Die Einführung von NIS2 im Herbst 2024 wird viele Geschäftsführer zum schwitzen bringen. Nicht nur, dass Sie nun persönlich für ein zu niedriges IT-Sicherheitsniveau haften werden, Sie müssen darüber hinaus auch noch die IT Sicherheit auf gleichem Niveau bei Ihren Zulieferern erzwingen. D
Wen betrifft die NIS2-Richtlinie)
NIS2 steht für die zweite Fassung der Richtlinie über die Sicherheit von Netz- und Informationssystemen. Sie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Die aktualisierte Richtlinie erweitert den Geltungsbereich auf weitere Sektoren und Typen von Unternehmen und führt strengere Sicherheitsanforderungen sowie Meldepflichten bei Sicherheitsvorfällen ein. In einem anderen Artikel haben wir bereits darauf hingewiesen, dass nun deutlich mehr Unternehmen unter den Geltungsbereich von NIS2 fallen werden, als vorher unter der relativ kompakt wirksamen KRITIS Verordnung.
Haftung von Geschäftsführern
Eine der herausragenden Neuerungen ist die potenzielle Haftung von Geschäftsführern, wenn in ihren Unternehmen ein niedriges IT-Sicherheitsniveau festgestellt wird. Dies bedeutet, dass Geschäftsführer persönlich zur Verantwortung gezogen werden können, wenn sie nicht die notwendigen Maßnahmen ergreifen, um ihre Netz- und Informationssysteme ausreichend zu schützen. Die Haftung von Geschäftsführern unterstreicht die Bedeutung, die der Gesetzgeber der IT-Sicherheit beimisst, und soll ein zusätzlicher Anreiz sein, in diesem Bereich proaktiv zu handeln.
NIS2 Erweiterung der Verantwortung auf Zulieferer in der Lieferkette
Ein weiterer wichtiger Aspekt der NIS2-Richtlinie ist die Ausweitung der Sicherheitsanforderungen auf Zulieferer in der Lieferkette. Dies bedeutet, dass nicht nur die Hauptunternehmen, sondern auch deren Zulieferer ein angemessenes IT-Sicherheitsniveau gewährleisten müssen. Diese Erweiterung trägt der Tatsache Rechnung, dass Sicherheitsvorfälle oft über Schwachstellen in der Lieferkette initiiert werden und unterstreicht die Notwendigkeit einer ganzheitlichen Sicherheitsbetrachtung, die über die eigenen Unternehmensgrenzen hinausgeht. Unternehmen sind daher gefordert, ihre Lieferanten sorgfältig auszuwählen und von diesen die Einhaltung der gleichen hohen Sicherheitsstandards zu verlangen, die sie auch an sich selbst stellen. Dies kann durch die Integration von Sicherheitsklauseln in Verträge, regelmäßige Sicherheitsaudits bei Zulieferern und die Einrichtung gemeinsamer Sicherheitspraktiken erreicht werden. Die Einbeziehung der Lieferkette in die Sicherheitsstrategie stärkt nicht nur die Resilienz des eigenen Unternehmens gegenüber Cyberangriffen, sondern fördert auch ein branchenweites Bewusstsein und Engagement für IT-Sicherheit.
Was bedeutet das für Unternehmen?
Unternehmen müssen ihre IT-Sicherheitsstrategien überdenken und sicherstellen, dass sie den Anforderungen von NIS2 entsprechen. Dies umfasst eine gründliche Risikoanalyse, die Implementierung angemessener Sicherheitsmaßnahmen und die Etablierung eines effektiven Incident-Response-Managements. Geschäftsführer sollten aktiv in diesen Prozess eingebunden sein und sich regelmäßig über den Stand der IT-Sicherheit in ihrem Unternehmen informieren.
Handlungsempfehlungen
- Bewertung der aktuellen IT-Sicherheitslage: Unternehmen sollten ihre bestehenden Sicherheitsmaßnahmen überprüfen und Lücken identifizieren. Dies kann durch interne Audits oder durch die Beauftragung externer Sicherheitsexperten geschehen.
- Risikomanagement: Die Identifizierung und Bewertung von Risiken ist ein kontinuierlicher Prozess. Unternehmen sollten regelmäßig ihre Risikoanalysen aktualisieren, um neue Bedrohungen und Schwachstellen zu berücksichtigen.
- Schulung und Bewusstsein: Die Sensibilisierung und Schulung von Mitarbeitern spielt eine entscheidende Rolle bei der Verhinderung von Sicherheitsvorfällen. Geschäftsführer sollten sicherstellen, dass regelmäßige Schulungen stattfinden.
- Incident-Response-Plan: Ein klar definierter und regelmäßig getesteter Incident-Response-Plan ist essenziell, um im Fall eines Sicherheitsvorfalls schnell und effektiv reagieren zu können.
- Kommunikation mit Stakeholdern: Unternehmen sollten nicht nur intern, sondern auch mit ihren Stakeholdern, einschließlich Kunden und Lieferanten, über ihre Sicherheitsmaßnahmen und -politiken kommunizieren.
Sollten Sie weitere Beratung wünschen, so lesen Sie auch gerne hier über unsere NIS2-spezifischen Beratungsdienstleistungen.
NIS2-Konformität erreichen
Sentiguard ist spezialisiert die Einführung IT Risikomanagement getriebene Systeme wie SOC2, VDS 10.000 und die ISO 27001 beratend zu begleiten.