Das Jahr 2024 fordert verantwortungsbewusste Unternehmen heraus, nachweislich sowohl technische als auch operative Maßnahmen im Bereich der Cyber- und Informationssicherheit zu ergreifen. Diese ergeben sich aus der Gesetzgebung der europäischen NIS 2-Richtlinie. Sie können durchaus auch auf Ihr Unternehmen zutreffen. Dazu gehören Anforderungen an das Risikomanagement, die Personalsicherheit und die Zugangskontrolle, die Netzwerksicherheit und den Betrieb von Informationssystemen sowie mit der Zeit auch die Verpflichtung, sich einem Cybersicherheitsaudit zu unterziehen.
Worum geht es dabei genau?
Das Dekret (362/2018), das im September 2023 in Kraft tritt, definiert eine Liste der erforderlichen Sicherheitsmaßnahmen, die für Unternehmen, die unter die NIS 2-Richtlinie fallen, verpflichtend sein werden.
Obwohl die genauen Sektoren und die Größe der Unternehmen, die sich an dieses Dekret halten müssen, noch nicht aufgelistet sind, lautet die Empfehlung von Cybersicherheitsspezialisten, dass Unternehmen zumindest in ihrem eigenen Interesse und im Voraus eine Risikoanalyse durchführen sollten. Auf diese Weise erhalten sie wichtige Erkenntnisse über die Prozesse und Systeme des Unternehmens und haben außerdem Zeit, Schwachstellen zu beseitigen, die sich infolge von Cybervorfällen auf die Funktionsweise und den Betrieb des Unternehmens auswirken könnten.
Grundlegende Informationen darüber, welche Einrichtungen unter die NIS-2-Richtlinie fallen, finden Sie zum Beispiel unter: https://digital-strategy.ec.europa.eu/sk/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs
NIS2 gilt für Unternehmen in den folgenden Sektoren:
Sektoren mit hoher Kritikalität: Energie (Strom, Fernwärme und -kühlung, Öl, Gas und Wasserstoff); Verkehr (Luft, Schiene, Wasser und Straße); Banken; Finanzmarktinfrastrukturen; Gesundheit, einschließlich der Herstellung von Arzneimitteln, einschließlich Impfstoffen; Trinkwasser; Abwasser; digitale Infrastruktur (Internetaustauschpunkte; DNS-Dienstleister; TLD-Namensregister; Cloud-Computing-Dienstleister; Anbieter von Rechenzentrumsdiensten; Content-Delivery-Netze; Anbieter von Vertrauensdiensten; Anbieter von öffentlichen elektronischen Kommunikationsnetzen und öffentlich zugänglichen elektronischen Kommunikationsdiensten); IKT-Dienstleistungsmanagement (Anbieter von verwalteten Diensten und Anbieter von verwalteten Sicherheitsdiensten), öffentliche Verwaltung und Raumfahrt.
Andere kritische Sektoren sind: Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Anlagen, Kraftfahrzeugen, Anhängern und Sattelanhängern und anderen Transportmitteln, Anbieter digitaler Dienstleistungen (Online-Marktplätze, Internet-Suchmaschinen und Plattformen für soziale Netzwerke) sowie Forschungseinrichtungen.
Cybersicherheit betrifft jede Organisation und jedes Unternehmen. Mit den Anforderungen der Richtlinie sollten Sie sich nicht befassen, weil sie per Dekret festgelegt sind und die Nichteinhaltung zu Geldstrafen führen kann. Sondern weil die Gefahr eines Angriffs allgegenwärtig ist.
