Zum Schutz der Cyberlandschaft erliess die Europäische Union 2016 die EU-weite NIS-Gesetzgebung. Die NIS2-Richtlinie wurde 2023 überarbeitet, um die Cyber-Sicherheit weiter zu verbessern und der sich ständig verändernden Bedrohungslandschaft Rechnung zu tragen.
Was bedeutet die NIS2-Richtlinie für Unternehmen? Und sind nur Unternehmen in der EU oder auch ausserhalb betroffen?
Die neue NIS2-Richtlinie («The Network and Information Security (NIS) Directive ») verlangt von Unternehmen und Organisationen aus dem Bereich der kritischen Infrastrukturen und bestimmter digitale Dienstleister ein Mindestmass an Sicherheit, um die gesamte Infrastruktur widerstandsfähiger zu machen. Die Richtlinie gilt für Unternehmen in neu 16 Bereichen (Abfallbewirtschaftung, Abwasser, Bankwesen, Chemie, digitale Infrastruktur, Energie, Finanzmarktinfrastrukturen, Gesundheitswesen, ICT-Service Management B2B, Lebensmittel, öffentliche Verwaltung, Post- und Kurierdienste, Trinkwasser, verarbeitendes/herstellendes Gewerbe, Verkehr und Weltraum). Gefordert werden unter anderem ein verbessertes Risikomanagement sowie die Berücksichtigung von Lieferketten und Abhängigkeiten von Partnerunternehmen.
Auch Unternehmen mit Sitz ausserhalb der EU können von der Richtlinie betroffen sein, da sie bestimmte Anforderungen erfüllen müssen, damit Unternehmen mit Sitz in der EU mit ihnen zusammenarbeiten können.
Konkret bedeutet die neue NIS2-Richtlinie strengere Aufsichtsmassnahmen für die nationalen Behörden und Anforderungen an die Durchsetzung.
Verstösst man gegen die NIS2-Richtlinie, drohen den Unternehmen hohe Bussgelder. Deshalb sollten Sie entsprechende Massnahmen in Ihrem Unternehmen ergreifen.
Das Thema Schulung wird sehr wichtig, und es wird verlangt, dass Mitarbeitende regelmässig an Schulungen teilnehmen. Es gibt viele neue und klare Bestimmungen, zu denen Ihre Mitarbeitende geschult werden müssen. Z. B. zu den neuen Risiko- und Informationssicherheitsrichtlinien. Oder dass Sicherheitsvorfälle innerhalb einer bestimmten Frist gemeldet werden müssen.
Damit sich Ihre Mitarbeitenden korrekt und sicher verhalten, d. h. im Sinne der NIS2-Richtlinie, ist es wichtig, dass Sie Ihre Mitarbeitenden schulen und das Bewusstsein für Cyberbedrohungen, wie z. B. Phishing oder Social-Engineering-Techniken, schärfen. Gerne unterstützen wir Sie dabei mit unseren E-Learnings aus 18 Themenbereichen der Informationssicherheit oder erstellen Ihnen Ihr eigenes E-Learning nach Ihren Wünschen.
Doch bevor Sie überhaupt Massnahmen wie Schulungen ergreifen, ist es wichtig, den Stand Ihrer Sicherheitskultur zu kennen und basierend darauf eine langfristige Strategie zu entwickeln. An dieser Stelle empfehlen wir Ihnen unseren Security Awareness Radar®, welcher das Sicherheitsbewusstsein, Verhalten und die Kultur in Bezug auf Informationssicherheit misst. Eine solche Messung zeigt Schwächen und Verbesserungspotential auf, z. B. wenn Mitarbeitende die Richtlinien im Ablagesystem nicht gut finden oder wichtige Sicherheitsprozesse nicht kennen.
Mit unserem Security Awareness Radar® erhalten Sie eine detaillierte Analyse Ihrer Situation und können gezielter Massnahmen ergreifen und Ihr Unternehmen somit fit für die neue NIS2-Richtlinie und die Zukunft machen.
Benötigen Sie unsere Unterstützung oder haben Sie Frage? Zögern Sie nicht, uns zu kontaktieren.
Abonnieren Sie jetzt unseren Newsletter und verpassen Sie keine Neuigkeiten und Blogs mehr zum Thema Informationssicherheit und Security Awareness. Anmeldung über das untenstehende Formular.