IT-Sicherheit: NIS-2-Betroffenheitsprüfung

IT-Sicherheit: NIS-2-Betroffenheitsprüfung

Um den Schutz vor möglichen IT-Vorfällen und Cyberangriffen auf europäischer Ebene zu verbessern, wurde 2023 die NIS-2-Richtlinie verabschiedet. Sie wird aktuell in deutsches Recht umgesetzt und verpflichtet Unternehmen, ihre Schutzmaßnahmen gegen Cyberangriffe zu verstärken, macht Softwarehersteller Compdata aufmerksam. Sobald NIS-2 in Deutschland in Kraft tritt, sind wesentliche Infrastrukturen, also Einrichtungen mit hoher Kritikalität, sowie wichtige Einrichtungen betroffen. Eine erste Orientierung bietet das BSI mit der NIS-2-Betroffenheitsprüfung. Die persönliche Verantwortung der Geschäftsführung ist ein elementarer Bestandteil der NIS-2-Richtlinie.
 
NIS2-Betroffenheitsprüfung
„Aus Sicht der IT-Sicherheit gibt es nur zwei Arten von Unternehmen. Die, die angegriffen wurden, oder die, die noch nicht angegriffen wurden“, sagt Reiner Veit, geschäftsführender Gesellschafter der Compata Computer GmbH. Unternehmen sollten sich insbesondere durch die Umsetzung spezifischer technischer und organisatorischer Maßnahmen gezielt auf die Anforderungen der NIS-2- Richtlinie vorbereiten. Unabhängig von den gesetzlichen Anforderungen ist es angesichts der aktuellen IT-Sicherheitslage dringend ratsam, das Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen, um einen sicheren und reibungslosen Geschäftsbetrieb zu gewährleisten. Eine erste Orientierung, ob Unternehmen von NIS-2 betroffen sind, bietet das BSI mit der NIS-2- Betroffenheitsprüfung. In dem Online-Formular können konkrete, am Gesetzentwurf orientierte Fragen, beantwortet werden, um das eigene Unternehmen einzuordnen.

NIS-2 macht Geschäftsführung persönlich haftbar
Die in NIS-2 definierten Maßnahmen zum Risikomanagement sind vielfältig. Dazu zählen IT- Sicherheitskonzepte, Backup-Management, Meldepflichten, Schulungen, Zugriffskontrollen, Authentifizierungslösungen sowie eine gesicherte Notfallkommunikation. Neben all den definierten Maßnahmen für das Risikomanagement ist die persönliche Verantwortung der Geschäftsführung des Unternehmens ein elementarer Bestandteil der Richtlinie. Die NIS-2-Richtlinie sieht vor, dass Geschäftsführer und andere Leitungsorgane des Unternehmens für die Einhaltung der IT- Sicherheitsmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei bis zu zwei Prozent des weltweiten Jahresumsatzes betragen.


Workshop CyberRisikoCheck
Compdata, das System- und Softwarehaus aus Albstadt, analysiert den aktuellen Stand der IT- Sicherheit in mittelständischen Unternehmen und Bäckereien. Im Workshop CyberRisikoCheck wird der Status Quo des Sicherheitsniveaus ermittelt und darauf aufbauend ein maßgeschneidertes IT- Sicherheitskonzept entwickelt. Dieses enthält Empfehlungen, welche Maßnahmen die Unternehmen priorisiert umsetzen sollten, um ihre Sicherheitslage effektiv zu stärken.