IT-RECHT
IT-Sicherheit – diese Regelungen gelten für Unternehmen
Experten-Branchenbuch.de,
zuletzt bearbeitet am:
IT-Sicherheit – diese Regelungen gelten für Unternehmen © ArtemisDiana - stock.adobe.com
Einige Unternehmen sind nach einer neuen EU-Richtlinie verpflichtet, sich ausreichend vor Cyberangriffen zu schützen. Durch die Einhaltung der Mindeststandards erfüllen sie aber nicht nur die rechtlichen Vorgaben, sondern sichern auch ihren Unternehmenserfolg besser ab.
Neue Richtlinie seit Januar 2023
Die sogenannte NIS-Richtlinie ist bereits im August 2016 in Kraft getreten. Zum ersten Januar 2023 wurde sie erneuert und trägt jetzt den Namen NIS 2. Sie gilt vor allem für Unternehmen, die kritische Infrastruktur betreiben. Betroffen sind aber auch Betriebe, die einem bestimmten Sektor angehören und mindestens 50 Mitarbeiter beschäftigen sowie zehn Millionen Umsatz verbuchen können. Dementsprechend müssen jetzt deutlich mehr Unternehmen die EU-Richtlinie einhalten. Aufgrund des hohen Bedrohungspotenzials sollten die Firmen die Vorschriften nicht als Last, sondern als Chance auf mehr Sicherheit betrachten. Die Schäden, die durch Cyberangriffe entstehen, können in manchen Fällen existenzbedrohend sein. Ein effektiver Schutzschild sollte also ohnehin essenzieller Teil interner Sicherheitsmaßnahmen sein.
Vor allem als kritisch geltende Sektoren sind betroffen
Die NIS-2-Richtlinie gilt für Unternehmen aus verschiedenen Sektoren. Dazu gehören Energie, Transport, Bankenwesen, Wasser, Gesundheit und digitale Infrastruktur. Betriebe aus diesen Feldern müssen nicht nur neue Sicherheitsmaßnahmen umsetzen, sie unterliegen auch einer Meldepflicht. Sobald es zu einem Sicherheitsvorfall kommt, müssen sie innerhalb von 24 Stunden eine Frühwarnung herausgeben. Nach spätestens 72 Stunden muss eine offizielle Meldung mit einem vollständigen Bericht erfolgen.
Diese Maßnahmen müssen umgesetzt werden
Für die Erfüllung der EU-Richtlinie ist die Unternehmensleitung verantwortlich. Sie muss direkt eine ganze Reihe von Vorgaben erfüllen, um ihren Pflichten gerecht werden zu können. Diese umfassen unter anderem eine Risikoanalyse und einen Notfallplan für Sicherheitsvorfälle. Auch die Wiederherstellungsmaßnahmen nach einem Angriff spielen eine wichtige Rolle. Darüber hinaus sollen Unternehmen eine sogenannte Cyberhygiene implementieren. Damit sind Maßnahmen wie die Datensicherung, eine bessere Zugriffskontrolle und die Schulung von Mitarbeitern gemeint. Für die Durchführung dieser Methoden können sich Betriebe Hilfe von außen holen und sich zum Beispiel durch einen IT-Sicherheitsdienstleister helfen lassen. Der steht betroffenen Unternehmen mit seiner technischen Expertise zur Seite und stellt somit vor allem für kleinere und mittelgroße Betriebe eine enorme Erleichterung dar.
Bei Nichteinhaltung drohen Strafen
Im Rahmen der NIS 2 wird zwischen wesentlichen und wichtigen Unternehmen unterschieden. Wesentliche Unternehmen werden regelmäßig überprüft und müssen bei einem Verstoß mit Bußgeldern von mindestens 10 Millionen und höchstens 2 Prozent des Jahresumsatzes rechnen. Etwas geringer fallen die Strafen für wichtige Unternehmen aus. Hier liegen die Höchstbeträge bei 7 Millionen und 1,4 Prozent des Umsatzes. Auch die Kontrollen sind nicht ganz so streng. Unabhängig davon sollte der Unternehmensleitung bewusst sein, dass sie verantwortlich gemacht werden kann und dementsprechend mithaftet. Betroffene Unternehmen sollten sich also schnellstmöglich um die Umsetzung der Richtlinie kümmern.