Diesmal will die EU einen einheitlichen Rahmen für den Schutz von Wirtschaftsbereichen und Lieferketten schaffen, die zur kritischen Infrastruktur (KRITIS) gehören. Die EU trägt dabei der Erkenntnis Rechnung, dass ein groß angelegter Cyber-Angriff nicht nur enorme Auswirkungen auf die Wirtschaft eines einzelnen Mitgliedstaats, sondern auf die gesamte Union haben kann.
So erstreckt sich die neue NIS2 unter anderem auf die Lebensmittelbranche, Transport- und Produktionsunternehmen, die für die Wirtschaft des jeweiligen Landes wichtig sind, als auch auf Telekommunikations-, Social-Media-, Rechenzentren- und Daten-Anbieter. Unternehmen mit weniger als 250 Beschäftigten oder einem Jahresumsatz von weniger als 50 Millionen Euro sind zunächst von der Richtlinie ausgenommen. Da gesamte Lieferketten geschützt werden sollen, werden jedoch erwartungsgemäß auch kleinere Unternehmen, die Zulieferer für die von der Richtlinie erfassten Sektoren sind, die NIS2 einhalten müssen.
Check Point, ein weltweit führender Anbieter von Cyber-Sicherheitslösungen mit Sitz in Kalifornien, betont, dass die NIS2 gravierend höhere Anforderungen an die betroffenen Unternehmen stellt. Das Management ist für die Einhaltung der NIS2-Richtlinie durch die Firma verantwortlich und kann bei Verfehlungen zur Rechenschaft gezogen werden. Die Unternehmen müssen Sicherheitsstandards, wie etwa ISO27001 oder NIST-Framework, gewährleisten, wozu ein effektive Risikoanalyse und ein wirksames Risikomanagement genauso gehören wie die Meldung von Cyber-Vorfällen.
Obwohl die EU-Mitgliedsstaaten noch 21 Monate Zeit haben, die Richtlinie in nationales Recht umzusetzen, warnt Check Point betroffene Unternehmen davor, zu lange mit eigenen Anpassungsmaßnahmen zu warten, da die Erfahrungen gezeigt hätten, dass viele Unternehmen lange Zeiträume benötigen, um neue Maßnahmen und Verfahren einzuführen. Ein Minimum sieht Check Point in Bezug auf Unternehmensnetzwerke in Firewall- und Intrusion-Prevention-Technologien, der Gewährleistung der Endpunktsicherheit und der Implementierung von Multi-Faktor-Authentifizierung, Datenverschlüsselung und effektiven Zugangsbeschränkungen.