Artikel erschienen am 19.06.2023
Finanzen Steuern Recht | Hannover 2023
E-Paper

Resilienz verbessern – Informationssicherheit umsetzen

So erfüllen Sie die Vorgaben der NIS-2-Richtlinie

Von Thomas Althammer, Hannover
Thomas Althammer
Thomas Althammer
Geschäftsführer, Mitbegründer, Berater

Ist man gegenüber derartigen physischen Angriffen oft machtlos, kann man sich jedoch vor Attacken in der virtuellen Welt schützen – denn auch diese verursachen sehr realen Schaden.

Netzwerk- und Informationssicherheit erhöhen

Um sich vor Cyber-Kriminalität zu schützen sollen in der EU höhere Cyber-Security-Mindeststandards etabliert werden; zu diesem Zweck ist am 16.01.2023 die EU-NIS-2-Richtlinie (2016/1148) in Kraft getreten. Die Mitgliedstaaten müssen die Richtlinie nun bis zum 17.10.2024 in nationales Recht umsetzen.

Wer ist betroffen?

Ein Kernpunkt der neuen Richtlinie ist die Erweiterung der KRITIS-Sektoren. Lag es bisher im Ermessen der Mitgliedstaaten, die Kriterien festzulegen, welche Unternehmen zur kritischen Infrastruktur gehören, werden künftig allgemeine Schwellenwerte gelten. Konkret sind betroffen:

  •  Mittlere Unternehmen mit
    - 50 bis 250 Beschäftigten,
    - 10-50 Mio. € Umsatz und
    - bis zu 43 Mio. € Bilanzsumme
  •  Große Unternehmen mit
    - mehr als 250 Beschäftigten,
    - über 50 Mio. € Umsatz und
    - mehr als 43 Mio. € Bilanzsumme.

Gleichzeitig wird die Anzahl der Sektoren auf 18 vergrößert – dabei wird unterschieden zwischen elf wesentlichen („essential“) und sieben wichtigen („important“) Sektoren, an die verschieden hohe Anforderungen bzgl. der umzusetzenden Maßnahmen gestellt werden.
Erstmals werden Mindestanforderungen an Cyber-Sicherheit und Risiko-Management bei den Betreibern gestellt, u. a. zu Risikoanalyse und Informationssicherheit, Sicherheit der Lieferketten (Supply Chain), aber auch Schulungen im Bereich der Cyber-Sicherheit. Überwacht wird die Einhaltung der NIS-2 vom Bundesamt für Sicherheit in der Informationstechnik. Bei Nichterfüllung der Vorgaben drohen empfindliche Bußgelder.

Was ist zu tun?

Aufgrund der aktuellen Cyber-Sicherheitslage wird allen Unternehmen empfohlen, sich kritisch mit dem eigenen Reifegrad in Sachen Informationssicherheit auseinanderzusetzen. Zu den wirksamsten Schritten gehören:
- Informationssicherheit zentral verankern und
Ressourcen bereitstellen
- Sensibilisierung und Schulung von Mitarbei-  tenden, z. B. mit Security-Awareness-Kampagnen
- Systeme und Komponenten auf dem neues -
 ten Stand halten
- durchgängiges Identitätsmanagement  mit  Mehrfaktor-Authentifizierung
- Absicherung von Netzwerk, Geräten und
  Applikationen
- Implementierung, Kontrolle und Verbesserung
von Backup- und Notfallkonzepten.

Externe Begleitung und Überprüfung nach dem 4-Augen-Prinizp ist eine wirksame Maßnahme, um einen wirksamen Schutz vor Cyber-Angriffen zu verankern.

Ähnliche Artikel

Finanzen Steuern Recht

Compliance made in EU

Die Digitalstrategie der EU am Beispiel ausgewählter Rechtsakte – ein kurzer Überblick

Die Einhaltung regulatorischer Vorgaben für digitale Produkte ist nicht nur zielführend, um eine rechtliche Verantwortlichkeit des Unternehmens oder der Geschäftsführung zu vermeiden.

Hannover 2023 | LL.M. David Faber, Hannover

Finanzen Steuern Recht

Steueroptimaler Verkauf einer Freiberufler-Praxis

einer Freiberufler-Praxis

Freiberufler – insbesondere Ärzte, Rechtsanwälte, Steuerberater etc. – organisieren sich immer noch überdurchschnittlich häufig als Einzelpraxis (Einzelunternehmen) oder in einer Personengesellschaft (GbR, PartmbB etc.).

Hannover 2023 | Dr. Iur. Zacharias-Alexis Schneider, Hannover
Drucken