Die inzwischen in den letzten Abstimmungen befindlichen Referentenentwürfe zu NIS 2 zeigen deutlich die Pflichten von NIS2 Unternehmen auf und erweitern den Umfang für KRITIS-Unternehmen. Nach bisheriger Planung treten diese zum 18. Oktober 2024 in Kraft.
So werden verpflichtend:
- Registrierung beim BSI
- Schwerpunkt der Regelungen: Zeitgerechtes Melden aller erheblichen Sicherheitsvorfälle innerhalb von 24 Stunden
- Obligatorische Meldung beim BSI
Zudem auch für KRITIS – Unternehmen relevant:
Auch für bereits als kritische Infrastruktur eingestufte Organisationen gilt: Die Meldepflichten werden ausgedehnt, zudem gibt es Schulungspflichten und Überwachspflichten des Risikomanagements durch die Institutionsleitung. Auch wird die Sicherheit der Lieferkette jetzt Teil der KRITIS-Nachweisprüfung.
Einschätzung der Relevanz
Bei der DSGVO die sich auf den „Stand der Technik“ bezog, waren Verstöße schwerer nachweisbar. Das ist bei NIS2 anders, denn fehlende Registrierung oder verspätete oder unterlassene Meldung eines Vorfalls sind nun klar nachweisbar und damit einfacher sanktionierbar. Es drohen Bußen in Millionen-Höhe für die die Geschäftsführung nun direkt haftbar gemacht werden kann.
Was muss ich als Betroffener tun?
Wir empfehlen Ihnen entsprechende Maßnahmen und Prozesse im Vorfeld zu planen und zu dokumentieren. Zudem sollten neben der verpflichteten Schulung der Geschäftsführung auch die an der Entdeckung, Qualifizierung und Meldung beteiligten Mitarbeiter geschult werden.
Wir unterstützen Sie gerne mit Beratung auf Basis unserer best practices durch unsere zertifizierten Informationssicherheitsberater oder Auditoren.