Sind Sie bereit für NIS2?
Wahrscheinlich haben Sie schon von der europäischen NIS2-Richtlinie gehört, die sich auf die Cybersicherheit konzentriert. Vielleicht wissen Sie aber nicht, dass die Frist für ihre Umsetzung in das tschechische Rechtssystem bereits im Oktober 2024 abgelaufen ist. Obwohl die Tschechische Republik diese Frist verpasst hat, wird das neue Gesetz zur Cybersicherheit, mit dem die Richtlinie umgesetzt wird, voraussichtlich Mitte 2025 in Kraft treten. Unternehmen werden also bereits in diesem Jahr verpflichtet sein, die neuen Regeln einzuhalten. Was bedeutet das für Sie und worauf müssen Sie achten? Wir haben die Antworten.
Wichtige Fragen und Antworten an einem Ort
Sind die tschechischen Unternehmen bereit?
Leider ist die Antwort nicht sehr positiv. Laut einer Umfrage von EY Czech Republic würden derzeit nur 2% der tschechischen Unternehmen die Anforderungen der NIS2-Richtlinie erfüllen. Viele Unternehmen befassen sich entweder überhaupt nicht mit der Richtlinie oder glauben, dass sie nicht für sie gilt. Ein weiteres Problem ist der geringe Bekanntheitsgrad: Bis zu 72% der Befragten einer kürzlich durchgeführten Umfrage gaben an, noch nie von NIS2 gehört zu haben. Die Unterschätzung der Vorbereitung auf die neue Gesetzgebung kann für Unternehmen schwerwiegende Folgen haben.
Was ist NIS2?
NIS2 (Network and Information Security 2) ist eine aktualisierte europäische Richtlinie zur Stärkung der Cybersicherheit in den EU-Mitgliedstaaten. Ziel ist es, Organisationen widerstandsfähiger gegen Cyberangriffe zu machen und das Sicherheitsniveau europaweit zu harmonisieren. Die Richtlinie erweitert den Kreis der erfassten Einrichtungen und führt strengere Anforderungen an die Sicherheit von Informationssystemen ein. Die Nichteinhaltung dieser Anforderungen wird mit hohen Strafen geahndet, um Unternehmen zu einem proaktiven Ansatz bei der Cybersicherheit zu bewegen.
Welche Anforderungen müssen erfüllt werden?
Die NIS2-Richtlinie legt den Schwerpunkt auf mehrere Schlüsselbereiche:
- Risikomanagement: regelmäßige Bewertung und Verwaltung von Cyber-Risiken.
- Sicherheitsmaßnahmen: Umsetzung von technischen und organisatorischen Maßnahmen zum Schutz von Informationssystemen.
- Meldung von Vorfällen: Verpflichtung zur Meldung von Cyber-Vorfällen an die zuständigen Behörden innerhalb bestimmter Fristen.
- Lieferketten: Gewährleistung der Sicherheit in der gesamten Lieferkette.
- Strafen: Die Nichteinhaltung wird mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens geahndet, je nachdem, welcher Betrag höher ist.
Wie viele Unternehmen sind betroffen?
In der Tschechischen Republik werden schätzungsweise 6.000 Unternehmen von der NIS2-Richtlinie betroffen sein, darunter Organisationen in kritischen Sektoren wie Energie, Verkehr, Gesundheitswesen, Finanzen und digitale Infrastruktur. Viele dieser Unternehmen haben jedoch noch nicht die notwendigen Maßnahmen ergriffen, um die neuen Anforderungen zu erfüllen. Die Nichteinhaltung der Richtlinie kann nicht nur zu finanziellen Strafen führen, sondern auch zu Rufschädigung und Vertrauensverlust bei Kunden oder Geschäftspartnern.
Was sollten Unternehmen tun?
- Überwachen und aktualisieren: Überwachen Sie kontinuierlich den Stand der Cybersicherheit und passen Sie die Maßnahmen an die aktuellen Bedrohungen an.
- Informieren Sie sich: Machen Sie sich mit den Anforderungen der NIS2-Richtlinie vertraut und finden Sie heraus, ob sie für Sie gilt.
- Führen Sie eine Risikoanalyse durch: Bewerten Sie den aktuellen Stand der Cybersicherheit in Ihrem Unternehmen und ermitteln Sie Schwachstellen.
- Maßnahmen umsetzen: Setzen Sie die notwendigen technischen und organisatorischen Maßnahmen zur Stärkung der Sicherheit um.
- Schulung des Personals: Sorgen Sie dafür, dass das Personal über neue Verfahren und Regeln informiert wird.
- Überwachen und aktualisieren: Überwachen Sie kontinuierlich den Stand der Cybersicherheit und passen Sie die Maßnahmen an die aktuellen Bedrohungen an.
Die Vorbereitung auf die NIS2-Richtlinie sollte für Unternehmen eine Priorität sein, um potenzielle Sanktionen zu vermeiden und die Kontinuität ihres Geschäfts in der digitalen Umgebung zu gewährleisten.