Wesentlich Sektoren sind demnach:
• Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
• Gesundheit (Versorger, Labore, F&E, Pharma)
• Transport (Luft, Schiene, Wasser, Straße)• Banken und Finanzmärkte
• Wasser und Abwasser
• Digitale Unternehmen (dazu zählen Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken, Anbieter von Vertrauensdiensten)
• ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung
Wichtige Sektoren sind:
• Post und Kurier
• Abfallwirtschaft
• Chemie
• Ernährung
• Industrie (Technik und Ingenieurwesen)
• Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, sozialer Netzwerke)
• Forschung
Neu ist auch, dass kleine und mittelständische Unternehmen von der Neuauflage der NIS Richtlinie betroffen sein können. Es wird eine sogenannte “size-cap rule” angewendet. Dadurch können auch Unternehmen, die mindestens 50 Mitarbeitende beschäftigen, einen Jahresumsatz oder eine Jahresbilanz von mehr als 10 Millionen Euro haben sowie in einem der oben genannten kritischen oder wichtigen Sektor agieren, Konzepte und Maßnahmenkataloge zur Netz- und IT-Sicherheit einführen und nachweisen müssen.
Die Herausforderung und Umsetzung der geforderten Maßnahmen
Zunächst einmal müssen Unternehmen sich darüber informieren, ob Sie von dem aktualisierten Maßnahmenkatalog der NIS 2-Richtlinien betroffen sind. Gerade kleine und mittlere Unternehmen werden hier verstärkt zur Verantwortung gezogen, da Belange der Cybersicherheit in diesem Sektor oftmals vernachlässigt werden. Fehlendes Fachwissen, mangelnde finanzielle und personelle Ressourcen und der Zeitfaktor spielen bei der Depriorisierung eine Rolle. Dies ist jedoch ein fataler Fehler, da gerade KMU immer weiter ins Visier von Cyberkriminellen geraten. Externe Cybersicherheits-Dienstleister können bei diesen Herausforderungen unterstützend zur Seite stehen und die mangelnde Expertise aufwiegen.
Die Mitgliedstaaten müssen die NIS 2-Richtlinie bis zum 17. Oktober 2024 umgesetzt haben. Anschließend muss die Kommission in regelmäßigen Abständen die Durchführung der Maßnahmen überprüfen – erstmals bis zum 17.10.2027. Die Umsetzung der Maßnahmen sollte jedoch nicht bis zum Stichtag aufgeschoben werden! Letztlich liegt eine fundierte Cyberabwehr nicht nur im Interesse der Gesetzgeber, sondern vielmehr aller beteiligten Parteien. Politik, Wirtschaft, Versicherer und privatwirtschaftliche Akteure profitieren von einer effektiven und resilienten IT-Sicherheit gleichermaßen.
Wir verfolgen den Umsetzungsprozess sehr eng, um konkrete Maßnahmen und Bedarfe zu identifizieren. Regelmäßig tauschen wir uns hierzu auch mit den Experten aus dem Hause GBH aus, um Lösungen zu diskutieren und gemeinsam aufzuzeigen.
Sprechen Sie uns gern für einen Austausch und bei Fragen an!
Autor des Betrags ist Matthias Lange, Senior Director Broker bei Perseus Technologies GmbH.
Titelfoto von Leonhard Niederwimmer auf Pixabay
