Die Zahl der Cyberangriffe nimmt bedrohliche Ausmaße an: Nicht nur Konzerne und öffentliche Einrichtungen werden immer häufiger und aggressiver angegriffen, sondern auch Privatpersonen. Für Unternehmen ist es wichtig, angemessen vorbereitet zu sein.
Die NIS-2-Richtlinie der Europäischen Union regelt die Vorschriften für Unternehmen im Bereich Cyber-Security. Ihr zufolge müssen bestimmte Betriebe verpflichtende Sicherheitsvorkehrungen zur Abwehr von Hackangriffen einführen. So soll zum Beispiel verhindert werden, dass kritische Infrastruktur lahmgelegt werden kann.
IT-Sicherheit ist für alle Unternehmen wichtig
Die NIS-2 wird in Deutschland ab Oktober 2024 verpflichtend gelten.
Unternehmen, die unter diese Regelung fallen, sollten sich also schon jetzt um die Umsetzung kümmern. Gestohlene Daten, ein lahmgelegtes System oder Industriespionage können für Betriebe existenzgefährdend werden.
Deswegen zahlt sich eine gute IT-Sicherheit auch für diejenigen Unternehmen aus, die nicht den strengen Regelungen der NIS-2-Richtlinie unterliegen. Mit einem modernen System mit Penetration Testing und anderen Schutzmaßnahmen lassen sich die Folgen von Cyberangriffen deutlich minimieren. Bei einem Penetration Testing werden beispielsweise Angriffe von außen simuliert, sodass Schwachstellen im System hoffentlich auffallen, bevor sie von Hackern entdeckt werden.
Hacker und Cyberangreifer gehen immer aggressiver vor
Für wen gilt die NIS-2?
Die NIS-2 trifft auf eine ganze Reihe von Unternehmen zu. Betroffen sind vor allem Betriebe, die eine wichtige Rolle für die kritische Infrastruktur spielen. Dazu gehören Unternehmen aus diesen Sektoren:
- Energie
- Verkehr
- Finanzmarktinfrastrukturen
- Bankwesen
- Trinkwasser
- Abwasser
- Gesundheitswesen
- Öffentliche Verwaltung
- Digitale Infrastruktur
- Verwaltung von Informations- und Kommunikations-Diensten
- Weltraum
Die genannten Sektoren gelten als besonders kritisch. Ferner sind einige sonstige Sektoren wie Post- und Kurierdienste oder die Chemieindustrie betroffen. Unternehmen sollten außerdem überprüfen, ob sie Lieferant für einen kritischen Betrieb sind. Dann trifft die NIS-2 unter Umständen auch auf sie zu.
Welche Schutzmaßnahmen müssen getroffen werden?
Laut der Richtlinie sind Unternehmen verpflichtet, für ausreichende Sicherheitsvorkehrungen im Cyber-Bereich zu sorgen. Dazu gehört zunächst eine umfassende Risikoanalyse, mit der herausgearbeitet werden kann, welche Gefahren drohen und wo es Schwachstellen gibt.
Daraus folgend muss ein IT-Sicherheits-Management umgesetzt werden. Das lässt sich mithilfe moderner Tools, der Beratung durch Experten und natürlich durch die Schulung und Sensibilisierung der Mitarbeiter realisieren. Außerdem muss festgelegt werden, was bei einem Sicherheitsvorfall zu tun ist.
Bei Sicherheitsvorfällen besteht eine Meldepflicht
Laut Statista wurden im Jahr 2023 ganze 58 Prozent aller Unternehmen Opfer eines Cyberangriffs. Experten gehen aber davon aus, dass die Dunkelziffer höher ist, denn viele Betriebe verschweigen die Attacken.
Wenn sie unter die NIS-2-Richtlinie fallen, müssen sie diese in Zukunft aber der nationalen Behörde melden. Dafür haben sie 24 Stunden Zeit. Nach 72 Stunden müssen sie einen Bericht nachliefern, in dem sie die Auswirkungen des Angriffs erläutern. Einen Monat später erfolgt dann ein weiterer Bericht, in dem alles Weitere, das bis dahin zur Kenntnis genommen wurde, aufgelistet wird.
Bei Nichteinhaltung drohen empfindliche Strafen
Ein Verstoß gegen die NIS-2 kann mit hohen Geldbußen geahndet werden. Die tatsächliche Summe hängt von der Größe des Unternehmens ab. In Betrieben mit mehr als 250 Mitarbeitern oder einem Umsatz ab 50 Millionen Euro können Geldbußen von bis zu zwei Prozent des Umsatzes oder von 10 Millionen Euro verhängt werden.
Unternehmen mit mehr als 50 Mitarbeitern und einem Umsatz von 10 Millionen Euro müssen mit Strafen von bis zu 7 Millionen Euro oder von 1,4 Prozent des Umsatzes rechnen. Kleinere Unternehmen mit weniger als 50 Mitarbeitern sind üblicherweise von der NIS-2 befreit.
