NIS2: Was zu tun ist, um konform zu sein. Die Einhaltung der Vorschriften in den Mitgliedstaaten und die Situation in Italien.
Lassen Sie uns noch einmal über NIS2 sprechen und darüber, wie Sie sich anpassen können. Um den ersten Teil zu lesen, klicken Sie hier.
Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die NIS2-Maßnahmen in nationales Recht umzusetzen und zu veröffentlichen. Die Nichteinhaltung der NIS2 bis zum Ablauf der Frist kann zu verschiedenen Geldstrafen und Gebühren führen, sowohl für Einzelpersonen als auch für die Organisation als Ganzes.
Die Nachricht dieser Tage ist, dass in Italien am 24. Februar das Gesetz, das der Regierung die Befugnis zur Umsetzung der Richtlinie überträgt, im Staatsanzeiger veröffentlicht wurde.
Jetzt liegt der Ball also bei unserer Exekutive, die die nationale Gesetzgebung an die europäischen Vorgaben anpassen muss.
In der Zwischenzeit lässt sich mit Sicherheit sagen, dass es verschiedene Formen von Sanktionen für Organisationen gibt, die die gesetzten Fristen nicht einhalten, darunter nicht-monetäre Rechtsmittel, Verwaltungsstrafen und strafrechtliche Sanktionen, die je nach Art und Größe der betroffenen Organisation und der Lücke zwischen geplanter und tatsächlicher Umsetzung variieren.
Die nationalen Aufsichtsbehörden können nicht-monetäre Sanktionen verhängen, darunter Anordnungen zur Einhaltung der Vorschriften, verbindliche Anweisungen, Anordnungen zur Durchführung von Sicherheitsaudits und die Verpflichtung, Kunden über Bedrohungen zu informieren.
Die Verwaltungssanktionen unterscheiden sich je nachdem, ob sie auf wesentliche oder wichtige Akteure abzielen. Für erstere sieht die neue Verordnung vor, dass die nationalen Behörden Geldbußen von mindestens 10.000.000 EUR oder 2 Prozent des weltweiten Jahresumsatzes verhängen. Bedeutende Akteure hingegen können mit einer Höchststrafe von mindestens 7.000.000 EUR oder 1,4 Prozent des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.
Im Vergleich zur NIS-Richtlinie verlagert die NIS2 die Verantwortung für die Umsetzung und Aufrechterhaltung von IT-Sicherheitsmaßnahmen von der IT-Abteilung auf das Managementteam. Leitende Angestellte können von den Mitgliedstaaten persönlich haftbar gemacht werden, wenn ein IT-Vorfall aufgrund grober Fahrlässigkeit seitens des Unternehmens eintritt.
Zu den Sanktionen gehören: die Veröffentlichung von Compliance-Verstößen, die Veröffentlichung der Namen der natürlichen und juristischen Personen, die für den Verstoß verantwortlich sind, und, im Falle einer Schlüsselfigur, das Verbot, im Falle wiederholter Verstöße eine Führungsposition zu bekleiden.
Schritte zum Erreichen der NIS2-Konformität
Obwohl für die vollständige Umsetzung von NIS2 ein langer Zeitrahmen von 24 Monaten vorgesehen ist, ist eine frühzeitige Vorbereitung entscheidend, um die Anforderungen vollständig zu erfüllen. Die Planung einer Strategie, die Koordinierung mit Drittanbietern und die Budgetierung benötigen Zeit. Daher ist es für Unternehmen klug, einige Schritte im Voraus zu unternehmen, um einen rechtzeitigen und stressfreien Implementierungsprozess zu gewährleisten.
Im Folgenden finden Sie einige Schritte, die Unternehmen befolgen sollten, um die Vorschriften rechtzeitig zu erfüllen.
- Treffen Sie sich mit dem Management und den Beteiligten, um die Implementierungsstrategie zu besprechen und die Auswirkungen von NIS2 auf die tägliche Arbeit zu bewerten.
- Stellen Sie sicher, dass alle Vorstandsmitglieder, Manager, das IT-Team und die Mitarbeiter, die wichtige Dienste leisten, die NIS2-Anforderungen verstehen.
- Identifizieren Sie kritische Elemente und Prozesse, die wesentliche Dienste bereitstellen, und führen Sie eine Kritikalitätsanalyse durch, um Bereiche zu identifizieren, in denen die IT-Sicherheitsmaßnahmen nicht den NIS2-Anforderungen entsprechen.
- Identifizieren Sie Drittanbieter von wichtigen Diensten und deren potenzielle Schwachstellen.
- Erstellen Sie einen Plan zur Sensibilisierung für die Cybersicherheit, der alle Ebenen des Unternehmens einbezieht, um sicherzustellen, dass sowohl die Mitarbeiter als auch die Vorstandsmitglieder über aktuelle und künftige Aufgabenänderungen, Erwartungen an die Berichterstattung und andere Cybersicherheitsthemen informiert sind.
- Finden Sie Compliance-Partner, die Sie bei der Einhaltung der Vorschriften unterstützen oder anleiten können.
- Stellen Sie das notwendige Budget für die Umsetzung der Anforderungen von NIS2 bereit.
- Sobald alle NIS2-Maßnahmen umgesetzt sind, führen Sie eine zweite Lückenanalyse durch, um die vollständige Einhaltung sicherzustellen.
Ein wichtiger Punkt ist die Schulung von Führungsgremien und Mitarbeitern, damit diese über ausreichende Kenntnisse und Fähigkeiten verfügen, um Risiken zu erkennen und Praktiken des Cybersecurity-Risikomanagements zu bewerten.
Der Faktor Mensch steht nach wie vor im Mittelpunkt aller Sicherheitsverfahren und muss am meisten gestärkt werden, um nicht nur die neue Richtlinie zu erfüllen, sondern eine echte und starke Sicherheitsbarriere gegen Kriminalität zu schaffen.
Daher sind nicht nur theoretische Schulungen, sondern kontinuierliche Schulungen und Übungen, die auf dem Bereitschaftsniveau jedes einzelnen Mitarbeiters aufbauen, die wirksamste Garantie, um Cyberangriffe, Datendiebstahl, Geschäftsunterbrechungen sowie wirtschaftliche und Imageschäden zu verhindern und zu minimieren.