Anfang 2023 ist in der EU die zweite Version der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) in Kraft getreten. Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten NIS 2 in nationales Recht umsetzen. In Deutschland liegt bereits ein Referentenentwurf des Bundesministeriums des Innern für ein NIS2-Umsetzungsgesetz (NIS2UmsuG) vor.
Die NIS2-Richtlinie ist eine Überarbeitung und Erweiterung der ursprünglichen NIS-Richtlinie der Europäischen Union, die auf die Verbesserung der Cybersicherheit von Informationssystemen und Netzen in der EU abzielt. Die NIS2-Richtlinie bringt eine Reihe von Änderungen und neuen Anforderungen mit sich, die erhebliche Auswirkungen auf Unternehmen haben.
Die Situation in Deutschland ist derzeit noch von einer gewissen Unsicherheit geprägt. Die Bundesregierung beabsichtigt, die Richtlinie über verschiedene Artikelgesetze in nationales Recht umzusetzen. Es existieren bislang zwar diverse Referentenentwürfe, wie genau die einzelnen Vorgaben der Richtlinie umgesetzt werden – wie detailliert, wie umfangreich oder wie schwach ausgeprägt die bundesdeutsche Ausprägung ausfallen wird, das werden voraussichtlich erst die nächsten Monate zeigen.
Unabhängig von der gesetzgeberischen Situation: Für Unternehmen bedeutet die Umsetzung der NIS2-Richtlinie eine umfassende Überprüfung und möglicherweise erhebliche Anpassungen ihrer Cybersicherheitspraktiken. Prozesse und Systeme sind zu überprüfen, um sicherzustellen, dass das Unternehmen den neuen Anforderungen gerecht wird. Die gute Nachricht dabei ist: was unternehmen in diesem Kontext tun, dient unmittelbar den eigenen Interessen und der Daseinsvorsorge. NIS2 adressiert konkrete Herausforderungen der Cybersicherheit, denen sich Unternehmen unabhängig von regulatorischen Vorgaben sowieso – und im eigenen Interesse – stellen müssen.
Eine weitere gute Nachricht: all das, was die Richtlinie fordert, ist keine Raketenwissenschaft. Mit einem methodischen Ansatz zur kontinuierlichen Verbesserung der Informationssicherheit sind Unternehmen gut gerüstet für die Herausforderungen, die sich aus der NIS2 geben. Die ISO 27001 bietet ein entsprechendes Framework, mit dem sich zahlreiche Anforderungen der Richtlinie proaktiv adressieren lassen. Wer also bereits ein ISMS (Informationssicherheitsmanagementsystem) nach ISO 27001 betreibt verfügt schon über gute Voraussetzungen, die Anforderungen der NIS2 zu erfüllen. Unternehmen, die noch kein ISMS betreiben und nach einem Weg suchen, der Richtlinie gerecht zu werden, sei eine Beschäftigung mit der ISO 27001 empfohlen.
Sind Sie unsicher, ob ihr Unternehmen unter die Richtlinie fällt? Oder wissen Sie es bereits – und fragen sich, wie Sie sich am besten vorbereiten können? Kontaktieren Sie uns für ein kostenloses Erstgespräch zum Thema NIS2, ISO 27001 und Informationssicherheit.