Countdown für NIS-2: Deutschland kurz vor der Umsetzung

FTAPI erklärt, warum es jetzt an der Zeit ist, zu handeln.

München, den 20. August 2024 – FTAPI, führender Anbieter von Lösungen für den sicheren Datentransfer, erweitert sein Kernprodukt FTAPI SecuRooms um ein umfassendes Audit-Trail-Feature. Dieses neue Werkzeug verbessert die Transparenz, Sicherheit und Compliance von Unternehmensdaten, indem es alle Aktivitäten innerhalb eines Systems oder Prozesses protokolliert. Dadurch ist es für Unternehmen leichter gesetzliche Vorschriften bei der Sicherung ihrer Daten einzuhaltenDer Countdown läuft: In weniger als zwei Monaten, am 17. Oktober 2024, endet die Frist zur Umsetzung der NIS-2-Richtlinie in deutsches Recht. Mit dem neuen Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu – doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln 

Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess. In Deutschland führte dies zu intensiven Diskussionen, insbesondere in Bezug auf die Harmonisierung mit bestehenden Gesetzen wie dem IT-Sicherheitsgesetz 2.0. Erst im Juli 2024 konnte die Bundesregierung das „Gesetz zur Umsetzung von EU NIS2 und zur Stärkung der Cybersicherheit“ verabschieden, das nun die Grundlage für die zukünftige Cybersicherheit in Deutschland bildet. 

Das unterschätzte Risiko der Nachweispflichten: 

Während sich viele Diskussionen um die umfangreichen neuen Sicherheitsmaßnahmen drehen, bleibt ein Aspekt oft unbeachtet: Die erheblich ausgeweiteten Nachweispflichten. Unternehmen müssen zukünftig nicht nur umfassend dokumentieren, welche Sicherheitsmaßnahmen sie umgesetzt haben, sondern auch nachweisen, dass diese Maßnahmen wirksam sind. Dies wird insbesondere für mittelständische Unternehmen, die bisher keine umfangreichen Compliance-Strukturen haben, eine große Herausforderung darstellen. Kleine und mittelständische Unternehmen verfügen häufig nicht über die notwendigen Ressourcen, die für eine detaillierte Dokumentation und kontinuierliche Überwachung von Sicherheitsmaßnahmen erforderlich ist. Begrenztes Personal, knappe IT-Budgets und komplexe regulatorische Anforderungen führen dazu, dass interne Prozesse grundlegend angepasst werden müssen.
 

Neue EU-weite Standards im Fokus 

Interessant und bisher wenig diskutiert ist die Rolle der neuen EU-weiten Standards, die durch die NIS-2-Richtlinie etabliert werden sollen. Die EU-Kommission hat angekündigt, bis Oktober 2024 einen spezifischen Implementierungsakt zu verabschieden, der verbindliche technische Anforderungen für verschiedene Sektoren festlegt. Dazu zählen Cloud-Dienste, soziale Netzwerke und Betreiber von Online-Marktplätzen. Diese europaweit einheitlichen Standards könnten in einigen Fällen die nationalen Anforderungen überlagern und werden daher eine entscheidende Rolle für die betroffenen Unternehmen spielen. 

Besonders für die Geschäftsführung wird es ernst 

Ein Aspekt, der ebenfalls noch nicht flächendeckend thematisiert wurde, ist die Einführung von persönlichen Haftungsrisiken für Geschäftsführer. Dies geht weit über die bisher üblichen Compliance-Vorgaben hinaus. Sollte ein Unternehmen die neuen Anforderungen nicht erfüllen, drohen nicht nur dem Unternehmen selbst, sondern auch den Geschäftsverantwortlichen empfindliche Strafen. Die NIS-2-Richtlinie sieht Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. 

„Die NIS-2-Richtlinie bringt einen deutlichen Paradigmenwechsel für die Cybersicherheit in Deutschland”, sagt Ari Albertini, CEO bei FTAPI. “Insbesondere die neuen Haftungsregeln und die erweiterten Nachweispflichten stellen Unternehmen vor große Herausforderungen. Es ist entscheidend, dass Unternehmen jetzt handeln und ihre Sicherheitsstrategien anpassen. Sie sollen dabei nicht nur gesetzeskonform agieren, sondern sich auch in Zeiten wachsender Cyberbedrohungen zukunftssicher aufstellen.“ 

Handlungsempfehlungen für Unternehmen 

  1. Überprüfung und Aktualisierung von Cybersicherheitsstrategien: Unternehmen sollten ihre bestehenden Sicherheitskonzepte jetzt auf die neuen Anforderungen der NIS-2-Richtlinie hin überprüfen und aktualisieren. Insbesondere die Vorgaben zur Risikoanalyse, Incident Response und Dokumentation müssen an die neuen Standards angepasst werden. 
  2. Schulung und Sensibilisierung der Geschäftsführung: Angesichts der neuen Haftungsrisiken ist es unerlässlich, dass die Geschäftsführung umfassend über ihre Pflichten und Verantwortlichkeiten informiert ist. Schulungen zu den rechtlichen Anforderungen und zu den konkreten Sicherheitsmaßnahmen sind dringend zu empfehlen. 
  3. Implementierung von Compliance- und Reporting-Tools: Die erweiterten Nachweispflichten erfordern den Einsatz von spezialisierten Tools, die eine lückenlose Dokumentation und Berichterstattung ermöglichen. Unternehmen sollten geeignete Softwarelösungen implementieren, um diese Anforderungen effizient zu erfüllen. 
  4. Zusammenarbeit mit externen Experten: Gerade für mittelständische Unternehmen, die möglicherweise nicht über die internen Ressourcen verfügen, kann die Zusammenarbeit mit externen Cybersicherheits- und Compliance-Experten entscheidend sein. Diese können helfen, die neuen Vorgaben in die Praxis umzusetzen und Risiken zu minimieren. 

Noch zwei Monate bis zur Umsetzung  

Während die Frist zur Umsetzung der NIS-2-Richtlinie näher rückt, sollten Unternehmen diese Zeit nutzen, um ihre Sicherheitsstrategien zu überprüfen und anzupassen. Insbesondere die erweiterten Nachweispflichten und die neue persönliche Haftung der Geschäftsführung machen ein proaktives Handeln unerlässlich. 

NIS-2-Richtlinie: Mehr Sicherheit für den europäischen Cyberraum.

Was bedeutet NIS-2 für Unternehmen? Wer ist betroffen und vor allem: Was können Unternehmen tun, um ready für NIS-2 zu sein? Wir haben alle wichtigen Informationen für Sie zusammengefasst.

Über die FTAPI Software GmbH

Das Münchener Software-Unternehmen FTAPI bietet eine umfassende Plattform für einfache und sichere Daten-Workflows und Automatisierung. Damit verbindet FTAPI Menschen, Daten und Systeme sicher, schnell und einfach. Seit 2010 vertrauen über 2.000 Unternehmen, Behörden und medizinische Einrichtungen mit mehr als einer Million Nutzer:innen auf die Produkte SecuMails, SecuRooms, SecuForms und SecuFlows – egal ob es um das Senden oder Empfangen von Daten, den strukturierten Dateneingang, das Teilen von vertraulichen Informationen oder die sichere Automatisierung von Daten-Workflows geht: Mit der Secure Data Workflow Plattform von FTAPI sind sensible Datenjederzeit geschützt.

Kontakt für Presseanfragen

Melanie Meier
melanie.meier@ftapi.com

Tel. +49 89 230 6954 96