TIPPS
IT-SICHERHEIT Das müssen Unternehmen 2024 wissen Für viele Unternehmen steigen Sicherheitsanforderungen und Verpflichtungen. Sophia Zimmer von der Viccon GmbH nennt im Interview Details.
INNOVA TION
alle Gefahren – also auch etwa Naturkatastrophen – berück- sichtigen muss. Zum anderen ändern sich die Meldepflichten etwa bei Cybersicherheitsvor- fällen. Wie weise ich die Erfüllung der Pflichten nach? Zimmer: Prinzipiell sind zwar nur Betreiber kritischer Anlagen verpflichtet, über Zertifizierungen und Audits re- gelmäßig nachzuweisen, dass sie technische und organisato- rische Maßnahmen ergreifen, um die Schutzziele möglichst abzudecken. Unternehmen, die keine Betreiber kritischer Anlagen sind, sollten sich aber nicht zurücklehnen. Das BSI behält sich nämlich vor, einzel- ne Unternehmen in die Nach- weispflicht zu nehmen. Bei einer Nichterfüllung der Anfor- derungen und Meldepflichten ist man schnell im Bereich einer Ordnungswidrigkeit mit empfindlichen Strafen. Ich rate deshalb dringend dazu, sich externen Rat einzuholen. Es ist nicht einfach, den Regulierun- gen in Eigenregie zu genügen. Wirken sich diese Neurege- lungen auch auf Produkte und Dienstleistungen aus? Zimmer: Der Fokus des NI- S2UmsuCG liegt auch auf der Sicherheit der Lieferkette. Das Risikomanagement muss des- halb unter anderem sämtliche externen Dienstleister berück- sichtigen, die ein Unterneh- men beauftragt.
Stimmt alles? Mit der KRITIS-Regulierung sollen betroffene Unternehmen nachweisen, dass ihre Lieferketten krisensicher sind und dass sie vor Cyber - angriffen geschützt sind.
technik (BSI), kann man eine erste Einschätzung einholen, ob man betroffen ist. Das soll- ten in einem ersten Schritt alle Betriebe machen, unabhängig von Branche und Größe. Welche Pflichten gehen mit den neuen Gesetzen einher? Zimmer: Auf die Unternehmen kommt ein größerer Inves- titionsbedarf in physische Schutzmaßnahmen und sehr viel Dokumentenarbeit zu. Zum einen gilt sowohl bei der CER- als auch bei der NIS- 2-Richtlinie der Allgefahren- ansatz. Dies betrifft vor allem das Risikomanagement, das
Frau Zimmer, mit dem NIS2- Umsetzungs- und Cyber- sicherheitsstärkungsgesetz (NIS2UmsuCG) und dem KRITIS-Dachgesetz (KRITIS- DachG) werden 2024 EU-Vor- gaben in deutsches Recht um- gesetzt. Welche Unternehmen sind betroffen? Sophia Zimmer: Der Kreis der betroffenen Unternehmen ist nicht zu 100 Prozent de- ckungsgleich. Die NIS-2-Richt- line zielt auf deutlich mehr Unternehmen als wir aktuell im KRITIS-Sektor haben. Über diverse Websites, unter anderem vom Bundesamt für Sicherheit in der Informations-