Zur Harmonisierung und Stärkung der IT-Sicherheit in Unternehmen legt die neue europäische NIS2-Richtlinie höhere Anforderungen für einen größeren Kreis von Wirtschaftsteilnehmer:innen fest. Erläuterungen von Vincent Bazillio, Global Business Development Manager – Cybersecurity bei der Marke Axians.
Sie ist ein wichtiger Wendepunkt für die Strategie zur Vermeidung und zur Abwehr von Cyberangriffen auf die Wirtschaft. Die am 17.10.2024 in Kraft getretene europäische NIS2-Richtlinie (Network and Information Security) sorgt dafür, dass die Wirtschaft ihrer Verantwortung im Bereich der digitalen Sicherheit nachkommen muss.
Sie folgt auf die erste NIS-Richtlinie aus dem Jahr 2016, erweitert deren Anwendungsbereich und erhöht die Anforderungen an die Unternehmen. Während sich NIS1 hauptsächlich an die Anbieter grundlegender Dienstleistungen in sieben Tätigkeitsbereichen richtete, gilt NIS2 nunmehr auch für privatwirtschaftliche Unternehmen, Gebietskörperschaften, Forschungszentren, Gesundheitseinrichtungen usw. Die Richtlinie reguliert 18 Tätigkeitsbereiche, was die Zahl der insgesamt betroffenen Einrichtungen von vormals einigen hundert auf wahrscheinlich über 15.000 steigen lässt. Sie lassen sich in zwei große Blöcke aufgliedern: „Wesentliche Einrichtungen“, in denen sich große Unternehmen wiederfinden, und „Wichtige Einrichtungen“, bei denen es sich eher um KMU handelt.
Neue Größenordnung
„NIS2 führt ein echtes Rundum-Risikomanagement für Unternehmen ein, die das Thema Cybersicherheit nunmehr auf allen administrativen und operativen Ebenen umsetzen müssen, von der F&E über die Industrieproduktion und die Infrastruktur bis hin zu den Supportabteilungen. Die Auflagen der neuen Richtlinie erstrecken sich überdies auch auf Nachunternehmer:innen und Lieferant:innen – anstelle einer Festungsmentalität tritt nunmehr die Logik des abgesicherten Netzwerks, das sehr offen ist und weit über die Grenzen des Unternehmens hinausgeht“, fasst Vincent Bazillio zusammen, Global Business Development Manager – Cybersicherheit bei Axians, der ICT-Marke von VINCI Energies.
„Cybersicherheit ist ein kontinuierlicher Prozess.”
Eine Hochskalierung, für die Unternehmen eine solide Roadmap und einen konsequenten Aktionsplan aufstellen müssen. Zumal NIS2 nicht nur einen Rahmen festlegt, sondern auch Geldstrafen bei Verstößen gegen die neuen Regeln, die bis zu 10 Mio. Euro oder 2 % vom weltweiten Gesamtumsatz bei „Wesentlichen Einrichtungen“ und bis zu 7 Mio. Euro oder 1,4 % vom weltweiten Gesamtumsatz bei „Wichtigen Einrichtungen“ betragen können.
Als „wichtig“ erachtete Vorfälle müssen Unternehmen ab sofort innerhalb von 24 Stunden melden. Bei „Wesentlichen Einrichtungen“ muss zudem innerhalb von 72 Stunden eine vollständige Mitteilung und innerhalb von 30 Tagen ein detaillierter Abschlussbericht eingereicht werden.
Cyberrisiko-Kultur
Panik wäre allerdings fehl am Platze, denn NIS2 soll die Unternehmen nicht gängeln, sondern ihre Umstellung auf eine Cyberrisiko-Kultur beschleunigen. Dabei darf nichts überstürzt werden. „Cybersicherheit ist ein kontinuierlicher Prozess, der allmählich und mit ständigen Anpassungen verläuft. Also Schritt für Schritt. Es beginnt mit einer Landkarte aller geschäftlichen Tätigkeiten und der Ermittlung der spezifischen Sicherheitsanforderungen jedes Unternehmens, um die Auswirkungen eines Angriffs auf das Geschäft zu evaluieren und Pläne zur Fortführung des Geschäftsbetriebs zu erstellen“, betont Bazillio.
Dabei herrscht durchaus keine Waffengleichheit unter den Firmen. „Wesentliche Einrichtungen“ haben bereits vor langem mit ihrer Ertüchtigung begonnen und verfügen über die notwendigen internen Ressourcen, um Tools und Prozesse abzubilden. Mittelständische Unternehmen hingegen brauchen meist Unterstützung.
„Auch hier hat jede Einrichtung spezifische Bedürfnisse. Es geht nicht darum, überall mehr Firewalls zu implementieren, sondern den Unternehmen zu vermitteln, wie eine Risikoanalyse durchgeführt und Prioritäten festgelegt werden, um die Maßnahmen auf strategische Bereiche zu konzentrieren – das alles mit einer langfristigen, organischen Vision. Das garantiert nicht nur ihre Sicherheit, sondern auch ihre Widerstandsfähigkeit im Falle eines Angriffs“, unterstreicht Vincent Bazillio.
15/07/2025
