Blog
Keine Panik wegen NIS 2
Die Uhr tickt, NIS 2 kommt näher. Was ist nun zu tun? Und müssen Sie überhaupt etwas machen? Eines ist sicher: Wer NIS 2 einfach ignoriert, auf den können empfindliche Strafen zukommen. Mit unserem schnellen Überblick wissen Sie in drei Minuten, was Sie jetzt tun müssen, um sich vorzubereiten:
1. NIS 2 betrifft mehr Unternehmen als bisher
Die EU-Richtlinien zur Netzwerk- & Informationssicherheit 2 (NIS 2) sind eine Erweiterung von NIS 1. Aber Achtung: Sie betreffen mehr Unternehmen als bisher! Denn die Kriterien wie Unternehmensgröße, Mitarbeiterzahl und Umsatz wurden angepasst. Auch Dienstleister und Zulieferer von KRITIS-Unternehmen können betroffen sein. Prüfen Sie also auf jeden Fall, ob Ihr Unternehmen meldepflichtig ist! Das geht über die Seite des Bundesamts für Sicherheit in der Informationstechnologie (BSI).
2. NIS 2 ist nicht nur eine Aufgabe der IT
NIS 2 betrifft die generelle Sicherheit von Netzwerken und Informationen – und ist damit nicht allein Aufgabe der IT. Auch die physische und personenbezogene Sicherheit müssen mitgedacht werden. Dazu dient ein Informationssicherheitsmanagementsystem (ISMS). Mehr Informationen dazu, was ein ISMS ist und worauf es dabei ankommt, lesen Sie in unserem Blogpost zum Thema.
3. Der Countdown läuft bereits
In Deutschland ist ein Gesetz zu NIS 2 im Herbst 2024 geplant – also schon in wenigen Monaten. Ab da läuft die Übergangsphase, in der sich betroffene Unternehmen aktiv selbst anmelden müssen. Das muss voraussichtlich bis Juli 2026 geschehen sein. Zur besseren Einschätzung: Das Aufsetzen eines ISMS dauert circa ein Jahr. Fangen Sie also jetzt an, dann schaffen Sie es noch, sich gut für alle Anforderungen aufzustellen!
4. Einfach ignorieren? Besser nicht!
Sich wegducken und Unwissenheit vorschützen, klappt bei NIS 2 nicht, denn das kann schnell sehr teuer werden: Kommt ein Unternehmen seinen Meldepflichten nicht nach, muss es mit hohen Geldstrafen von bis zu 2 % des weltweiten Jahresumsatzes oder 10 Millionen Euro – je nachdem, welcher Betrag höher ist – rechnen. Unternehmen müssen also selbst aktiv werden und sich bis Juli 2026 anmelden, wenn sie von NIS 2 betroffen sind. Dabei muss die Meldekette klar sein, also wer Sicherheitsvorfälle in welchem Zeitraum wohin meldet.
5. Was Sie jetzt tun können
Um sich optimal vorzubereiten, sollten Sie eine Gap-Analyse in Hinblick auf NIS 2 mit einem auf Security spezialisierten IT-Unternehmen durchführen. Auf dieser Basis lässt sich ein aktuelles ISMS für Ihr Unternehmen aufzusetzen, das dafür sorgt, dass Sie die Anforderungen der neuen Richtlinien erfüllen. Um die Analyse zügig und sinnvoll durchzuführen, können Sie im Vorfeld bereits einiges klären:
- Sind Ihre Systeme auf dem aktuellen Stand? Gibt es im Unternehmen irgendwo noch alte Systeme, die nicht mehr mit Updates unterstützt werden?
- Wurden alle Updates gemacht? Können ausstehende Updates strukturiert durchgeführt werden, ohne dass es zu Konflikten mit dem normalen Betrieb kommt?
- Wie ist das Risiko- und Notfallmanagement in Ihrem Unternehmen geregelt? Wer ist wofür zuständig – auch an Wochenenden, Feiertagen etc.? Wer spricht mit wem? Gibt es einen Plan B, sollte eine Attacke erfolgreich sein?
- Sind bereits Prozesse dokumentiert? Wenn ja: Welche und in welchen Bereichen?
- Welche Zulieferer und Dienstleister arbeiten mit Ihrem Unternehmen? Zu welchen Arbeits- und Infrastrukturbereichen haben sie Zugang?
- Wo werden sensible Daten physisch gelagert bzw. digital gespeichert? Wie sind diese Daten bisher geschützt?
- Welche Richtlinien für Zugriffsrechte gibt es bereits im Unternehmen? Wie ist ihre Umsetzung sichergestellt?
Ein ISMS lässt sich natürlich nicht über Nacht hochziehen. Über eine Gap-Analyse können Sie aber dir richtigen Prioritäten setzen. Im Hinblick auf NIS 2 ist etwa die Meldekette bei Sicherheitsvorfällen besonders wichtig. Mehr zu den Kriterien eines guten ISMS finden Sie in unserem Artikel zum Thema.
NIS 2 ist also kein Grund zur Panik. Wenn Sie aktiv an das Ganze herangehen, profitieren Sie langfristig davon, auch in Bezug auf Audits und Zertifizierungen. Mit einem klaren Blick auf die Prozesse in Ihrem Unternehmen können Sie gezielt in die richtigen Dinge investieren und Zeiträume zur Einführung neuer Technologien besser planen. Unsere Security-Expert*innen helfen Ihnen gern, sich fit für NIS 2 zu machen. Melden Sie sich einfach bei uns!