Die Network-and-Information-Security- Richtlinie 2.0 (Richtlinie (EU) 2022/2555, „NIS2-RL“) wurde im Dezember 2022 verabschiedet. Diese stellt eine Reaktion auf die erhöhte Bedrohungslage im Hinblick auf Cyberangriffe und die damit verbundene Erhöhung der Anforderungen an die Abwehr solcher Vorfälle dar. Wir fassen die wesentlichen Punkte für Sie zusammen:
NIS2-RL ist seit 12/2022 in Kraft. Deutschland und alle anderen EU-Staaten müssen die RL bis 17.10.2024 umsetzen. Es lohnt sich also für alle Firmen, bereits jetzt darauf zu reagieren, die Anforderungen genau zu studieren (Informationen finden Sie in unserem Kurs Informationssicherheit und Cybersecurity) und erforderliche Maßnahmen zu ergreifen. So können Änderungen an Geschäftsprozessen und Verwaltungsabläufen in Ruhe und geordnet vorgenommen werden.
Führungskräfte und die Geschäftsleitung werden persönlich in Haftung genommen, wenn die Cybersicherheit im Betrieb nicht gewährleistet und die in der NIS2-RL vorgeschriebenen Maßnahmen zur Prävention von IT-Sicherheitsvorfällen nicht umgesetzt wurden. Die Überwachung damit verbundener Aktivitäten im Risikomanagement, z.B. die regelmäßige Schulung aller Mitarbeiter:innen, wird damit zur Aufgabe von Inhaber:innen und Verantwortlichen in Praxen, MVZ und Kliniken.
Die NIS2-RL weitet den bisherigen Anwendungsbereich deutlich aus. Hier finden Sie einige Beispiele für kritische und hochkritische Sektoren:
Hochkritische Sektoren: Hier zu zählen Verkehr, Banken und Finanzmärkte, Gesundheitswesen, Trink- und Abwasser, Digitale Infrastruktur, Verwaltung, Luft- und Raumfahrt. Kritische Sektoren: Sie umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemieindustrie, Lebensmittel (Produktion, Verarbeitung, Vertrieb), Gewerbe, digitale Dienste und Forschung.
Davon betroffen sind alle Einrichtungen und Unternehmen mit mehr als 50 Mitarbeitern und Mitarbeiterinnen oder einem Jahresumsatz von mehr als 10 Mio EUR. Im Gesundheitswesen trifft dies also jedes deutsche Krankenhaus sowie nahezu alle MVZ. Auch Großpraxen werden betroffen sein, da der Umsatz von 10 Mio. EUR rasch erreicht ist. Auch im Gesundheitssektor werden durch die NIS2-RL fortan viel mehr Einrichtungen durch das EU-Cybersicherheitsrecht reguliert. Im Unterschied zur bisherigen Rechtslage werden sämtliche Hersteller medizinischer Geräte im Sinne der europäischen Medizinprodukte-Verordnung (EU) 2017/745 von den Vorgaben der NIS2-RL erfasst und nicht mehr nur Hersteller bestimmter Medizinprodukte, die bestimmte Schwellenwerte überschreiten. Das kann ebenfalls viele Sanitätshäuser und auch Orthopädieschuhmacher treffen.
a) Ermittlung erforderlicher Maßnahmen: Alles in allem liegt den Anforderungen an das Risikomanagement ein gefahrenübergreifender Ansatz zugrunde: Physische und digitale Gefahren sind abzuwägen. Es sollten demnach nicht nur die Gefahren von Phishing- und Hacking-Szenarien berücksichtigt werden, sondern auch Diebstahl, Feuer und Stromausfälle. b) Ergreifen erforderlicher Maßnahmen: NIS2-RL unter anderem folgende Maßnahmen als Teil des aktiven Risikomanagements:
Unser Kurs gibt Ihnen wichtige Hinweise für die praktische Umsetzung
Zum Kurs
Kapitel IV, Artikel 20, Governance (2) (Mehr Information, siehe Quelle) Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern und Mitarbeiterinnen regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben. Zu unserem Kurs
Ggf. können EU-Staaten den Einsatz zertifizierter technischer Lösungen vorschreiben oder Zertifikate zur IT-Sicherheit (z.B. ISO 27001) erlangen.
Mit unserem Kurs Informationssicherheit und Cybersecurity werden alle Mitarbeiter:innen Ihr Wissen in diesem komplexen Bereich erweitern können, um präventiv Cyberhygiene für das Unternehmen zu betreiben. Der erfolgreiche Abschluss des Kursen wird mit einem Zertifikat belegt. So kann gleichzeitig nachgewiesen werden, dass die Schulungspflicht erfüllt wurde.
Wesentliche Einrichtungen: 10 Mio EUR oder 2% des weltweiten Vorjahresumsatzes
Wichtige Einrichtungen: 7 Mio EUR oder 1,4% des weltweiten Vorjahresumsatzes
Die Leitungsebenen wesentlicher und wichtiger Einrichtungen sind daher gut beraten, die Pflicht zum Ergreifen von Risikomanagementmaßnahmen inkl. Schulungen der Mitarbeiter:innen frühzeitig und sorgfältig anzugehen, um Geldbußen wegen Verstößen in empfindlicher Höhe zu vermeiden.
Verschaffen Sie sich und Ihren Mitarbeiter:innen ein Problembewusstsein für beliebte Angriffsmethoden im Internet und lernen Sie mit uns die Gefahrenerkennung und Umgang für Cyberkriminalität. In unserem E-Learningkurs Informationssicherheit und Cybersecurity lernen Sie Angriffe zu vermeiden und wie Sie sich im Schadenfall verhalten sollten.
Zum Kurs Informationssicherheit und Cybersecurity
Zum Datenschutzpaket
https://www.sophos.com/de-de/whitepaper/nis2-directive
Kategorien