NIS2-Checkliste: Ist Ihre Organisation von der Cybersicherheits-Richtlinie betroffen?
NIS2 schreibt auch für mittlere Unternehmen ein cyberphysisches Sicherheitskonzept vor. Eine Checkliste von Assa Abloy ermöglicht die Überprüfung, ob eine Organisation unter die Regelung fällt.
Die NIS2-Richtlinie für Netz und Informationssicherheit soll die Resilienz der kritischen Infrastruktur Europas gegen digitale Angriffe verbessern. Dazu sieht die überarbeitete Version der bisherigen NIS-Richtlinie für Unternehmen ein effektiveres Risikomanagement vor. Begleitet wird dieses von einem umfangreicheren Katalog an Compliance-Vorgaben und strengeren Sanktionen. Die entscheidende Neuerung der Richtlinie, die noch in nationales Recht umgesetzt werden muss, liegt allerdings in der deutlichen Ausweitung der als versorgungskritisch eingestuften Sektoren und den abgesenkten Schwellenwerten, ab denen Organisationen in die Pflicht genommen werden.
KMU-Test sagt starken Anstieg der „wichtigen“ Einrichtungen voraus
Während kleine und Kleinstunternehmen bis auf Ausnahmefälle kaum in den Anwendungsbereich von NIS2 fallen dürften, wird die Zahl der betroffenen Betriebe mittlerer Größe sprunghaft ansteigen. So geht der aktuelle Referentenentwurf zum NIS2-Umsetzungsgesetz (NIS2UmsuCG) davon aus, dass zu den bereits heute rund 6.000 Betreibern kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse zusätzlich rund 23.850 besonders wichtige und wichtige Einrichtungen in den Anwendungsbereich der Rechtsänderungen fallen werden. Ein laut Referentenentwurf vorab durchgeführter KMU-Test zeigt, dass die als wichtig eingestuften Einrichtungen mit voraussichtlich rund 20.900 Unternehmen dabei den Löwenanteil stellen. Da hierunter bereits alle Unternehmen fallen, die in einem der 18 als versorgungsrelevant definierten Sektoren tätig sind und wenigstens 50 Mitarbeitende beschäftigen, kann dies für viele Betriebe unmittelbaren Handlungsbedarf bedeuten! Besonders Unternehmen, die bislang noch kein Managementsystem für Informationssicherheit gemäß ISO 27001 oder ähnliches implementiert haben, sollten sich daher umgehend mit den Anforderungen und Pflichten von NIS2 auseinandersetzen. Eine fristgerechte Erfüllung dürfte andernfalls nur schwer zu schaffen sein, denn die Umsetzungspflicht für die Richtlinie ist der 17. Oktober 2024 und schon am Folgetag gilt die Anwendungspflicht durch betroffene Unternehmen.
Darum ist Zögern keine Option
Nun häufen sich seit einiger Zeit die Anzeichen dafür, dass Deutschland die Frist zur NIS2-Umsetzung möglicherweise nicht einhalten wird. Neuerlicher Abstimmungsbedarf zwischen dem Bundesministerium für Justiz, dem Auswärtigen Amt sowie die Klärung der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) gegenüber dem BMI hatten dazu geführt, dass Anfang Mai 2024 anstelle eines Regierungsentwurfs ein neuerlicher (vierter) Referentenentwurf vorgelegt wurde. Informierte Kreise gehen daher bereits von einer möglichen Verschiebung auf Ende des Jahres aus.
Doch was bedeutet das nun konkret für Unternehmen? Im Grunde nichts. Denn mit den letzten Entwürfen gab es weder bei den Betreiberpflichten noch bei den Betroffenheiten und der Zuständigkeit im Bund substanzielle Änderungen. Dass die wesentlichen Eckdaten bereits vorliegen, betont auch der aktuelle Referentenentwurf, indem er darauf verweist, dass die maßgeblichen Inhalte der NIS2-Richtlinie bezüglich der Verpflichtungen von wesentlichen und wichtigen Einrichtungen „bereits seit dem Kommissionsentwurf aus Dezember 2020 bekannt“ (S. 189) seien. Alternativen zu NIS2 gebe es ohnehin „Keine.“ (S. 3). Unternehmen sollten also im Interesse einer wehrhaften IT-Sicherheitskultur, die im Übrigen auch den physischen Schutz beinhalten sollte, nicht auf das finale „Go“ des Gesetzgebers warten. Der erste Schritt dazu ist die Überprüfung der eigenen Betroffenheit. Mit der NIS2-Checkliste von Assa Abloy geht diese Überprüfung besonders schnell und einfach.
Zum kostenfreien Download der der NIS2-Checkliste geht es hier.