Das neue NIS2-Gesetz ist auf dem Weg

Von Christoph Straub

Angesichts der sich ständig weiterentwickelnden Cyber-Bedrohungen sehen sich Unternehmen einem erhöhten Druck ausgesetzt, ihre Informations- und Cybersicherheitsmaßnahmen zu verstärken. Ein neues deutsches Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS2) wird bald Tausende von Unternehmen auch dazu verpflichten, in Informations- und Cybersicherheit zu investieren. Wir untersuchen die Auswirkungen von NIS2 auf Unternehmen in Deutschland, erläutern die Schritte, die sie unternehmen müssen, um die Vorschriften einzuhalten, und zeigen die verfügbaren Optionen auf, um sich auf das neue Regelwerk vorzubereiten.

Bis 2023 waren in Deutschland nur etwa 1.700 Unternehmen von Informationssicherheitsvorschriften betroffen. Mit der Umsetzung von NIS2 in deutsches Recht werden jedoch zusätzlich 25.000 bis 30.000 Unternehmen gesetzlich verpflichtet sein, Informationssicherheits-maßnahmen zu implementieren. NIS2 unterscheidet sich in mehreren Punkten von bestehenden Normen und Standards. Unternehmen müssen sich nun bei den Behörden registrieren, Vorfälle melden, ohne die Haftung auszuschließen, und mit möglichen Sanktionen auf Basis der weltweiten Umsätze rechnen. Darüber hinaus betont NIS2 die Geschäftskontinuität im Falle von Informationssicherheitsvorfällen, was Druck auf die Organisationen, Ressourcen und Infrastrukturen der Unternehmen ausübt.

Um sich auf NIS2 vorzubereiten, müssen Unternehmen geeignete Informationssicherheitsmaßnahmen in einer strukturierten und strategischen Weise implementieren. Die Wahl der richtigen Basisnorm, wie ISO 27001 oder BSI IT-Grundschutz, ist entscheidend. ISO 27001 ist eine flexible internationale Norm, die für Unternehmen jeder Größe geeignet ist, während BSI IT-Grundschutz eine deutsche Norm ist, die eher für mittelständische und große Unternehmen geeignet ist. Unabhängig von der gewählten Norm wird die Implementierung von Informationssicherheitsmaßnahmen die Widerstandsfähigkeit gegen Cyber-Bedrohungen erhöhen.

Noch ist unklar, wann genau die Unternehmen die vollständige
Einhaltung nachweisen müssen. Dennoch sollten sie bereits jetzt mit den Vorbereitungen beginnen, um eine Chance zu haben, rechtzeitig bereit zu sein. Eine vollständige Informationssicherheitszertifizierung
ist ein drei Jahreszyklus, und die Vorbereitung für diesen Zyklus erfordern ebenfalls erhebliche Anstrengungen der gesamten
Unternehmensorganisation.

Laden Sie den vollständigen Artikel herunter, um ein umfassendes Verständnis von NIS2 zu erhalten und zu erfahren, wie Sie eine robuste, cyber-resiliente und NIS2-konforme Architektur für Ihre Organisation aufbauen können.

Melden Sie sich jetzt an, um die vollständige Publikation zu „Das neue NIS2-Gesetz ist auf dem Weg“ herunterzuladen. Zusätzlich erhalten Sie regelmäßige News und Updates direkt in Ihre Inbox.