#NIS2, #CyberSecurity, #InfoSec, #CyberResilience

Informationssicherheit ist längst kein rein technisches Thema mehr. Die zunehmenden Cyber-Attacken und strengeren normativen Anforderungen, wie beispielsweise DORA, und deren Auswirkungen erlangen aufgrund ihrer Brisanz eine wachsende Bedeutung in Managementkreisen. Dabei wird bislang allzu häufig die ebenfalls drängende Umsetzung der NIS2-Richtlinie (Network and Information Security Directive) übersehen, die ebenfalls auf tausende Unternehmen Anwendung findet. Das kann schmerzhaft werden, dann ab Oktober drohen drakonische Strafen bei Nichteinhaltung: Bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes bei wesentlichen Einrichtungen und bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes bei wichtigen Einrichtungen. Die Leitungsorgane müssen die Risikomanagementmaßnahmen sicherstellen und haften für Schäden. Die Regelungen treten voraussichtlich ab dem 18. Oktober 2024 in Kraft, Übergangsfristen sind aktuell nicht vorgesehen.

Betroffen sind große und mittlere Unternehmen:

• Eine Organisation wird als „großes Unternehmen“ betrachtet, wenn sie entweder mindestens 250 Mitarbeiter beschäftigt oder einen Jahresumsatz von über 50 Millionen Euro erzielt und eine Jahresbilanzsumme von mehr als 43 Millionen Euro aufweist
• Eine Organisation gilt als „mittleres Unternehmen“, wenn sie entweder mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von über zehn Millionen Euro erzielt und eine Jahresbilanzsumme von mehr als zehn Millionen Euro aufweist, sofern sie nicht bereits als großes Unternehmen gilt

… aus u. a. folgenden Sektoren:

• Bankwesen
• Versicherungswesen
• Finanzmarktinfrastrukturen
• Energie
• Verkehr
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten B2B
• Verarbeitendes/herstellendes Gewerbe

Doch es gibt auch erfreuliche Nachrichten: Mit NIS2-Umsetzung werden nicht nur normative Anforderungen erfüllt, sondern auch die IT-Sicherheit im Unternehmen gestärkt. Eine saubere Umsetzung der Richtlinie bringt eine Reihe von Vorteilen mit sich:

• Haftungsrisiken minimieren: Leitungsorgane (Vorstand, Geschäftsführung) können durch Vorbereitungen auf das Eintreten eines Schadensfalls persönliche Haftungen vermeiden
• Wettbewerbsvorteile sichern: In einer Ära zunehmender Cyber-Bedrohungen und Spionage leistet die Informationssicherheit einen entscheidenden Beitrag zur Abwehr dieser Gefahren
• Reputationsverlust vermeiden: Insbesondere wesentliche Einrichtungen stehen im Fokus des öffentlichen Interesses, wodurch der Schutz von Informationen von zentraler Bedeutung ist

Unsere Erfahrung zeigt, wie wichtig es ist, dass Investitionen in IT-Sicherheit nicht nur technisch optimiert, sondern auch wirtschaftlich sinnvoll sind. Denn technische Verbesserungen bedeuten nicht automatisch betriebswirtschaftliche Effizienz. Daher ist eine vernünftige kaufmännische Betrachtung bereits in der Zielsetzungsphase unerlässlich. In der Zusammenarbeit mit unseren Kunden hat sich dabei ein pragmatischer Ansatz entwickelt:

1. Beurteilung ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist: Wir prüfen für Sie ob Sie betroffen sind und nehmen gemeinsam mit Ihnen die Beurteilung vor.
2. Identifikation von Lücken (GAP-Analyse): Im Rahmen von Workshops und Interviews evaluieren wir den Reifegrad Ihres Unternehmens in allen NIS-Dimensionen (Umwelt, Betrieb, Bewertung, Weiterentwicklung, Planung, Governance und Unterstützung außerhalb der IT).
3. Ableitung, Planung und Umsetzung von Maßnahmen für die NIS2-Readiness: Basierend auf Ihrer Prozesslandschaft entwickeln wir gemeinsam einen Plan, um die Anforderungen rechtzeitig zu erfüllen.

Als erfahrene Experten im Bereich Informationssicherheit unterstützen wir Sie gerne bei der Umsetzung der NIS2-Richtlinie oder tauschen uns auch gerne mit Ihnen zum Thema aus. Kontaktieren Sie uns gerne.