Anforderungen der NIS-2-Richtlinie:
1. Risikomanagement und Sicherheitsmaßnahmen:
- Organisationen müssen ein Risikomanagement betreiben und geeignete Sicherheitsmaßnahmen implementieren, um Cyberrisiken zu minimieren und ihre Widerstandsfähigkeit zu stärken.
- Zu den Maßnahmen gehören Störungsmanagement, Netzwerksicherheit, Zugangskontrolle und Verschlüsselung
2. Meldepflichten:
- Es besteht eine Pflicht zur Meldung von Sicherheitsvorfällen an die zuständigen Behörden. Diese Meldung erfolgt in einem mehrstufigen Verfahren: von der Erstmeldung bis zur Abschlussmeldung
3. Geschäftskontinuität:
- Unternehmen müssen sicherstellen, dass die Geschäftskontinuität auch bei größeren Cybervorfällen gewährleistet ist. Dazu gehören Notfallpläne und Verfahren zur Systemwiederherstellung
4. Lieferkettensicherheit:
- Die Sicherheit der Lieferketten muss ebenfalls gewährleistet sein. Dies betrifft die gesamte Wertschöpfungskette, von der Beschaffung bis zur Lieferung von Dienstleistungen und Produkten
Stand der Umsetzung in Deutschland:
Deutschland arbeitet derzeit an der Umsetzung der NIS-2-Richtlinie in nationales Recht. Die Frist zur Umsetzung endet im Oktober 2024. Ein entsprechender Gesetzesentwurf liegt bereits vor, und das Bundesministerium des Innern und für Heimat ist federführend für diesen Prozess verantwortlich.
Besondere Herausforderungen:
Die Richtlinie erweitert den Kreis der betroffenen Unternehmen und Institutionen. Neben Betreibern kritischer Infrastrukturen (KRITIS) sind nun auch kleinere und mittlere Unternehmen betroffen, die bisher nicht im Fokus standen
Durch die Einführung dieser Richtlinie müssen sich kommunale Unternehmen und Verwaltungen intensiv mit den neuen Anforderungen auseinandersetzen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten und die Meldepflichten zu erfüllen. Die deutsche Gesetzgebung zur Umsetzung der NIS-2-Richtlinie wird bis Oktober 2024 abgeschlossen sein, und entsprechende Maßnahmen müssen bis dahin umgesetzt werden
