Wen betrifft die NIS2-Regelung?
Am 17. Oktober wird die bisherige Richtlinie zu Netzwerk- und Informationssicherheit von der NIS2 abgelöst. Diese unterscheidet nun zwischen „wesentliche Einrichtungen“ und "wichtigen Einrichtungen". Unter "wesentlichen Einrichtungen" fallen Unternehmen mit kritischer Infrastruktur, die bereits unter die NIS1-Richtlinie gefallen sind. "Wichtige Einrichtungen" sind Unternehmen, die mit NIS1-deklarierten Unternehmen zusammenarbeiten. Darunter fallen auch Forschungsinstitute, chemische Industrie, Abfallbeseitigungsbetriebe, Lebensmittelhersteller, Pharmaindustrie, das Trink- und Abwassergewerbe, die gesamte Supply Chain u. v. m. Die Unternehmensgröße spielt hier keine Rolle. Somit können auch KMU der NIS2-Regelung unterliegen.
Beraten statt strafen!
Im Gegensatz zur NIS1 liegt es bei der NIS2 nun in der Verantwortung der Unternehmen, sich selbst zu deklarieren und zu registrieren. Laut aktuellem Entwurf hat ein deklariertes Unternehmen drei Monate Zeit, sich als NIS2-Unternehmen zu registrieren. Was passiert, wenn man dem nicht nachkommt? Die EU setzt hier auf empfindliche Strafen in Millionenhöhe, wobei der Jahresumsatz als Bemessungsgrundlage dient, ähnlich wie bei der EU-DSGVO. Entscheidungsträger/innen wie der Vorstand und die Geschäftsführung, haften persönlich. Es wäre jedoch sinnvoller, diese Beträge in entsprechende Sicherheitsvorkehrungen zu investieren. Daher gilt: beraten statt strafen! Erste Verstöße werden mit verminderten Strafen geahndet.
Was ist zu tun?
Es bedarf Handlungen der Verantwortlichen auf Vorstands- und Geschäftsführungsebene. Die Bedrohungslage muss bewusst analysiert werden, und ein Notfallplan inklusive Krisenmanagement ist zu entwickeln. Dieser erfordert diverse Ressourcen wie Mitarbeiter/innen, Software, Sicherheitslösungen und Unterstützung durch Partner/innen. Es sind Maßnahmen auf organisatorischer, operativer und technischer Ebene zu ergreifen, die letztendlich auch die Wettbewerbsfähigkeit des Unternehmens steigern.
Worst Case – Datenangriff – Wie schnell muss man reagieren?
Eine Meldung muss unverzüglich erstattet werden, konkret innerhalb von 24 Stunden nach Bekanntwerden des Sicherheitsvorfalls. Nach weiteren 72 Stunden ist eine Statusmeldung erforderlich. Einen Monat später soll ein Abschlussbericht vorliegen, der realistischerweise eher ein Zwischenbericht sein wird.
Krisenmanagement spielt hierbei eine entscheidende Rolle. Was im Brandschutz über Jahrhunderte mit Fluchtwegen, Notfallübungen und Prüfungen perfektioniert wurde, muss sich nun auch im Bereich der IT-Sicherheit etablieren.
Thema muss zur Chefsache werden!
NIS2 erfordert ein ganzheitliches, systemisches Herangehen. Ein Security-Angriff kann jede Abteilung betreffen: vom Einkauf und der Personalabteilung über die zur Forschungsabteilung bis hin zu den Fertigungsanlagen eines Unternehmens. Daher ist es wichtig, dass die verantwortlichen (IT-)Systeme Zugriffe auf alle relevanten Abteilungen erhalten.
Man darf die NIS2 nicht als Bürde sehen, die den Unternehmen auferlegt wird. Vielmehr ist es eine Chance, Prozesse im Unternehmen zu analysieren und über Effizienz und Effektivität nachzudenken. „Es eröffnet Chancen, Maßnahmen im operativen, im organisatorischen, aber auch im technischen Bereich entsprechend nachzuziehen und damit die Wettbewerbsfähigkeit zu erhöhen“, so Andreas Köberl.
Wer hat das Know-how? Wer sind meine Partner?
Behörden, Beratungsunternehmen und Hersteller – alle suchen nach technischen Partnern für die operative Umsetzung. Die Einführung eines NIS2-konformen Systems kann einen Zeithorizont von etwa drei Jahren in Anspruch nehmen, da dies erfahrungsgemäß eine Aufgabe ist, die neben dem Tagesgeschäft bewältigt werden muss. Eines steht jedoch fest: Je früher man beginnt, desto größer ist der Vorsprung!
Holen Sie sich Ihr Know-how in den Kursen der TÜV AUSTRIA Akademie
- Schutz kritischer Infrastruktur nach der NIS-Gesetzgebung
- Einführung in die technische IT-Sicherheit
- Integrierte Safety & OT Security bei Maschinen, Anlagen & Produkte
Holen Sie sich den richtigen Partner für Planung und Umsetzung an Ihre Seite – TÜV TRUST IT - Ihr Partner für wirksame Informationssicherheit