Zwei Frauen arbeiten in einem Serverraum: Die NIS-2-Richtlinie verpflichtet Firmen dazu, ihre IT sicherer zu machen gegen Cyberangriffe. © picture alliance / Bildagentur-online/Blend Images/Erik Isakson
  • Von Barbara Bocks
  • 09.08.2024 um 12:27
artikel drucken artikel drucken
lesedauer Lesedauer: ca. 02:55 Min

Die NIS-2-Richtlinie soll für mehr Cybersicherheit in Firmen sorgen. Sie tritt offiziell ab 17. Oktober 2024 in Kraft. Viele mittelständische Firmen sind aber aktuell noch nicht auf dem neuesten Stand. Was neben dem Crowdstrike-Vorfall noch für bessere IT-Schutzmaßnahmen spricht und wie das klappt.

Am 17. Oktober 2024 tritt die NIS-(kurz für Network und Information Security)-2-Richtlinie in Deutschland offiziell in Kraft. Die EU-Richtlinie zielt darauf ab, die Cybersicherheit und -resilienz von Unternehmen zu stärken. Aktuell ist das Thema bei vielen Unternehmen aber noch nicht in der Chefetage angekommen. Diesen Eindruck hat der Gewerbeversicherungsspezialist Finanzchef24.

Die Richtlinie NIS-2 betrifft in Deutschland laut Angaben der Bundesregierung rund 28.500 Unternehmen. Sie wird aktuell ins deutsche Recht übernommen. Das Bundeskabinett hat dafür den NIS-2-Entwurf am 24. Juli 2024 beschlossen.

Die neue Richtlinie soll Firmen resilienter gegen Cyberangriffe machen. „Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind“, erklärte Bundesinnenministerin Nancy Faeser zur Verabschiedung. Künftig sollen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen.

Die NIS-2-Richtlinie soll zunächst für Unternehmen gelten,

  • die mehr als 50 Mitarbeiter beschäftigen und
  • mehr als 10 Millionen Euro Umsatz erwirtschaften und
  • die in kritischen Wirtschaftsbereichen tätig sind.
Viele Firmen gehören zum kritischen Sektor und wissen es nicht

„Das Problem: Vielen Unternehmen ist gar nicht bewusst, dass sie in einem kritischen oder besonders wichtigen Sektor unterwegs sind“, sagt Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24. Dieses Problem sieht er vor allem bei Mittelständlern aus den Branchen Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Banken und Finanzmärkte.

„Vom Prinzip ist der Feinkosthändler mit Catering ab einer gewissen Größe ebenso betroffen wie ein Baugeldvermittler, der zu Krediten verhilft“, erklärt Rezvanian. Das Team von Finanzchef24 geht daher laut eigenen Recherchen eher von 40.000 betroffenen Firmen aus.

Crowdstrike-Vorfall sollte als IT-Weckruf dienen

Die kürzlich durch den Update-Fehler Crowdstrike verursachten weltweiten IT-Ausfälle sollten für alle Firmen ein Weckruf sein, sich widerstandsfähiger gegen IT-Notfälle aufzustellen, heißt es vom Finanzchef24-Team.

Gerade jene Unternehmen, die unter den Mindestvorgaben liegen, sollten aus Sicht des Online-Gewerbeversicherers die verbleibende Zeit bis zum Inkrafttreten im Oktober nutzen. „Denn Malware-Bots machen nicht vor der Unternehmensgröße halt“, so Rezvanian.

Ransomware-Angriffe sind aus Rezvanians Sicht mittlerweile weit verbreitet. Dabei suchen die Angreifer nach einer Schwachstelle im System, verschlüsseln die Daten und erpressen anschließend das Unternehmen. Diese Methode sei besonders beliebt und einfach durchzuführen. „Cybercrime as a Service“ sei mittlerweile als Geschäftsmodell etabliert.

Deshalb sind strengere Sicherheitsvorgaben für die IT von Firmen sehr wichtig. Dazu zählen aus Sicht von Rezvanian konkrete Maßnahmen wie:

  • regelmäßige Risikoanalysen,
  • Stresstests,
  • Notfallpläne,
  • tägliche Datensicherungen,
  • Sicherheitstrainings für Mitarbeiter,
  • 2-Faktor-Authentifizierung oder
  • eine angemessene Rechteverwaltung.

Unternehmen sollten die NIS-2-Richtlinie als Anlass nehmen, die IT zu durchleuchten. Diese Aufgabe sieht Rezvanian bei den Geschäftsführern. „Geschäftsführer und IT-Leiter können persönlich haftbar gemacht werden, wenn sie ihre Sicherheitsverpflichtungen nicht erfüllen“, warnt der Experte.

Ab Oktober wird der Abschluss einer Cyberversicherung schwieriger

Das Team von Finanzchef24 rät Firmen jetzt, eine Cyberversicherung zu prüfen. Denn ab Oktober 2024 werde der Abschluss dieser Versicherung für Unternehmen wegen der neuen Richtlinie schwieriger.

Wer in den kommenden Wochen handelt, könne doppelt profitieren. „Wer jetzt einen Angebotsprozess für IT-Cyberversicherungen durchläuft, kann im Zuge dessen die Mindestanforderungen ins eigene Unternehmen übertragen“, erklärt Rezvanian.

Einige Versicherer bieten sogenannte Antragsmodelle an: Dort können Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So erhalten Firmen auch Hinweise auf wesentliche IT-Schwachstellen.

autorAutorin
Barbara

Barbara Bocks

Barbara Bocks ist seit 2011 als Journalistin im Wirtschafts- und Finanzbereich unterwegs. Seit Juli 2024 ist sie als Redakteurin bei der Pfefferminzia Medien GmbH angestellt.

kommentare

Hinterlasse eine Antwort

kommentare

Hinterlasse eine Antwort

Pfefferminzia Logo rgb
Zuletzt hinzugefügt
Warum KI, Social Media und SEO wichtig für Makler sind
Neues Gesprächsformat „Mehrcura-Café“

Warum KI, Social Media und SEO wichtig für Makler sind

Wie die Zukunft der bAV aussieht
Handelsblatt Jahrestagung bAV 2024

Wie die Zukunft der bAV aussieht

Zuletzt hinzugefügt
„Warum sollte KI vor Nachhaltigkeit haltmachen?“
Hoher Energieverbrauch, aber mehr Effizienz

„Warum sollte KI vor Nachhaltigkeit haltmachen?“

„Nutzt die Magie der Kooperation“
Interview-Reihe „Auf dem Weg zum Unternehmer“

„Nutzt die Magie der Kooperation“

„Ich stelle eine echte Verbindung zu meinen Kunden her“
Interview-Reihe „Auf dem Weg zum Unternehmer“

„Ich stelle eine echte Verbindung zu meinen Kunden her“

Skip to content