TÜVIT, ein Tochterunternehmen der TÜV Nord Group, bietet ab sofort einen Betroffenheitscheck an, der Unternehmen dabei unterstützen soll, festzustellen, ob sie von den Anforderungen der neuen EU-Richtlinie NIS-2 betroffen sind.
Die Europäische Union hat die Einführung der neuen IT-Sicherheitsrichtlinie NIS-2 beschlossen, um die Cyberresilienz wesentlicher und wichtiger Unternehmen in den Mitgliedsstaaten zu stärken. Die neue EU-Richtlinie trat am 16. Januar 2023 in Kraft. Spätestens bis zum 17. Oktober 2024 ist sie ohne Übergangsfristen von den Mitgliedsstaaten in nationales Recht zu überführen. Dann müssen deutlich mehr Unternehmen die Vorgaben erfüllen, als die der Vorgängerrichtlinie NIS-1 aus dem Jahr 2016 – auch Kleine und Mittlere. Die Herausforderung besteht darin, dass Unternehmen selbst feststellen müssen, ob sie in den Geltungsbereich der NIS-2 fallen.
NIS-2 gilt für Firmen ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren. Entscheidend dafür, ob ein Unternehmen von der Richtlinie betroffen ist, sind die beiden Kriterien Unternehmensgröße und Unternehmenssektor. Zudem gibt es einige Sonderfälle.
Mit dem Betroffenheits-Check von TÜVIT können Unternehmen prüfen, ob die Anforderungen der NIS-2-Richtlinie für sie in Zukunft verpflichtend sind. Der Check enthält Angaben dazu, welche Anforderungen wie und von wem umzusetzen sind. Nutzer werden durch den Verzweigungstest geführt, klicken ihre zutreffenden Angaben an und erhalten abschließend ein unverbindliches Ergebnis. Die Nutzung des NIS-2 Betroffenheits-Checks erfolgt auf eigenes Risiko. Es wird vom Anbieter keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernommen. Jegliche Handlungen, die auf den Inhalten und Aussagen des NIS-2 Betroffenheits-Checks basieren, liegen in der Verantwortung der Nutzer, so der TÜV. Die bereitgestellten Informationen in diesem NIS-2 Betroffenheits-Check dienen ausschließlich zu Informationszwecken und stellen keine rechtliche oder sonstige Beratung dar. Durch die Nutzung des NIS-2 Betroffenheits-Checks erklären sich die Nutzer mit diesen Bedingungen einverstanden. Der NIS2-Betroffenheitscheck steht kostenlos zur Verfügung.
Bei Nichteinhaltung drohen harte Strafen
Die Einführung von NIS-2 erweitert die Verantwortung für die Abwehr von Cyberbedrohungen bis in den Mittelstand und macht die Einhaltung von Cybersecurity-Vorgaben zur Geschäftsleitungsaufgabe. Die Nichteinhaltung dieser Vorgaben kann zu erheblichen Bußgeldern führen und sogar die persönliche Haftung der Geschäftsleiter nach sich ziehen. Schätzungen gehen davon aus, dass zwischen 25.000 und 40.000 Unternehmen in Deutschland von der NIS-2-Richtlinie betroffen sein werden. Darunter nicht nur Betreiber bekannter Kritischer Infrastrukturen (Kritis), sondern auch Unternehmen aus verschiedenen Sektoren wie Lebensmittelproduktion und -handel, Online-Marktplätze, Entsorgungssektor, Hersteller von Maschinen und elektronischem Equipment sowie Wasserstoff-Produzenten und -händler. Zudem werden betroffene Unternehmen von ihren Zulieferern die Einhaltung dieser Cybersicherheitsanforderungen verlangen, um ihre eigene Cybersicherheit nicht zu gefährden.
TÜVIT unterstützt Unternehmen bei der Implementierung geeigneter Risikomanagementmaßnahmen, auch gegenüber Partnern innerhalb ihrer Lieferkette. Durch die Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001, §8a oder IT-Grundschutz und weiteren organisatorischen und technischen Maßnahmen sowie der Überarbeitung ihrer Einkaufsrichtlinien sind Unternehmen für die erneuerten gesetzlichen Regelungen gewappnet und besser vor Cyberangriffen geschützt. (ah)
