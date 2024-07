Bremen (ots) -Die Anforderungen an Datenschutz und IT-Sicherheit werden von Jahr zu Jahr strenger und unübersichtlicher. Damit Unternehmen in diesem Dschungel aus Paragrafen und Richtlinien den Überblick behalten, steht ihnen Dietmar Niehaus, Geschäftsführer des Instituts für Datenschutz und Datensicherheit, als fachlich kompetenter Partner zur Seite. Mit seiner Unterstützung gelingt es Unternehmen, Sicherheitskonzepte und Handlungspläne für den Ernstfall zu entwickeln und so im Notfall handlungsfähig zu bleiben und die geltenden Richtlinien zu erfüllen. Hier beleuchtet er, was bereits über die neue NIS-2-Richtlinie bekannt ist und wie sich Unternehmen darauf einstellen.Nach der DSGVO kommt auf Unternehmen Ende des Jahres bereits der nächste Hammer in Sachen IT-Sicherheit zu: So soll laut der neuen NIS-2-Richtlinie zur Netzwerk- und Informationssicherheit künftig die Unternehmensleitung persönlich dafür haften, wenn IT-Systeme nicht hinreichend gesichert sind. Zu diesem Zweck sieht der Gesetzgeber empfindliche Strafen vor. "Bei grob fahrlässigen Verstößen gegen Datenschutzrichtlinien sollen die Vorstandsmitglieder beziehungsweise Geschäftsführer eines Unternehmens schon bald persönlich zur Kasse gebeten werden können - und das mit Strafen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes des betroffenen Unternehmens", warnt Dietmar Niehaus vom Institut für Datenschutz und Datensicherheit."Um das zu vermeiden, müssen Unternehmen sich entsprechend auf die Neuerungen vorbereiten", so der Experte weiter. "Dabei gilt: Schon aus praktischen Gründen ist es sinnvoller, rechtzeitig ein sinnvolles Konzept zur IT-Sicherheit und zum Umgang mit Cyberangriffen zu erstellen. Wer dies mit professioneller Unterstützung in Angriff nimmt, erfüllt automatisch den Großteil der Bedingungen von NIS 2." Als externer Sicherheits-Experte unterstützt er zahlreiche Firmen in allen Fragen zu Datenschutz, IT-Sicherheit und geltenden Richtlinien. Was genau sich durch NIS 2 ändert und wie Unternehmen schon jetzt vorsorgen können, hat er im Folgenden zusammengefasst.Entscheidungsträger bald persönlich für IT-Sicherheitsprobleme haftbarAngesichts der steigenden Zahl an Cyberangriffen und der immer höheren Schadenssummen, die dadurch entstehen, haben EU-Legislatoren beschlossen, Unternehmen zur Stärkung ihrer IT-Sicherheit zu verpflichten. Die Verantwortlichen erhoffen sich davon, insbesondere kritische Wirtschaftssektoren und Institutionen widerstandsfähiger gegen Hacker, Ransomware und andere digitale Bedrohungen zu machen. So sind Unternehmen nicht länger nur für die eigene Sicherheit verantwortlich, sondern auch dazu verpflichtet, Informationen zu sicherheitsrelevanten Vorfällen und Cyberbedrohungen mit den zuständigen Stellen zu teilen und die IT-Sicherheit ihrer Lieferketten zu garantieren.Gleichzeitig erweitert NIS 2 die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik. So werden in Zukunft nicht nur mehr Unternehmen unter die Meldepflichten fallen, sondern auch strengere Sanktionen über die Verantwortlichen verhängt werden, falls diese ihre Sorgfaltspflicht vernachlässigen. Beispielsweise könnten die Vorstandsmitglieder einer Supermarktkette, die global einen Jahresumsatz von 125 Milliarden Euro erzielt, bei schweren Vorfällen zu Strafen von jeweils bis zu 2,5 Milliarden Euro verpflichtet werden - dies entspräche nämlich den im Entwurf vorgesehenen zwei Prozent des Umsatzes.Strengere Anforderungen an IT-Sicherheitskonzepte in AussichtKonkret sieht die Richtlinie vor, dass betroffene Unternehmen sich nach dem Stand der Technik gegen Cyberbedrohungen absichern. Dazu gehört neben der vorsorglichen Implementierung zeitgemäßer Sicherheitsvorkehrungen auch die Erstellung von Konzepten, die es ermöglichen, im Falle eines Angriffs handlungsfähig zu bleiben und die betroffenen IT-Systeme möglichst schnell wiederherzustellen. Dafür sollten Unternehmen konkrete Handlungspläne für Sicherheitsvorfälle entwickeln und speziell die IT-Verantwortlichen mit den nötigen Ressourcen ausstatten, um die Folgen von Sicherheitsvorfällen auf ein Minimum zu begrenzen.Als Frist für die Implementierung der Konzepte und Leitlinien ist der 17. Januar 2025 vorgesehen. Bis zu diesem Zeitpunkt müssen die Unternehmen, die unter die Richtlinie fallen, alle Vorkehrungen abgeschlossen und sich beim BSI gemeldet haben. Ferner gilt es, Mitarbeiter und Führungskräfte stärker als bisher zum Thema Cybersicherheit zu beschulen und fortlaufend das Sicherheitsbewusstsein für die neuen Bedrohungen zu sensibilisieren. Werden Schwachstellen in den eigenen Systemen gefunden, müssen diese ebenfalls unverzüglich gemeldet werden, sodass auch andere Betroffene die Lücken schließen können.NIS 2 nicht fürchten, sondern zum Anlass für Verbesserung nehmenWie genau der Gesetzgeber die deutsche Umsetzung der NIS-2-Richtlinie realisieren wird, ist aktuell noch nicht bekannt. Sehr wohl aber ist davon auszugehen, dass das BSI wie bisher im EU-weiten Vergleich relativ strenge Anforderungen an IT-Sicherheitskonzepte stellen wird. Glücklicherweise betrifft NIS 2 nicht alle Unternehmen und Institutionen - Schätzungen und Hochrechnungen zufolge etwa 30.000 an der Zahl. Wer mit Experten wie denen des Instituts für Datenschutz und Datensicherheit zusammenarbeitet, hat von der NIS-2-Richtlinie nichts zu befürchten. Im besten Falle sind nur kleine Anpassungen an bestehenden Notfallplänen und Sicherheitskonzepten vonnöten, um NIS-2-konform zu werden.Dennoch sollte kein Unternehmen die gestiegenen Anforderungen an die IT-Sicherheit auf die leichte Schulter nehmen. Vielmehr sollten gerade jetzt auch diejenigen, die noch nicht von den Neuerungen betroffen sind, diese als Anlass sehen, an sinnhaften Sicherheitskonzepten und Strategien für das Krisenmanagement zu arbeiten. Für Firmen, die von NIS 2 betroffen sein werden, gilt hingegen, dass sie unbedingt einen Experten wie Dietmar Niehaus zurate ziehen sollten, um eine vollständige und umfassende Risikoanalyse zu erstellen und auf dieser Basis die richtigen Maßnahmen zu ergreifen.Benötigen auch Sie Unterstützung, um den steigenden Anforderungen an Datenschutz und IT-Sicherheit gerecht zu werden? 