TÜV NORD GROUP empfiehlt Unternehmen frühzeitig neue Cyberresilienz-Kriterien der EU zu erfüllen

Die Europäische Union will die Cyberresilienz von wesentlichen und wichtigen Unternehmen in ihren Mitgliedsstaaten erhöhen. Dafür soll die neue IT-Sicherheitsrichtlinie NIS2 sorgen. Sie wird deutlich mehr Unternehmen betreffen als der Vorgänger NIS aus dem Jahr 2016 – auch Kleine und Mittlere. Die neue EU-Richtlinie wird am 17. Oktober 2024 in Kraft treten. Die Expert:innen von TÜVIT, Tochter der TÜV NORD GROUP, empfehlen, sich bereits jetzt mit den Neuerungen und Änderungen auseinanderzusetzen.

„Die neue EU-Richtlinie ist auch eine Chance für Unternehmen, ihre Cybersicherheitsmaßnahmen zu überdenken und zu verbessern. Wer die Anforderungen einhält, wird damit auch das Vertrauen der Kund:innen stärken und sich selbst stärker vor Cyberangriffen schützen“, so Jacques Kruse Brandao, Global Head of Advocacy bei TÜVIT und Experte für die neue EU-Richtlinie NIS2.

Schätzungen gehen davon aus, dass zwischen 25.000 und 40.000 Unternehmen in Deutschland von der NIS2-Richtlinie betroffen sind und ihre Cyber-Security-Maßnahmen verschärfen müssen. Dazu gehören nun nicht mehr nur Betreiber:innen bisher bekannter Kritischer Infrastrukturen (KRITIS). Auch für Lebensmittelproduzierende und -händler, Online-Marktplätze, Unternehmen aus dem Entsorgungssektor, Hersteller von Maschinen und elektronischem Equipment oder Wasserstoff-Produzenten und -Händler gilt die neue EU-Richtlinie. Darüber hinaus werden betroffene Unternehmen viele dieser Cybersicherheitsanforderungen auch von deren Zulieferern fordern, um ihre eigene Cybersicherheit nicht zu gefährden, wodurch sich die Zahl der betroffenen Unternehmen noch einmal erheblich erhöht.
Die Herausforderung: Unternehmen sind dazu verpflichtet, selbst festzustellen, ob sie in den Geltungsbereich der NIS2 fallen. Zwei Kriterien sind dafür entscheidend: die Unternehmensgröße und der Sektor. Wenn Unternehmen mehr als 50 Mitarbeitende beschäftigen und einen Umsatz von mehr als zehn Millionen Euro pro Jahr erzielen, sind sie von NIS2 betroffen, wenn sie in einem entsprechenden Sektor tätig sind. Die EU-Richtlinie definiert 18 Unternehmenssektoren. Elf von ihnen gelten als solche mit hoher Kritikalität und sieben als sonstige kritische Sektoren. Kommen betroffene Unternehmen den Auflagen bis Mitte Oktober 2024 nicht nach, drohen hohe Geldstrafen. Sie sind in Zukunft auch dazu verpflichtet, sich als betroffenes Unternehmen zu registrieren und Störungen und Cyber-Angriffe umgehend zu melden.

TÜVIT unterstützt Unternehmen im Hinblick auf die Implementierung geeigneter Risikomanagementmaßnahmen, auch gegenüber Partnern innerhalb ihrer Lieferkette. Mit einer von TÜVIT geprüften Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001, §8a oder IT-Grundschutz und weiteren organisatorischen und technischen Maßnahmen sowie der Überarbeitung ihrer Einkaufsrichtlinien sind Unternehmen dann für die erneuerten gesetzlichen Reglungen gewappnet und besser vor Cyberangriffen geschützt.