NIS2 und KRITIS-Dachgesetz: Neu denken erforderlich
Die europäische Cybersicherheitsrichtlinie NIS2 definiert höhere Mindeststandards für die IT-Sicherheit Kritischer Infrastrukturen und erweitert zugleich den Kreis der durch sie regulierten Einrichtungen. Ein Statement von Peter Schippel, Business Development Manager PEU bei Assa Abloy Sicherheitstechnik.
Mit NIS2 wächst beispielsweise die Zahl der betroffenen Wirtschaftssektoren auf 18 und umfasst gegenüber den klassischen KRITIS-Bereichen nun auch bestimmte produzierende Betriebe und Industrien. Gefordert sind unter anderem Konzepte zur Risikoanalyse, ein Backup-Management, Maßnahmen zur Aufrechterhaltung des Betriebs, der Einsatz von Verschlüsselungstechnologie sowie Meldepflichten bei Cybersicherheitsvorfällen.
Da NIS2 gegenüber KRITIS zugleich niedrigere Schwellenwerte bei Mitarbeiterzahl und Jahresumsatz festlegt, müssen künftig auch mittlere Unternehmen Maßnahmen ergreifen, die bisher nur für größere Firmen galten. Wenn die Richtlinie in nationales Recht umgesetzt wird, erhöht sich die Zahl der betroffenen Einrichtungen deutlich, und zwar von 6.000 auf rund 29.500 Unternehmen. Unmittelbar vor der Sommerpause hat das Bundeskabinett den „Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie” beschlossen, der jetzt noch vom Bundestag gebilligt werden muss. Damit rückt die zuletzt immer stärker infrage gestellte pünktliche Umsetzung des NIS2UmsuCG zum 17. Oktober 2024 zumindest wieder in den Bereich des Möglichen.
Vor diesem Hintergrund und der zeitgleich beabsichtigten Umsetzung des neuen KRITIS-Dachgesetzes sind Unternehmen also gut beraten, ihre Sicherheitsstrategien grundlegend zu überdenken, um für mehr Cyber-Resilienz zu sorgen. Da auch NIS2 einen gefahrenübergreifenden Ansatz verfolgt, genügt es dabei allerdings nicht, die IT- und Operational-Technology-Umgebung (OT) ausschließlich gegenüber digitalen Angriffen abzusichern. Auch Maßnahmen zum physischen Schutz von Anlagen, Netzwerkzugangspunkten und Mitarbeitenden sind erforderlich, um die Integrität und Zuverlässigkeit betroffener Einrichtungen zu gewährleisten.
Die Implementierung leistungsfähiger digitaler Schließ- und Zutrittskontrolltechnik kann einen entscheidenden Beitrag zur Erfüllung dieser Anforderungen leisten. Hierzu zählen etwa die lückenlose Protokollierung von Zutrittsereignissen und die Vergabe spezifischer Zugangsberechtigungen in Abhängigkeit von Rolle und Profil der Nutzer – einschließlich der Sperrung von Schlüsseln. Besonders effektiv und flexibel sind redundante Systeme, welche die Möglichkeiten der kartenbasierten digitalen Zutrittskontrolle mit einem schlüsselbasierten elektronischen Schließsystem kombinieren.
