Die NIS-2-Richtlinie tritt schon bald in Kraft – Handeln Sie jetzt!
Januar 2023 von Michael Heuer, Area VP DACH, Keepit
Der Europäische Datenschutztag erinnert Unternehmen einmal mehr daran, ihre Governance und ihr Risikomanagement zu überdenken. Sicherlich ist das Thema Datenschutz durch die Datenschutz-Grundverordnung (DSGVO) mehr als präsent – und doch gibt es Sicherheitsverstöße und Probleme im Umgang mit personenbezogenen Daten.
Eine neue Richtlinie, die 2024 in Kraft tritt, wird den Druck auf Unternehmen weiter erhöhen, die Verantwortung für die Sicherung, Dokumentation und Wiederherstellung ihrer Daten zu übernehmen und eine umfassende Risikomanagement-Strategie zu erarbeiten.
Die zunehmende Gefährdung Europas durch Cyberbedrohungen und die steigende Anfälligkeit für Hackerangriffe, die aus der zunehmenden Vernetzung resultieren, verlangen nach einer stärkeren Initiative zum Schutz der digitalen Infrastruktur. Als Reaktion auf diese Entwicklungen hat das EU-Parlament am 10. November 2022 die NIS-2-Richtlinie zur Stärkung der EU-weiten Cybersicherheit verabschiedet, welche unter anderem klare Anforderungen an die Datensicherung und die Wiederherstellung im Katastrophenfall enthält. Die Regulierungsbehörden legen hiermit eindeutige Regeln für Unternehmen fest.
Während die ursprüngliche NIS-Richtlinie, die im Jahr 2016 festgelegt wurde, vor allem kritische Infrastrukturen (KRITIS) abdeckte, sind jetzt weitere wesentliche und wichtige Sektoren hinzugekommen. Dazu gehören die öffentliche Verwaltung, Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Abfallwirtschaft, Luft- und Raumfahrt, kritische Produkte, wie medizinische Geräte, Post- und Kurierdienste, Lebensmittelketten sowie digitale Dienstleistungsplattformen. Entscheidend dafür, ob für Unternehmen die neuen Regularien gelten, sind Größenkriterien: So ist die NIS-2-Richtlinie für mittelgroße Firmen ab 50 Mitarbeitenden und einem Umsatz von zehn Millionen Euro sowie für große Organisationen ab 250 Beschäftigten und einem Umsatz von 50 Millionen Euro relevant. Allerdings können auch kleinere Unternehmen in den Anwendungsbereich fallen, beispielsweise dann, wenn sie an Lieferketten wesentlicher oder wichtiger Einrichtungen beteiligt sind.
Mit der neuen Richtlinie wird diesen Unternehmen ein Risikomanagementkonzept vorgeschrieben. Zu den Mindestanforderungen gehören unter anderem die Prävention, Detektion und Bewältigung von Sicherheitsvorfällen (Incident Management), Business Continuity Management und Krisenmanagement sowie die Sicherheit in der Lieferkette bis hin zur sicheren Entwicklung bei Zulieferern. Eine Missachtung der Regelungen kann hohe Bußgelder oder Sanktionen nach sich ziehen. Aufgrund der umfassenden Sicherheitsmaßnahmen im Bereich des Risikomanagements, die diese Organisationen per Gesetz schon bald implementieren und aufrechterhalten müssen, erhöht sich der Druck, die technischen und organisatorischen Grundlagen hierfür zu legen.
Was die Unternehmen, die unter diese Regelungen fallen, jetzt tun können, ist die Durchführung einer fundierten Risikoanalyse. Erst dann lässt sich ausmachen, wie hoch das Potenzial von Cybervorfällen ist und welche Auswirkungen im schlimmsten Fall drohen. Im Zuge dessen können organisatorische und technische Maßnahmen umgesetzt werden, um auf die potenziellen Risiken zu reagieren. Keepit kann Unternehmen dabei unterstützen, belastbare Datenschutz- und Verwaltungsdienste für ihre SaaS-Workloads zu implementieren und damit die gesetzlichen Anforderungen der NIS-2-Richtlinie zu erfüllen – mit dem übergeordneten Ziel, die Geschäftskontinuität zu schützen. Allerdings sollte zunächst analysiert werden, welche Funktionen als wesentlich eingestuft werden und inwieweit es möglich ist, diese kritischen Funktionen nach einem Vorfall oder einer Unterbrechung des Geschäftsbetriebs aufrechtzuerhalten
Leider weisen heute immer noch Unternehmen große Defizite im Bereich Backup und Disaster Recovery auf, da sie sich oftmals nicht bewusst sind, dass sie selbst in der Verantwortung stehen, die Daten, die sie tagtäglich verarbeiten, zu schützen – dies ist nicht Aufgabe des SaaS-Anbieters. Sich dieser Verantwortung zu stellen, ist der erste Schritt hin zur resilienten Organisation. Denn die Fähigkeit, Daten zu dokumentieren und wiederherzustellen, ist der Schlüssel zur Aufrechterhaltung der Geschäftskontinuität.