Die EU erhofft sich mit ihrer neuen Cybersecurity-Richtlinie NIS-2 mehr Resilienz für die gesamte europäische IT-Infrastruktur. Bisher wurde die Industrie von solchen Konzepten weitgehend verschont bzw. vermied es oftmals sich damit auseinanderzusetzen. Doch nun soll alles anders werden. Industrieunternehmen, die nicht mitmachen, sollen mit hohen Bußgeldern dazu gebracht werden das Thema Informationssicherheit ernsthaft zu adressieren.
Der Ministerrat, das Parlaments und die EU Kommission haben sich jedenfalls vor einigen Wochen auf eine Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS-2) verständigt.
Der nun öffentlich vorliegende Entwurf adressiert Unternehmen und Behörden in der EU, die für die Wirtschaft und Gesellschaft von entscheidender und essenzieller Bedeutung sind. Neben den sogenannten kritischen Infrastrukturen sollen künftig auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz erfasst werden. Damit sollen EU-weit über 100.000 Organisationen in den Gültigkeitsbereich der NIS-2-Richtlinie fallen.
Auch durch die in der NIS-2-Richtlinie eingeführte persönliche Haftung wird die Informationssicherheit noch weiter an Bedeutung im Risikomanagement betroffenen Organisationen gewinnen.
Ob das Gesetz ein großer Wurf ist und auch “wirken wird” wird sich zeigen. Im Vorfeld gab es seitens der EU-Kommission und einzelner Industrievertreter massiven Widerstand gegen die Richtlinie, schließlich bedeutet deren nationalstaatliche Umsetzung in weiterer Folge Mehraufwand für die betroffenen Unternehmen. Dass mehr Informationssicherheit in diesen Zeiten essentiell ist wird nicht überall so wahrgenommen. Es gilt also nach wie vor auch mehr in Awareness für dieses Thema zu investieren.
Anzahl der entdeckten Phishing Websites, Entwicklung seit 2015.
