Gesetzliche Vorgaben für mehr IT-Sicherheit
Am 24.07.2024 hat das Bundeskabinett einen Gesetzesentwurf verabschiedet, der für viele Unternehmen erhöhte Investitionen in IT-Sicherheitsmaßnahmen verlangt. Damit setzt Deutschland die EU NIS 2 Direktive ( Directive (EU) 2022/2555) um. Sie wurde bereits Ende 2022 verabschiedet und verlangt die Umsetzung in nationales Recht bis zum 18. Oktober diesen Jahres.
Während das bisherige IT-Sicherheitsgesetz vorwiegend größere Unternehmen im Scope hatte, können nun schon Firmen ab 50 Mitarbeitern und 10 Millionen € Umsatz unter das Gesetz fallen, vorausgesetzt sie sind in bestimmten Branchen tätig. Dazu zählen beispielsweise das Gesundheitswesen, die Chemie-Industrie sowie IT- und Telekommunikationsdienstleistungen. Dazu kommen noch viele öffentliche Einrichtungen.
Neu sind die erhöhten Strafen bei Nicht-Compliance (bis zu 2% vom weltweiten Jahresumsatz) sowie die explizite Haftung von Geschäftsführungen.
Auch wenn Investitionen in IT-Sicherheit bei der aktuell zunehmenden Bedrohungslage grundsätzlich zu begrüßen sind, so gibt es doch Kritik; sowohl an der EU Directive selbst, als auch dem deutschen Gesetzesentwurf, da mache Anforderungen interpretationsbedürftig sind. Auch die Frage, ob man als Unternehmen überhaupt unter das Gesetz fällt ist nicht immer leicht zu beantworten.
Wir unterstützen Firmen bei der Implementierung angemessener IT-Sicherheitsmaßnahmen und bei der Implementierung von Information Security Management Systemen, mit denen die Anforderungen der neuen gesetzlichen Vorgaben abgedeckt werden können und die gleichzeitig einen guten Schutz gegen Cyber Angriffe gewährleisten.
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an h.leucker@acent.de
Hermann Leucker | 15.08.2024