NIS2, DORA und KRITIS – warum die Umsetzung nicht warten kann

NIS2 bleibt in Deutschland trotz Verzögerung relevant

Die NIS-2-Richtlinie der EU ist in aller Munde, doch die Umsetzung in nationales Recht stockt in Deutschland. Derzeit liegt die nationale Gesetzesvorlage "auf Eis", obwohl die EU-Komission Deutschland bereits wegen Nichtumsetzung verwarnt hat. Der Stillstand in Bezug auf NIS2 ist vor allem dem aktuellen Wahlkampf geschuldet. Betroffene Unternehmen sollten die Umsetzung der Richtlinie trotzdem nicht auf die lange Bank schieben.

Warum die Umsetzung der NIS-2-Richtlinie nicht warten kann

Cyberkriminelle halten sich nicht an politische Agenden. Sie sind aktiv, unabhängig davon, ob es bereits konkrete Gesetze gibt oder nicht. Die Bedrohungslage im Cyberraum ist ernst und erfordert dringendes Handeln. NIS2 ist dabei ein wichtiger Baustein, um die Cybersicherheit in Deutschland und der EU zu stärken.

NIS2 als Teil eines größeren Ganzen

Die NIS-2-Richtlinie steht nicht isoliert da. Vielmehr ist sie Teil eines umfassenden Geflechts aus EU-Richtlinien, Verordnungen und nationalen Gesetzen, die alle ein gemeinsames Ziel verfolgen: die Stärkung der IT-Sicherheit und des Datenschutzes.

• DORA (Digital Operational Resilience Act): Dieses Gesetz zielt speziell auf die Erhöhung der Widerstandsfähigkeit des Finanzsektors gegen Cyberangriffe ab.
• KRITIS-Dachgesetz: Auf nationaler Ebene in Deutschland angesiedelt, hat dieses Gesetz die Resilienz kritischer Infrastrukturen (KRITIS) im Fokus. Es definiert Branchen wie Energie, Wasser, Transport und Gesundheitswesen als KRITIS und legt für diese besonderen Anforderungen an die IT-Sicherheit fest.
• EU-Cyberresilienzgesetz (CRA): Noch in der Vorbereitung, aber bereits ein wichtiger Baustein, ist das EU-Cyberresilienzgesetz (CRA). Es soll die Cybersicherheit von Hardware- und Softwareprodukten während ihres gesamten Lebenszyklus verbessern – von der Entwicklung bis zur Nutzung.

All diese Initiativen verfolgen das übergeordnete Ziel, ein hohes Cybersicherheitsniveau zu gewährleisten. Dabei orientieren sie sich oft an etablierten Standards wie der ISO/IEC 27001 oder dem IT-Grundschutz, die als anerkannte Best Practices gelten.

Was bedeutet das für Unternehmen?

Auch wenn die nationale Umsetzung von NIS2 in Deutschland noch auf sich warten lässt, sollten Unternehmen in Ihrem eigenen Interesse die Zeit nutzen, um sich proaktiv auf die kommenden Anforderungen vorzubereiten. Denn eines ist sicher: Die Bedrohungslage im Cyberraum ist real und erfordert ein Umdenken in der IT-Sicherheit.

Ein erfolgreicher Cyberangriff kann Unternehmen und Organisationen teuer zu stehen kommen – und zwar deutlich teurer, als präventive Maßnahmen zur IT-Sicherheit. Neben dem finanziellen Schaden, der schnell sechs- bis siebenstellige Eurobeträge erreichen kann, drohen Reputationsverluste und hohe Kosten für die Behebung und Wiederherstellung des vorherigen Zustands.

Ein Blick in die Zukunft

Es ist absehbar, dass die NIS-2-Richtlinie in Deutschland umgesetzt wird. Der Druck aus Brüssel ist hoch und die Notwendigkeit, die Cybersicherheit zu erhöhen, ist unbestritten. Unternehmen sollten sich daher nicht auf den Wahlkampf verlassen, sondern proaktiv Maßnahmen ergreifen, um sich vor Cyberangriffen zu schützen.

Handlungsempfehlungen

• Informieren: Bilden Sie sich  über die NIS-2-Richtlinie und ihre potenziellen Auswirkungen auf Ihr Unternehmen weiter.
• Sensibilisieren: Schulen Sie Ihre Mitarbeiter in IT-Sicherheit und Datenschutz im Arbeitsalltag, damit diese nicht zum Einfallstor für Angriffe werden. Unsere Schulungsplattform ETES Education kann dabei unterstützen.
• Analysieren: Überprüfen Sie Ihre IT-Systeme auf Schwachstellen und entwickeln Sie einen Plan zur Verbesserung Ihrer Cybersicherheit.
• Handeln: Setzen Sie die notwendigen Maßnahmen um, um Ihr Unternehmen vor Cyberangriffen zu schützen.
• Kooperieren: Arbeiten Sie mit anderen Unternehmen und Experten zusammen, um sich über Best Practices auszutauschen und Ihre Cybersicherheit zu stärken.

Wir unterstützen Sie bei der Umsetzung

Sie sind von der NIS-2-Richtlinie betroffen, wissen aber nicht, wie Sie diese in Ihrem Unternehmen umsetzen können? Gerne steht Ihnen unser Datenschutz-Team zur Seite und setzt die Richtlinie gemeinsam mit Ihnen um:

• Etablierung eines Informationssicherheits-Managementsystems (ISMS) basierend auf den NIS-2-Anforderungen
• Unterstützung bei der Dokumentation der ISMS-Richtlinien und -Prozesse
• Profitieren Sie von unserem ISMS-Tool EDIRA inklusive zahlreicher Vorlagen, die die Umsetzung erleichtern

Fazit

Die NIS 2-Richtlinie ist eine entscheidende Richtlinie zur Stärkung der Cybersicherheit in Deutschland und der EU. Sie ist ein wichtiger Schritt im Umgang mit den zunehmenden Cyber-Bedrohungen, denen sich Unternehmen nicht entziehen können. Trotz politischer Blaupause ist es wichtig, dass Unternehmen sich mit der Richtlinie  auseinandersetzen und proaktiv Maßnahmen ergreifen, um sich vor Cyberangriffen zu schützen.