einen Angriff China zuordnen zu können, gefolgt von Russland mit 39 Prozent.

Übersicht der betroffenen Unternehmen
Die NIS-2-Richtlinie gilt nicht nur für Unternehmen und öffentliche Einrichtungen der kritischen Infrastruktur (KRITIS), sondern auch für zahlreiche mittlere und große Unternehmen und Organisationen in kritischen und hochkritischen Sektoren. Diese müssen mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz beziehungsweise eine Jahresbilanzsumme von mindestens 10 Millionen Euro aufweisen. Hinzu kommen spezielle IT-Einrichtungen wie beispielsweise qualifizierte Vertrauensdienstanbieter. Der Anwenderkreis wird in Deutschland somit stark ausgeweitet. Bundesweit sind geschätzt 30.000 Unternehmen von der NIS-2-Richtlinie betroffen. (HLB Deutschland: ra)

eingetragen: 30.11.24
Newsletterlauf: 22.01.25

HLB Deutschland: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Security-Tipps und Background-Wissen

  • Ultimative Checkliste für resiliente Netzwerke

    Downtimes und langsame Verbindungen sind für viele Unternehmen die Endgegner. Eine hohe Netzwerkresilienz ist das beste Hilfsmittel im Kampf gegen sie. Opengear hat daher eine Checkliste erstellt, die sich Administratoren über den Laptop hängen sollten.

  • Nordkoreanische Hackern zielen auf HR-Prozesse

    Im Sommer des Jahres 2024 gelang es einem nordkoreanischen Hacker, unerkannt ein Bewerbungsverfahren bei KnowBe4 zu durchlaufen. Dank KnowBe4s gut durchdachter Sicherheitsarchitektur war der Erfolg seines Angriffs jedoch nur von kurzer Dauer.

  • ERP-Sicherheit durch erhöhte Security Awareness

    Obwohl SAP-Anwendungslandschaften und ERP-Systeme das Herzstück vieler IT-Umgebungen bilden, sind sie oft ein blinder Fleck der IT-Sicherheit. Gleichzeitig sind die Ransomware-Vorfälle bei SAP-Systemen seit 2021 um 400 Prozent angestiegen. Da ist es umso wichtiger, Mitarbeitende besonders für mögliche Risiken und Gefahren zu sensibilisieren.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen