Cybersecurity NIS-2-Direktive: 5 Tipps für eine fristgerechte Umsetzung

Die NIS-2-Direktive verunsichert zurzeit viele Unternehmen. Das Datum des NIS-2-Umsetzungsgesetzes in Deutschland steht, doch einige Details sind noch ungeklärt. Mit diesen 5 Tipps wissen Unternehmen, was aktuell wichtig ist und welche Maßnahmen sie jetzt ergreifen können.

Die am Anfang dieses Jahres von der EU verabschiedete NIS-2-Direktive hat ein wesentliches Ziel: ein gemeinsames und hohes Cybersicherheitsniveau für Unternehmen und Organisationen in der EU zu gewährleisten. Bis zum 17. Oktober 2024 müssen die Vorgaben der Richtlinie durch die EU-Mitgliedsstaaten in nationales Recht umgesetzt sein – in Deutschland gibt es dazu das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (kurz: NIS2UmsuCG). Bis zu diesem Zeitpunkt müssen Unternehmen die genannten Mindestanforderungen für Cybersecurity erfüllt haben. Auf die Betroffenen kommen strengere Aufsichtsmaßnahmen, Meldepflichten und Durchsetzungsvorschriften zu.

Für die Firmen, die bereits in der Vergangenheit unter KRITIS fielen, verändert sich wenig, wenngleich sich manche Anforderungen verschärfen. Doch auf viele Mittelständler kommt potenziell eine Menge Arbeit zu, da sie erstmalig mit Vorgaben der „Network and Information Security“ – kurz NIS – konfrontiert werden. Hier abzuwarten und untätig zu bleiben, ist fatal. Es besteht akuter Handlungsbedarf. Denn der Geltungsbereich dessen, was unter die Definition kritisch fällt, ist wesentlich ausgedehnt worden und Unternehmen müssen mit Sicherheitsüberprüfungen sowie mit hohen Bußgeldern bei Verstößen rechnen. Dabei sind keine Übergangsfristen vorgesehen und die Uhr für die Umsetzung läuft bereits. Verantwortliche sollten daher jetzt prüfen, ob sie von NIS-2 betroffen sind, und anfangen, ihre IT-Sicherheit auf den Prüfstand zu stellen sowie Maßnahmen zur Verbesserung zu planen. Dabei helfen diese 5 Tipps: