Intelligente Software für mehr Qualität im Gesundheitswesen.
Cyberkriminelle können in 93 % der Unternehmensnetzwerke eindringen. Kein Wunder also, dass Europa die neue NIS2-Richtlinie geschaffen hat. Diese Sicherheitsrichtlinie zielt darauf ab, mehr Cybersicherheit und Widerstandsfähigkeit für wichtige Unternehmen in der EU zu gewährleisten. Vor einiger Zeit haben wir einen Blog über das Wesen von NIS2 geschrieben. Inzwischen ist mehr über die neue Richtlinie bekannt. So hat die niederländische Regierung beispielsweise angedeutet, dass sie die Frist für die NIS2-Gesetzgebung nicht einhalten wird. Sind Sie neugierig auf die neuesten Entwicklungen? Dann lesen Sie schnell weiter!
Hatten Sie schon vor einem Jahr von der NIS2-Richtlinie gehört? Hat Ihre Organisation damals aktiv daran gearbeitet? Wahrscheinlich lautet die Antwort "nein", aber das traf damals auf die meisten Organisationen zu. Inzwischen taucht die Cybersicherheitsrichtlinie regelmäßig in den Nachrichten auf. Haben Sie diese Beiträge trotzdem verpasst? Wir fassen für Sie kurz die wichtigsten Grundlagen zur NIS2 zusammen:
Gut zu wissen: Viele NIS2-Maßnahmen sind Teil der grundlegenden Informationssicherheitsmaßnahmen, an denen Ihre Organisation wahrscheinlich bereits teilnimmt. Diese Maßnahmen sind auch in anderen (inter)nationalen Normen enthalten, wie z. B. ISO27001.
Möchten Sie mehr darüber erfahren, was die NIS2-Richtlinie ist, welche Verpflichtungen Sie haben und für wen sie gilt? Das können Sie hier nachlesen.
Was bedeutet die NIS2-Richtlinie für die Niederlande? Wie bereits kurz erwähnt, haben die europäischen Mitgliedsstaaten bis zum 17. Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen. Ende Februar teilte die scheidende Justiz- und Sicherheitsministerin Dilan Yeşilgöz-Zegerius mit, dass die Niederlande diese Frist nicht einhalten werden. Der Grund? Das Gesetzgebungsverfahren und die Materie sind komplexer als erwartet.
Dies ist einer der Gründe, warum Sie als "wichtige" oder "unverzichtbare" Organisation dies als ein Signal sehen sollten, sich nicht zurückzulehnen: die Komplexität. Auch der scheidende Minister Yeşilgöz ruft die Organisationen auf, die Vorbereitungen trotzdem fortzusetzen. Es ist besser, heute anzufangen und das Tempo beizubehalten, denn gute Vorbereitungen brauchen Zeit.
Viele niederländische Unternehmen haben "noch keine Ahnung", was sie erwartet. Laut 'Samen Digitaal Veilig' betrifft die neue europäische Richtlinie mehr als 50.000 niederländische Unternehmen. Nur eine kleine Minderheit ist sich der neuen Anforderungen bewusst. Dies könnte erhebliche Folgen für die niederländischen Unternehmen haben. Tausende von Unternehmen laufen Gefahr, Kunden zu verlieren, wenn sie zu spät mit der Umsetzung von NIS2 beginnen. Vor allem Deutschland ist Vorreiter und misst der Einhaltung der Vorschriften große Bedeutung bei.
Ein weiterer Grund, mit der Arbeit an der NIS2-Gesetzgebung zu beginnen (falls Sie sie noch brauchen)... Auf internationaler Ebene wird die europäische Gesetzgebung einfach wie geplant umgesetzt. Warten Sie also auf keinen Fall, wenn Ihre Organisation internationale Niederlassungen oder Kunden hat.
Die Vorwegnahme der NIS2-Richtlinie ist laut Thierry van Delden, Compliancy & Privacy Offer bei Infoland, nicht nur eine Frage des Wunsches, neue Gesetze zu erfüllen. "Compliance ist ein strategischer Schritt, um sich als Unternehmen gegen Cyber-Bedrohungen zu wappnen. Und selbst wenn das Niveau Ihrer Cybersicherheit noch so gut ist, wenn Sie unter die NIS2-Richtlinie fallen, müssen Sie eine Menge zusätzlicher Maßnahmen ergreifen."
Denken Sie an die Einrichtung von Richtlinien und Verfahren , mit denen Sie die Meldepflicht gestalten, aber auch an die Identifizierung und Absicherung von Risiken. Dabei geht es nicht nur um die Sicherheitsrisiken in Ihrer eigenen Organisation - der NIS2-Leitfaden beschreibt deutlich, dass Sie auch die Sicherheit innerhalb Ihrer Lieferantenkette gewährleisten sollten.
Welche Maßnahmen Sie ergreifen sollten, wenn die Richtlinie in Kraft tritt, hängt davon ab, welches Label Ihre Organisation erhält: "wesentlich" oder "wichtig". Die Kennzeichnungen waren in der alten NIS-Richtlinie von 2016 noch nicht enthalten.
Die Anzahl der Sektoren wurde erweitert, da es heute weitaus mehr Cyberangriffe gibt als noch 2016: So berichtet das National Cyber Security Centre (NCSC ), dass zwischen März 2022 und Februar 2023 mehr als 10.000 Cybervorfälle gemeldet wurden. Daher musste die NIS-Richtlinie verschärft werden, wobei die Kennzeichnungen "wesentlich" und "wichtig" helfen.
Organisationen, die für das Funktionieren der niederländischen Gesellschaft von entscheidender Bedeutung sind, werden als "wesentlich" bezeichnet. Wenn eine solche Organisation aufgrund eines Cyberangriffs zum Stillstand käme, hätte dies schwerwiegende Auswirkungen auf das Land. Denken Sie an Kraftwerke, Flughäfen, Banken oder Krankenhäuser.
Das Ausscheiden von Organisationen, die als "wichtig" eingestuft sind, hat vielleicht keine direkten Auswirkungen auf die Gesellschaft, aber es könnte große Auswirkungen auf unser Leben und die niederländische Wirtschaft haben. Beispiele für "wichtige" Organisationen sind Telekommunikations- oder Internetanbieter, Post- und Paketdienste oder Abfallwirtschaftsunternehmen.
"Wesentliche oder wichtige Organisationen werden bald den gleichen Anforderungen an das Cybersicherheitsmanagement unterliegen; sie alle haben eine Sorgfaltspflicht", sagt Thierry. "Der Hauptunterschied zwischen den beiden Labels ist das Niveau der Überwachung der Einhaltung der Vorschriften".
Wenn Sie als wichtige Organisation die Vorschriften nicht einhalten, sind die Folgen gravierender. So drohen Ihnen beispielsweise Geldbußen von mindestens 10 Millionen Euro oder 2 % Ihres Jahresumsatzes. Halten Sie sich als wichtiges Unternehmen nicht an die NIS2-Richtlinie? Dann droht Ihnen eine Geldstrafe von bis zu 7 Millionen Euro oder 1,4 % Ihres weltweiten Jahresumsatzes.
Ein unzureichendes Bewusstsein für die neue Richtlinie könnte niederländische Unternehmen teuer zu stehen kommen. Um dies zu verhindern, wurde Digital Secure Together (SDV) gegründet. In dieser Zusammenarbeit haben sich 63 Industrie- und Dachverbände zusammengeschlossen. Ziel von SDV ist es, Lieferanten von NIS2-Organisationen dabei zu helfen, ihre Cybersicherheit in Ordnung zu bringen. Laut SDV kann man mit dem Einstieg in die NIS2 nicht länger warten. Die Niederlande sind ihrer Meinung nach einer der Nachzügler. Eine konzertierte Aktion ist notwendig!
Die Zentralregierung rät den Organisationen auch, Maßnahmen zu ergreifen, um die Kontinuität der Geschäftsprozesse besser zu gewährleisten. Dies sind zum Teil auch die Maßnahmen, die als Sorgfalts- und Meldepflicht in der NIS2-Gesetzgebung enthalten sind.
Zenya ist zwar keine Sicherheitslösung, aber unsere Software kann Ihrer Organisation helfen, die Maßnahmen zu sichern. Zenya RISK kann verwendet werden, um Ihre Cybersicherheitsrisiken zu kartieren. Es ermöglicht Ihnen, diese einfach zu identifizieren, zu kontrollieren, zu überwachen und nachzuweisen. Mit Zenya CHECK können Sie wichtige Lieferanten auf die Einhaltung der NIS2-Richtlinie prüfen. Der Umfang, in dem Sie dies tun müssen, hängt davon ab, unter welches Label Ihre Organisation und Ihre Lieferanten fallen (wesentlich oder wichtig).
Unsere Experten beraten Sie gerne, wie Sie Zenya für die Informationssicherheit einsetzen können.
Fordern Sie die Broschüre an, um alle Informationen bequem zur Hand zu haben.
Möchten Sie sehen, was Zenya für Ihre Organisation tun kann? Fordern Sie eine kostenlose Demo an.
Kontaktieren Sie unsere Experten unverbindlich. Wir freuen uns darauf, mit Ihnen mitzudenken.
