Die Tradition sperriger Abkürzungen setzen wir in dieser Episode mit der zweiten „Netz- und Informationssystemsicherheitsrichtlinie“, kurz NIS-2 fort.
Die Richtlinie NIS-2 definiert Mindeststandards für Cybersecurity, die Unternehmen und Einrichtungen, die als sog „kritische Infrastrukturen“ eingestuft werden, beachten müssen. Als Neuerung sieht die NIS-2-Richtlinie vor, dass Leitungsorgane (Geschäftsführung, Vorstand etc.) für die Überwachung der Umsetzung der Risikomanagementmaßnahmen Sorge tragen sollen und mit eigenem Vermögen für Verstöße haften.
Zu Gast begrüßen wir Carola Sieling, Rechtsanwältin und Fachanwältin für Informationstechnologierecht, die uns einen detaillierten Einblick in die NIS-2-Richtlinie gibt und erklärt, warum die Änderungen für die Cybersicherheit für Unternehmen und damit mittelbar auch für uns alle von Bedeutung sind.
Wir bedanken uns bei Carola sehr für den unterhaltsamen Besuch und wünschen Euch viel Spaß beim Hören!
P.S. Hier das Foto von der Aufnahme, die erklärt, warum einer der Podcaster sich dank seiner Internetverbindung nur punktuell zum Gespräch dazuschalten könnte.
Kapitel
- 00:00:00 – Einführung in das Thema mit unserer Expertin Carola Sieling.
- 00:09:00 – Die Bedeutung kritischer Infrastrukturen und ihre Schutzbedürftigkeit.
- 00:18:00 – Notwendige Schritte zur Erhöhung der Cybersicherheit in Unternehmen und Institutionen.
- 00:34:00 – Die finanziellen Konsequenzen: Bußgelder und die erweiterte Haftung von Geschäftsführern.
- 00:44:00 – Welche Rolle spielen Subunternehmer und Dienstleister in kritischen Infrastrukturbereichen?
- 00:50:00 – Steht uns eine Welle von EU-Bürokratie bevor oder führt der Weg zu einer konsistenten Cybersicherheitsstrategie?
Links zur Folge
- Homeoffice – Rechtsbelehrung Folge 86 mit Carola Sieling.
- Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) – Informationsseite der EU.
- Volltext der RICHTLINIE (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union.
- Die Umsetzung in Deutschland erfolgt mittels des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG).
@nick_lange_
11. August 2023 at 17:25Kommentar/Frage:
Sehr spannend die aktuelle Folge als jemand zu hören der gerade in einer bestehenden und auch zukünftig von Änderungen betroffenden kritischen Infrastruktur sitzt – insbesondere was für Fragen und Gedanken sich nicht Betroffene machen vs Betroffene vs juristische Perspektive. Wirds auch eine Folge zum kritis dachgesetz geben? Das dockt dort ja ziemlich direkt an und ist gar nicht so viel anders als NIS2 Umsetzungsgesetz…
Anmerkungen:
NIS2 wird nicht das Rad neu erfinden, sondern bestehende Strukturen ausbauen.
Das BSI hat heute schon den Hut darüber auf die aktuell noch 2500 kritischen Infrastrukturen zu prüfen.
NIS2 wird „nur“ die Menge an Unternehmen erhöhen. Sowie die Verpflichtungen. Und Zwänge.
Als jemand der in einer aktuell schon kritischen Infrastruktur arbeitet ist meine Perspektive:
Das mittlere Sicherheitsniveau wird massiv erhöht werden.
Viele der durch nis 2 (und kritis dachgesetz) entstehenden Zwänge werden die dann zusätzlich betroffenen Unternehmen zu einer Menge Maßnahmen zwingen die man sich als Mensch aus dem CCC Kontext schon lange wünscht.
Uns einfach mal in Zahlen zu sagen: aus den aktuell 2500 kritischen Infrastrukturen werden wahrscheinlich eher 5000 – dazu kommen dann noch mal 25000 besonders wichtige + wichtige Unternehmen.
Die haben dann alle interne Verpflichtungen, müssen aber auch Dienstleister und lieferanten steuern und kontrollieren.
Da wird also sehr ähnlich zur DSGVO eine enorme Kaskade losgetreten.
Ich hab zwar keine Ahnung wo das Personal herkommen soll (27500+x EU Staaten bedarf an Personal das sich damit auskennt!), aber das wird der Markt schon regeln :)))
Funfact: kritische Infrastrukturen dürfen dann keine externe Informationssicherheitsbeauftragten haben, sondern *müssen* die fest anstellen…
Die aktuell vorhandenen 2500 kritis Unternehmen haben wahrscheinlich aktuell so 1500-2000 ISBs, weil manche mehrere Unternehmen bespielen..
Ich gehe übrigens davon aus das in einer zukünftigen DSGVO Novellierung auch DSBs in bestimmten Unternehmen dann nicht mehr extern sein dürfen.
So, ich könnte das noch ewig fortsetzen, die geneigte Leserin sieht aber:
Da ist eine Menge Musik, Chaos und Fortschritt drin, und ich feixe jedes Mal wenn ich dran denke wie chaotisch es Ende 2024 in Europa in diesem Feld werden wird 😀
@MG
15. November 2023 at 10:19Nach der BMI-Werkstatt im Oktober steht fest, die Umsetzung der NIS2-Richtlinie in deutsches Recht führt zwingend zu noch mehr Bürokratie, noch mehr Pflichten, weniger Rechte. Einzig die avisierte Verlängerung der Nachweisführungsintervalle von 2 auf 3 Jahre lindert den KRITIS-Schmerz ein wenig.
Kritisch zu würdigen ist im gesamten Kontext die Auswirkung auf den Arbeitsmarkt. Woher sollen plötzlich soviele ISB’s und/oder IT-Sibe kommen? Da herrscht bereits heute aktuter Mangel.
Ebenfalls kritisch ist im KRITIS-Kontext die schleichende Abkehr des BSI von der nativen ISO/IEC 27001 hin zur 27001 nach Grundschutz. Alle anderen Länder orientieren sich an der nativen ISO/IEC 27001, nur bei uns nicht.
Teilweise sind die Anforderungen völlig praxisfremd und realitätsfern. Exemplarisch sei hier der § 38 Absatz 3 genannt. Als ob Vorstandsvorsitzende von großen Unternehmen sich regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
p.s. Danke Nick für Deine Vorlage. Passt zu unserem Projekthaus-Meeting in Lubu >;o)