NIS2 Anforderungen für Unternehmen 2025: Jetzt vorbereiten
Nur noch kurze Zeit bis zum Inkrafttreten von NIS2: Warum viele Unternehmen 2025 noch nicht bereit sind
Xantaro Deutschland GmbH
Die EU-Richtlinie NIS2 für mehr Cybersicherheit gilt seit dem 16. Januar 2023. Voraussichtlich ab Ende 2025 oder Anfang 2026 wird sie auch für über 30.000 Unternehmen in Deutschland gelten. Was bedeutet das und was ist dabei unbedingt zu beachten?
Cybersicherheit ist für das Funktionieren von Unternehmen und Volkswirtschaften nicht nur essenziell, sondern eine große Herausforderung. Das zeigen die täglichen Angriffe mit Ransomware mit dem Ziel, Lösegelder zu erpressen oder der Spionage auf kritische Infrastruktur, Behörden und Unternehmen. Die Angreifer sind teils Cyberkriminelle, teils sind die Attacken politisch motiviert und oft sind sie auch eine Mischung aus beidem. Insgesamt hat sich die Sicherheitslage in den vergangenen Jahren drastisch verschärft.
EU-Richtlinie NIS2: Verpflichtende Standards für mehr Sicherheit
Die Europäische Union ist deshalb verständlicherweise bestrebt, in diesem Bereich umfassende und verpflichtende Mindeststandards zu etablieren und so die Cybersicherheit auf ein höheres Level zu bringen. Diesem Ziel dient auch die NIS2-Richtlinie, die seit Januar 2023 auf EU-Ebene in Kraft ist und für alle Unternehmen gilt, die EU-weit oder international tätig sind. Bis Oktober 2024 musste diese Richtlinie eigentlich auch in nationales Recht der EU-Mitgliedsstaaten umgesetzt werden.
Umsetzung in Deutschland: verzögert, aber in Sichtweite
Die NIS2-Richtlinie hätte auch in Deutschland schon längst in Kraft treten müssen. Die Umsetzung in nationales Recht hat sich allerdings verzögert. Das entsprechende Gesetz soll Ende 2025 oder Anfang 2026 in Kraft treten. Das bedeutet für über 30.000 mittlere und große Unternehmen in Deutschland, die bisher nicht unter diese Richtlinie fielen, dass deren Anforderungen dann auch für sie gelten. Für Unternehmen ist das Erfüllen der Regelung nicht nur im Hinblick auf die Sicherheit der eigenen Systeme, der Daten und auch des Versicherungsschutzes unerlässlich, bei Verstößen können Bußgelder in Millionenhöhe verhängt werden. Unternehmen, die die Anforderungen von NIS2 noch nicht erfüllen, müssen spätestens jetzt aktiv werden. Denn die Anforderungen sind hoch, das Thema Cybersicherheit ist komplex und bis zum Inkrafttreten ist nur noch wenig Zeit.
Die Anforderungen von NIS2: eine grobe Orientierung
Die Richtlinie NIS2 setzt schwerpunktmäßig drei Dimensionen an, mit dem Ziel, das Sicherheitsniveau und die Resilienz in der Gesamtheit zu verbessern. Die erste ist der Schutz an sich: Unternehmen müssen die erforderlichen Sicherheitsmaßnahmen implementieren. Die zweite ist die Verpflichtung zum Risikomanagement: Unternehmen müssen ihre spezifischen Risiken identifizieren, bewerten, beobachten sowie ihre Prozesse und Schutzmaßnahmen danach ausrichten. Die dritte Dimension ist die Resilienz. Denn die Frage ist nicht, ob ein Cyberangriff stattfinden wird, sondern nur wann. Unternehmen müssen für diesen Fall vorbereitet sein. Das bedeutet zum einen, Routinen und Prozesse für sichere, regelmäßige Back-ups zu implementieren, zum anderen auch, Mitarbeitende zu schulen und Notfallpläne für die Kommunikation und Wiederherstellung zu entwickeln.
Einen Überblick der Anforderungen von NIS2 und was das für Unternehmen bedeutet, bietet zum Beispiel das Whitepaper „ALLES, WAS SIE ÜBER NIS2 WISSEN MÜSSEN“ von Xantaro, dem Spezialisten für IT- und Netzwerksicherheit und Managed Services. Unternehmen müssen demnach Cybersicherheit neu denken, dem Thema mehr und kontinuierlich Aufmerksamkeit widmen und teilweise erhebliche Anstrengungen unternehmen.
Und viel Zeit bleibt dafür nicht.
Impressum: