In der Vergangenheit wurde IT-Sicherheit in vielen Unternehmen als reines „Technik-Thema“ behandelt, das man getrost an die IT-Abteilung delegieren konnte. Damit ist nun Schluss.
Mit der neuen EU-Richtlinie NIS2 (Network and Information Security Directive) rückt das Thema Cybersicherheit unmittelbar in den Fokus der Geschäftsführung – und das mit einer Schärfe, die viele Verantwortliche bisher unterschätzt haben.
Was ist NIS2 und warum gibt es das jetzt?
NIS2 ist die Antwort der Europäischen Union auf eine massiv veränderte Bedrohungslage. Die ursprüngliche Richtlinie von 2016 war zu lückenhaft und wurde in den Mitgliedstaaten zu unterschiedlich umgesetzt. Angesichts professioneller Ransomware-Banden und staatlich gesteuerter Hackerangriffe reicht es nicht mehr aus, nur die offensichtliche „kritische Infrastruktur“ wie Kraftwerke zu schützen.
Über die Energieversorgung hinaus sichert NIS2 insgesamt 18 wesentliche und wichtige Wirtschaftszweige ab – darunter das Gesundheitswesen, die Chemie- und Lebensmittelindustrie sowie digitale Dienste –, um die Widerstandsfähigkeit der gesamten europäischen Lieferkette und Wirtschaft gegenüber Cyberangriffen ganzheitlich zu stärken.
Für welche Unternehmen genau gilt NIS2 verbindlich und verpflichtend?
Das Ziel: Ein einheitliches, hohes Sicherheitsniveau für die gesamte europäische Wirtschaft, um Dominoeffekte bei Angriffen auf Lieferketten zu verhindern.
Die drei Säulen der Richtlinie
NIS2 lässt sich im Wesentlichen in drei Kernbereiche unterteilen:
- Berücksichtigung weiterer Wirtschafts-Sektoren: Bisher waren vor allem Energie- und Wasserversorger betroffen. Nun fallen auch Branchen wie Chemie, Abfallwirtschaft, Lebensmittelproduktion, Postdienste und Anbieter digitaler Dienste unter die Regulierung. Man unterscheidet zwischen „Wesentlichen“ und „Wichtigen“ Einrichtungen, wobei die Anforderungen für beide Gruppen hoch sind.
- Strenge Risikomanagement-Maßnahmen: Unternehmen müssen den Stand der Technik implementieren. Dazu gehören unter anderem:
- Kryptografie und Verschlüsselung.
- Multi-Faktor-Authentifizierung (MFA).
- Konzepte zur Business Continuity (Backup-Management und Notfallpläne).
- Sicherheit in der Lieferkette (Überprüfung der Zulieferer).
- Harte Meldepflichten: Bei Sicherheitsvorfällen ist keine Zeit für langes Zögern. Innerhalb von 24 Stunden muss eine erste Frühwarnung an die zuständigen Behörden (in Deutschland das BSI) erfolgen.
Die „Peitsche“ der Richtlinie: Die persönliche Haftung
Der wohl wichtigste Punkt für Sie als Führungskraft: NIS2 ist mit einer persönlichen Haftung der Geschäftsleitungverknüpft.
- Überwachungspflicht: Geschäftsführer können die Verantwortung für die Umsetzung nicht mehr einfach abschieben. Sie sind verpflichtet, die Maßnahmen zu billigen und deren Umsetzung zu überwachen.
- Schulungspflicht: Führungskräfte müssen spezifische Schulungen absolvieren, um die Risiken für die Netz- und Informationssicherheit beurteilen zu können.
- Bußgelder: Die Sanktionen sind drastisch. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Fazit: Cybersicherheit ist kein IT-Projekt, sondern Risikomanagement
NIS2 zwingt Unternehmen dazu, Cybersicherheit als integralen Bestandteil der Unternehmensstrategie zu begreifen. Es geht nicht mehr nur darum, ob ein Server läuft, sondern darum, die Existenz des Unternehmens in einer digital vernetzten Welt rechtlich und operativ abzusichern.
Die Frage für Sie lautet nicht mehr, ob Sie investieren müssen, sondern wie schnell Sie die geforderten Standards umsetzen können, um die Haftungsrisiken zu minimieren.
Haben Sie bereits prüfen lassen, ob Ihr Unternehmen unter die Kategorie der „Wichtigen“ oder „Wesentlichen“ Einrichtungen fällt?