Mehr Sicherheit durch EU-NIS2
Mehr Sicherheit durch EU-NIS2
Die steigende Anzahl von Cyberangriffen gerade auch auf öffentliche Einrichtungen resultiert in immer höhere Mehraufwände für Vorfallsbewältigung und Wiederherstellung der Arbeitsfähigkeit. Vor diesem Hintergrund werden effektive Präventions- und Reaktionsmaßnahmen unerlässlich.
Mit dem Ziel einer regulatorischen Vereinheitlichung reagiert die Europäische Union u. a. mit der EU-NIS2 Richtlinie. NIS steht in diesem Kontext für Netzwerk- und Informationssicherheit. Dabei ersetzt und erweitert die neue Richtlinie ihre Vorgängerin NIS1 und wird durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Für die Umsetzung ist den EU-Mitgliedsstaaten eine Frist bis Oktober 2024 auferlegt worden. In der Gesetzgebung werden dabei Mindeststandards definiert, die durch betroffene Einrichtungen umgesetzt und eingehalten werden müssen.
Das NIS2UmsuCG legt achtzehn Sektoren, darunter auch die öffentliche Verwaltung, fest, denen eine besondere Bedeutung für die Gesellschaft beigemessen wird. Im Unterschied zu privatwirtschaftlichen Einrichtungen wird erwartet, dass öffentliche Einrichtungen unabhängig von ihrer Größe automatisch zu den besonders wichtigen Einrichtungen gezählt werden. Dazu ist eine noch nicht veröffentliche Anlage 3 zum Gesetz geplant.
Mit Einordnung einer öffentlichen Einrichtung in diese Kategorie müssen neue Pflichten umgesetzt werden. So bestehen beispielsweise Pflichten zur Meldung von IT-Sicherheitsvorfällen unter Einhaltung vorgegebener Fristen und Inhalte.
Daneben sind ebenso Maßnahmen in verhältnismäßigem Umfang umzusetzen. Dazu zählen u. a. ein Risikomanagement, der Test von Szenarien zur Bewältigung von IT-Vorfällen und Konzepte zum Management von Schwachstellen. Darüber hinaus fordert das NIS2UmsuCG die Einbeziehung der Lieferanten und Dienstleister und somit die Sicherstellung der IT-Sicherheit über die gesamte Lieferkette hinweg, z. B. beim Erwerb und der Wartung von Hardware.
Voraussichtlich ab Oktober 2024 werden, mit Inkrafttreten des NIS2UmsuCG, konkrete Fristen für die Implementierung der gestellten Anforderungen feststehen. Die Umsetzung der geforderten Punkte soll durch entsprechende Aufsichtsbehörden geprüft werden.
Die vom Gesetzgeber zu erwartenden Fristen werden wahrscheinlich nicht mit dem zeitlichen Umfang für die Umsetzung der geforderten Maßnahmen korrelieren. Dies bedeutet, dass sich die öffentlichen Einrichtungen schon jetzt mit der Analyse ihrer IT-Sicherheit auseinandersetzen müssen, um die umzusetzenden Maßnahmen zu identifizieren und angehen zu können.
Unsere Experten der BDO Cyber Security GmbH können Sie bei der Analyse und Umsetzung der Maßnahmen unterstützen. Nach einem Ersttermin zur Absprache führen wir gemeinsam mit Ihnen eine SOLL-IST-Analyse durch, ermitteln Abweichungen und erstellen einen individuellen, auf Ihre Bedürfnisse zugeschnittenen Maßnahmenplan. Bei der Etablierung der Maßnahmen stehen wir Ihnen selbstverständlich ebenso zu Seite.