1 16 Table of Contents 18 52

NET 9 2023

17 www.net-im-web.de 9/23 KR I T I SCHE KOMMUN I K AT I ON Neue Mindestanforderungen an die Cybersicherheit Die wichtigsten Fragen und Antworten zur NIS2-Direktive der EU Dirk Wocke ist Compliance Manager und Datenschutz- beauftragter bei Indevis Dirk Wocke Mit der EU-NIS2-Direktive erhöhen sich die Mindestanforderungen an die Cybersicherheit kritischer Infra- strukturen. Davon sind erheblich mehr Unternehmen betroffen als bisher. Was müssen Security-Ver- antwortliche jetzt wissen und wie bereiten sie sich am besten vor? Cyberangriffe auf kritische Infrastrukturen (Kritis) sind besonders gefährlich. Daher hat die EU bereits 2016 Mindest- anforderungen an die Cybersicherheit in der Richtlinie zur Netz- und Informations- sicherheit (NIS) definiert. Diese wird jetzt durch eine Neuauflage abgelöst. Seit dem 16. Januar 2023 ist die NIS2-Direktive in Kraft – und bis Oktober 2024 haben die EU- Mitgliedstaaten noch Zeit, sie in nationales Recht zu überführen. InDeutschland erfolgt dies durch das NIS2-Umsetzungsgesetz, das derzeit als zweiter Referentenentwurf vorliegt. Zu erwarten sind Änderungen am IT-Sicherheitsgesetz und der Kritis-Ver- ordnung. Viele Unternehmen fragen sich jetzt, was NIS2 für sie bedeutet. Wer ist von NIS2 betroffen? Der wichtigste Unterschied zur alten Gesetzgebung ist der deutlich erweiterte Wirkungsgrad. Sieben neue Kritis-Sek­ toren kommen hinzu, so dass sich die Zahl von elf auf achtzehn erhöht. Während bisher nur große Organisationen aus dem direkten Kritis-Umfeld betroffen waren, gilt NIS2 nun auch für privatwirtschaft- liche Unternehmen – und zwar schon ab einer Größe von 50 Mitarbeitern oder 10 Mio. € Jahresumsatz. Einige Unter- nehmen fallen unabhängig von ihrer Größe unter die Direktive, weil sie zu den sogenannten Essential Entities zählen, die für das Allgemeinwohl besonders wichtig sind. Neu ist auch, dass betroffene Unternehmen die Cybersicherheit ihrer Zulieferer überprüfen und sicherstellen Die neue EU-Direktive erhöht die Mindestanforderungen an die Cybersicherheit und nimmt Geschäftsführer in die Pflicht. Sie haften dafür, dass die vorgeschriebenen Standards eingehalten werden (Foto: Pete Linnforth, pixabay)

RkJQdWJsaXNoZXIy MjE2Mzk=