Erlenbach am Main - Der Countdown läuft, und die Frist bis Oktober 2024 ist alles andere als großzügig.
23.11.2023 - 08:00:00Kommt das IT-Sicherheitsgesetz? Warum Unternehmen jetzt schon in ihre Cloud-Security investieren sollten. Die neue EU-Richtlinie NIS2 wird das bisherige IT-Sicherheitsgesetz 2.0 stark verändern und den Anwendungsbereich deutlich erweitern. Während bisher vor allem größere Unternehmen mit kritischer Infrastruktur im Fokus standen, müssen bald auch kleinere und mittelständische Unternehmen ihren Cybersecurity-Plan überdenken.
"Andere Länder sind in Sachen IT-Sicherheit schon weiter. Wir haben hier dringenden Handlungsbedarf, und Unternehmen sollten nicht auf das Gesetz warten, sondern bereits jetzt in ihre Cloud-Sicherheit investieren", warnt Diplom-Mathematiker und IT-Profi Andreas Schwan. Warum Unternehmen jetzt schon in ihre Cloud-Security investieren sollten und was sie dabei beachten sollten, verrät er in diesem Beitrag.
Hintergrund: Daten zu NIS2
Die Abkürzung NIS2 steht für Network and Information Systems. Die Richtlinie, die seit Januar 2023 in Kraft getreten ist, entspricht der Gesetzgebung, die in der gesamten EU die Cybersicherheit erhöhen soll. Im Gegensatz zur bisher geltenden NIS-Richtlinie nimmt die Erweiterung NIS2 auch kleine und mittelständische Unternehmen in die Pflicht, ihren Betrieb aktiv gegen Cyberangriffe zu schützen. Spätestens im Oktober 2024 müssen verschiedene Maßnahmen umgesetzt sein.
Planung: Umsetzung von NIS2 in Deutschland
In Deutschland wurden im April und im Juli 2023 Entwürfe vorgestellt, wie NIS2 umgesetzt werden soll. Wie schon der Vorgänger, das IT-Sicherheitsgesetz 2.0, soll auch das sogenannte "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG) aus mehreren Gesetzesartikeln bestehen, die unter anderem das Bundesgesetz für die Sicherheit in der Informationstechnik (BSIG) enthalten. Außerdem sehen die Entwürfe vor, dass nun auch kleinen und mittelständischen Unternehmen Pflichten zur Gewährleistung der Cybersecurity auferlegt werden.
Dazu gehören unter anderem Risikomanagementmaßnahmen, Meldepflichten bei Cybersicherheitsvorfällen und Registrierungspflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Besonders kritische Einrichtungen müssen zusätzlich Systeme zur Angriffserkennung implementieren. Separat wurden Betriebe, die dem Energie-Sektor angehören, behandelt. Die Pflichten, die für sie aus NIS2 entstehen, werden überwiegend im Energiewirtschaftsgesetz EnWG verankert.
Konkret: Pflichten von Unternehmen aufgrund von NIS2
Ab Oktober 2024 müssen Unternehmen aus 18 verschiedenen Sektoren, in denen mindestens 50 Mitarbeiter beschäftigt sind und die einen Mindestumsatz von 10 Millionen Euro haben, Cybersecurity-Maßnahmen ergreifen. Unter anderem sollen sie dabei internationale Normen (z. B. ISO/IEC 27001) beachten. Außerdem wird der regelmäßige Nachweis von Risikobewertungen und Audits verpflichtend. Kommt es zu Sicherheitsvorfällen, sind diese an die zuständigen Behörden zu melden. Auch die Mitarbeiter müssen regelmäßige Trainings zur "Cyberhygiene" durchführen. Zuletzt sollen die Sicherheitsmaßnahmen nicht nur im eigenen Unternehmen gewährleistet sein, sondern in der gesamten Lieferkette eines Betriebs. Weigert sich ein Geschäftsführer, die Vorgaben von NIS2 umzusetzen, haftet er persönlich und kann mit Bußgeldern bis 20 Millionen Euro belangt werden.
Empfehlung: Vorbereitung auf die Umsetzungen
Bereits jetzt können Unternehmen einige Maßnahmen zur Cloud-Security ergreifen. Dabei erfordert die Sicherung von Cloud-Umgebungen eine ganzheitliche Strategie, die die technologischen, organisatorischen und menschlichen Aspekte der Sicherheit berücksichtigt. Es ist wichtig, dass Unternehmen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und anpassen, um auf neue Bedrohungen und Entwicklungen in der Cloud-Sicherheit zu reagieren. Die folgenden Maßnahmen können als Orientierung dienen:
Über Andreas O. Schwan:
Als Experte für das Management von Informationen und Daten unterstützt Dipl. - Math. (FH) Andreas O. Schwan Konzerne sowie kleine und mittelständische Unternehmen dabei, ihrer Datenmengen zielführend zu organisieren und sie gewinnbringend einzusetzen. Auf diese Weise öffnet er seinen Kunden die Tore zu schnellerem Wachstum und mehr Umsatz.
Pressekontakt:
Dipl. - Math. (FH) Andreas O. Schwan
https://symbiontek.com
E-Mail: a.schwan@symbiontek.com
Pressekontakt:
Ruben Schäfer
redaktion@dcfverlag.de
Original-Content von: Symbiontek übermittelt durch news aktuell