Seit Jahren eskalieren Cyberangriffe – doch Unternehmen haben dem digital gestützten Verbrechen oft allzu wenig entgegenzusetzen. Deshalb zog die EU-Kommission Anfang 2023 die Notbremse: Mit der NIS-2-Richtlinie erweitert die EU den Einzugsbereich der Cybersecurity-Regulierung deutlich über den Vorgänger NIS 1 von 2016 hinaus.
Zielte NIS 1 noch rein auf den Schutz kritischer Infrastruktur, so betrifft NIS 2 alle Unternehmen und Organisationen, die laut EU-Gesetzgeber für den europäischen Wirtschaftsraum „wesentlich“ (im deutschen Gesetzestext: „sehr wichtig“) oder zumindest „wichtig“ sind. Das sind 18 Branchen von Abfallwirtschaft bis Weltraumtechnik. Von Organisationen dieser Branchen ab 50 Beschäftigten fordert NIS 2 ein konsequentes Cyberrisikomanagement – wie auch von allen Unternehmen, die Teil der digitalen Lieferkette dieser Organisationen sind.
Viele Entscheider – und offenbar auch der deutsche Gesetzgeber 🙄 – sind noch längst nicht gut genug auf diese kommende Anforderung vorbereitet. Für die Publikation Security-Insider habe ich deshalb mit Blick auf Unternehmen, insbesondere KMUs, die sich noch nicht näher mit NIS 2 beschäftigt haben, einen Best-Practice-Leitfaden verfasst. Dieser erläutert in zehn Schritten, was zu tun ist, um in puncto NIS 2 rechtskonform zu agieren. Denn NIS-2-Konformität ist, wie diverse Fachleute in meinen Recherche-Interviews zum Thema betonten, beileibe kein Hexenwerk.
Den Leitfaden gibt es hier gegen Registrierung als kostenloses E-Paper zum Download.
IT Info 2 Go 