Was ist NIS2 und wen betrifft es?
Der Artikel „NIS2 – Cyber Defence ist ein Muss, nicht nur für KRITIS“ betont die zunehmende Bedeutung von Cyber-Sicherheit für Unternehmen, insbesondere im Zuge der neuen EU-Richtlinie NIS2. Diese Richtlinie, die die NIS1-Richtlinie ablöst, stellt verschärfte Anforderungen an die Cyber-Resilienz und richtet sich nicht nur an kritische Infrastrukturen (KRITIS), sondern auch an Unternehmen in verschiedenen Branchen. Sie fordert von Unternehmen Maßnahmen zum Schutz vor Cyber-Angriffen wie DDoS, Ransomware und Phishing.
Kernpunkte der NIS2-Richtlinie:
- Ausweitung auf mehr Branchen: Neben den traditionellen KRITIS-Sektoren wie Energie, Wasser, Finanzwesen und Gesundheit sind nun auch Post- und Kurierdienste, Abfallwirtschaft und Lebensmittelproduktion betroffen. Unternehmen mit mindestens 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz fallen ebenfalls unter die Richtlinie.
- Strengere Sicherheitsanforderungen: Unternehmen müssen moderne technische, organisatorische und operative Sicherheitsmaßnahmen umsetzen, darunter Zero-Trust-Prinzipien, regelmäßige Software-Updates, Netzwerksegmentierung und Multi-Faktor-Authentifizierung (MFA). Dies gilt nicht nur für interne Prozesse, sondern auch für die gesamte Lieferkette.
- Verantwortlichkeit und Meldepflichten: Geschäftsführer und Verwaltungsräte können für die Nichtumsetzung der Vorgaben zur Rechenschaft gezogen werden. Sicherheitsvorfälle müssen innerhalb von 24 Stunden an nationale Behörden gemeldet werden, und ein Abschlussbericht ist innerhalb eines Monats vorzulegen.
- Risikomanagement und Prävention: NIS2 erfordert ein starkes Risikomanagement, einschließlich regelmäßiger Sicherheitsprüfungen, Penetrationstests und Schulungen der Mitarbeiter, um Cyber-Bedrohungen frühzeitig zu erkennen und abzuwehren.
- Schutz der Lieferketten: Die Richtlinie hebt die Bedeutung eines umfassenden Lieferkettenschutzes hervor, da Angriffe auf Zulieferer schwerwiegende Auswirkungen auf die gesamte Wertschöpfungskette haben können.
Diese Richtlinie legt Mindeststandards für die Cybersicherheit von Unternehmen fest und zielt darauf ab, das Sicherheitsniveau, die Resilienz sowie die Reaktionsfähigkeit zu erhöhen.
Auch Schweizer KMU sind davon betroffen.
Wichtigster Punkt aus meiner Sicht ist, dass auch der Verwaltungsrat oder die Geschäftsleitung in die Verantwortung kommen. Kommen sie ihren Pflichten nicht nach, ist eine persönliche Haftung möglich.
Cyber-Sicherheit ist mehr als eine regulatorische Vorgabe – sie ist ein wichtiger Teil der unternehmerischen Verantwortung.