Die Plattform für interne und externe Logistik, Lieferkette und Automatisierung
'Warten Sie nicht, bis das Gesetz in Kraft ist, sondern fangen Sie jetzt an'
In einigen Ländern ist das Gesetz bereits in Kraft getreten, so dass der grenzüberschreitend tätige Verkehrssektor bereits damit umgehen muss.

Warten Sie nicht, bis das Gesetz in Kraft ist, fangen Sie jetzt an".

Die NIS2-Richtlinie ist auf dem Weg. Sie wird in den Niederlanden in Form des Cybersicherheitsgesetzes umgesetzt werden. Es konzentriert sich auf Risiken, die Netzwerk- und Informationssysteme bedrohen, wie z. B. Cybersicherheitsrisiken. Es handelt sich um eine europäische Gesetzgebung, die darauf abzielt, das allgemeine Niveau der Widerstandsfähigkeit aller Unternehmen in der EU zu erhöhen. Was genau können Unternehmen erwarten und welche Vorbereitungen können im Voraus getroffen werden, um Überraschungen in naher Zukunft zu vermeiden? Wir fragten Patrick Spelt, Leiter der Abteilung für Cybersicherheitsaufsicht bei der Aufsichtsbehörde für Umwelt und Verkehr des Ministeriums für Infrastruktur und Umwelt (ILT).

Spelt arbeitet nun schon seit fast zwei Jahren an der Umsetzung von Rechtsvorschriften zur Cybersicherheit, ihrer Durchführung und Überwachung. "Die Frist läuft diesen Herbst ab, aber die Niederlande werden sie wegen der Komplexität der Umsetzung nicht einhalten können. Sie ist so kompliziert, weil mehrere Ministerien und Parteien beteiligt sind."

Patrick Spelt - Leiter der Aufsicht über die Cybersicherheit bei der Aufsichtsbehörde für Umwelt und Verkehr des Ministeriums für Infrastruktur und Wasserwirtschaft (ILT).

Dringlichkeit

"Das Gesetz wird voraussichtlich im dritten Quartal 2025 in Kraft treten. Für die Unternehmen ist es jedoch sehr wichtig, sofort damit zu beginnen! Denn die Risiken, mit denen die Unternehmen konfrontiert sind, sind bereits vorhanden. Und in Ländern wie Belgien ist das Gesetz bereits in Kraft getreten, so dass der Transportsektor, der grenzüberschreitend arbeitet, bereits damit zu tun hat. Darüber hinaus sehen sich viele Unternehmen zum ersten Mal mit diesen Vorschriften konfrontiert, da die derzeitige Gesetzgebung nur Anbieter von wesentlichen Dienstleistungen betrifft. Bedenken Sie auch, dass Ihr Unternehmen die Vorschriften zwar nicht einhalten muss, aber möglicherweise mit Organisationen zusammenarbeitet, die dies tun und daher ihren Partnern in der Lieferkette Anforderungen auferlegen müssen."

Viele Unternehmen sehen sich zum ersten Mal mit diesen Vorschriften konfrontiert, da die derzeitige Gesetzgebung nur Anbieter von wesentlichen Dienstleistungen betrifft.

Maßnahmen ergreifen

Spelt empfiehlt, mit der NIS2-Selbstbewertung zu beginnen. Dieser Online-Fragebogen gibt Auskunft darüber, ob Ihre Organisation unter die NIS2-Richtlinie fällt und als "wesentlich" oder "wichtig" eingestuft wird. Wenn dies der Fall ist, können Sie den Online-Quickscan NIS2-Richtlinie verwenden. Dieser gibt Ihnen einen Überblick über den aktuellen Stand Ihrer Cybersicherheit gemäß dem Anwendungsbereich der europäischen NIS2-Richtlinie.

Drei Verpflichtungen

Wenn ein Unternehmen sofort unter das Gesetz fällt, gibt es drei Pflichten: Registrierungspflicht, Meldepflicht und Sorgfaltspflicht. "Die Registrierungspflicht bedeutet, dass man sich bei der Regierung melden muss, in diesem Fall beim Nationalen Zentrum für Cybersicherheit. Dies ist im Moment nicht möglich, da das Portal noch in der Entwicklung ist. Sobald Sie registriert sind, haben Sie Anspruch auf Unterstützung bei Vorfällen, und Ihre Angaben werden an die Regulierungsbehörde weitergeleitet. Die Meldepflicht bedeutet, dass Sie Meldung erstatten müssen, sobald in Ihrer Organisation ein Vorfall im Bereich der Cybersicherheit auftritt. Zum einen, damit Sie Unterstützung erhalten, zum anderen, weil Sie damit automatisch eine Meldung an die Aufsichtsbehörde machen."

Wenn Ihre Organisation in die Kategorie "wesentlich" fällt, werden Sie proaktiv von der ILT besucht. In der Kategorie "wichtig" findet die Überwachung erst im Nachhinein statt, d. h. nachdem ein Cybersicherheitsvorfall eingetreten ist. "Angenommen, wir besuchen Sie für eine Inspektion und stellen fest, dass ausreichende Maßnahmen ergriffen wurden, aber ein Cyberkrimineller konnte dennoch Ihre Sicherheitsvorkehrungen überwinden, dann werden wir untersuchen, wie dies geschehen konnte. Auf diese Weise können wir sowohl die Qualität der Unternehmen als auch die der Inspektion verbessern." 

"Denken Sie auch daran, dass Ihr Unternehmen zwar keine Vorschriften einhalten muss, aber möglicherweise mit Organisationen zusammenarbeitet, die dies tun und daher ihren Partnern in der Lieferkette Anforderungen auferlegen müssen.

Investition

Natürlich kann die typische niederländische Frage nicht ausbleiben: Was wird das alles die Unternehmen kosten? Dinkel antwortet: "Ich möchte eine Gegenfrage stellen: Was wird es kosten, wenn Ihr Unternehmen untergeht? Ich rate den Leuten immer, zum Beispiel mit Henny de Haas zu sprechen, sein Buch zu lesen oder seine Podcasts zu hören. Ihm gehört Hoppenbrouwers, eines der größten Installationsunternehmen. Sein Unternehmen hat einen weltweiten Ransomware-Angriff unter anderem deshalb überlebt, weil er kurz zuvor ein extrem teures Backup-System gekauft hatte. Dieses Geld hat sich dreifach ausgezahlt, da er innerhalb von zwei Tagen wieder betriebsbereit war, auch dank seines Backup-Systems. Das sind also die Kompromisse, die Unternehmen in Bezug auf Investitionen eingehen müssen. Ich bin sicher, dass alle Lagerhäuser ein dickes Schloss an der Tür haben. Das Gleiche würde man auch von digitalen Türen erwarten. Wenn man das nicht tut, ist es ein bisschen so, als würde man zu Hause alle Türen sichern, aber die Hintertür weit offen lassen, und das kann zu Problemen führen.

Senkung der Kosten

Um dieses Problem effizient anzugehen, ist es gut zu wissen, dass es alle Arten von Initiativen gibt, darunter auch Netzwerke für die Widerstandsfähigkeit im Internet. Wenn Sie sich solchen Partnerschaften anschließen, können Sie Hilfe und Beratung erhalten und gemeinsam handeln. Auch Branchenorganisationen wie das TLN bieten die nötige Unterstützung.

Inspektionsdruck

"Sie brauchen keine Angst vor der Regulierungsbehörde zu haben, und wir werden wirklich nicht sofort Geldstrafen verhängen. Wir haben eine Interventionsstrategie und setzen Bußgelder vor allem bei Unternehmen ein, die sich wirklich nicht an die Vorschriften halten wollen. Angenommen, bei einer Inspektion stellt sich heraus, dass etwas nicht in Ordnung ist, dann hat man erst einmal Zeit, es zu beheben. Wir profitieren vor allem davon, dass die Unternehmen verstehen, was verlangt wird, und sich daran halten. Das trägt wirklich zur Resilienz bei.

Übrigens kann man auch mit anderen Aufsichtsbehörden zu tun haben, z. B. mit der Nationalen Aufsichtsbehörde für digitale Infrastruktur. "Die Aufsichtsbehörden arbeiten dabei zusammen, so dass man es nicht mit zwei Aufsichtsbehörden zu tun hat, die nebeneinander arbeiten.

Dinkel schließt mit einem letzten Tipp, wie man die Sorgfaltspflicht erfüllen kann: "Unsere Inspektionsrahmen basieren auf den Rahmenwerken der Industrie. Mein Tipp lautet also: Beginnen Sie mit ISO 27001 und 2, dem NEN oder dem NIST Cybersecurity Framework. Das ist keine Geldverschwendung, denn wir verwenden tatsächlich die gleichen Rahmenwerke." 

"*" kennzeichnet Pflichtfelder

Senden Sie uns eine Nachricht

Dieses Feld dient der Validierung und sollte unverändert bleiben.

Wir setzen Cookies ein. Auf diese Weise analysieren wir die Nutzung der Website und verbreiten das Nutzungskonzept.

Einzelheiten

Können wir Ihnen dabei helfen?

Bekijk alle resultaten