Schon aus eigenem Interesse sollten Unternehmen vermehrt in die Cybersicherheit investieren. Angriffe durch Hacker können schwerwiegende finanzielle Folgen haben und das Image nachhaltig beschädigen. Darüber hinaus gibt es eine Reihe von Unternehmen, die verpflichtet sind, schützende IT-Maßnahmen zu ergreifen.
Die NIS-Richtlinie gilt innerhalb der EU
Die NIS-2-Richtlinie der Europäischen Union soll gewährleisten, dass wichtige Infrastrukturen innerhalb der EU-Mitgliedstaaten einheitlich und vor allem effektiv vor Cyberangriffen geschützt sind. Sie trat am 16. Januar 2023 in Kraft und ersetzt die NIS-Richtlinie aus dem Jahr 2016. Im Gegensatz zu ihrem Vorgänger schreibt sie weitere Maßnahmen sowie strengere Meldepflichten vor.
Welche Unternehmen sind betroffen?
Die NIS-2-Richtlinie muss nicht von allen Unternehmen befolgt werden, sondern gilt vielmehr für diejenigen Institutionen, die der kritischen Infrastruktur zuzuordnen sind. Dabei wird noch einmal in wichtige Einrichtungen und in besonders wichtige Einrichtungen unterschieden. Zu den kritischen Anlagen gehören zum Beispiel
- Transport-,
- Verkehrs- und
- Finanzunternehmen, aber auch das
- Gesundheitswesen und die
- Trinkwasserversorgung.
Ob ein Unternehmen als besonders wichtig oder als wichtig eingestuft wird, hängt von der Anzahl der Mitarbeiter oder vom Umsatz ab. So gelten Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von mehr als 50 Millionen als besonders wichtig.
Wie können Unternehmen die NIS-2 einhalten?
Um die NIS-2 umsetzen zu können, müssen laut Torutec eine Reihe von Maßnahmen ergriffen werden:
Unter anderem sind Unternehmen verpflichtet, verschiedene Risikomanagementmaßnahmen zu ergreifen und sich technisch ausreichend vor Angreifern zu schützen. Gegebenenfalls ist es sinnvoll, sich dafür an einen erfahrenen IT-Dienstleister zu wenden. Er kann dabei helfen, die Gefährdungslage zu analysieren und passende Tools zur Abwendung von Angriffen einführen.
Darüber hinaus gehen mit der NIS-2-Richtlinie Meldepflichten einher. Wenn es zu einem IT-Sicherheitsvorfall gekommen ist, müssen die betroffenen Unternehmen diesen zeitnah melden. Dafür haben sie 24 Stunden Zeit. Nach 72 Stunden sollte dann ein detaillierter Bericht folgen.