Die NIS2-Richtlinie, die verbindlich im Oktober dieses Jahres in nationales Recht umgesetzt sein muss, soll die Cybersecurity der EU-Mitgliedstaaten auf ein höheres und zugleich einheitliches Niveau bringen. Mit noch größerem Anwendungsbereich und höherer Regelungsintensität als das parallel vorangetriebene KRITIS-Dachgesetz wird NIS2 auch in Deutschland die Anforderungen an die Netzwerk- und Informationssicherheit sowie den physischen Schutz Kritischer Infrastrukturen erheblich beeinflussen.

Angesichts der stetig wachsenden Bedrohungen im Bereich der Cybersicherheit ist die Notwendigkeit für Unternehmen, robuste Schutzmechanismen zu implementieren, von entscheidender Bedeutung. Dies gilt umso mehr für Betreiber Kritischer Infrastrukturen.

Dieser Entwicklung trägt die EU Rechnung, indem sie mit NIS2 – NIS steht für Network and Information Security – die Cybersicherheit der Mitgliedstaaten auf ein nochmals höheres Niveau bringt. Eine wesentliche Änderung gegenüber der Vorgängerrichtlinie betrifft die Ausweitung und Aufteilung in Sektoren mit unterschiedlich hoher Kritikalität. Aus der Zugehörigkeit zu diesen sowie bestimmten Schwellenwerten leitet sich ab, ob und in welchem Umfang Unternehmen die genannten Anforderungen zu erfüllen haben. Schon jetzt steht damit fest, dass die Zahl der von NIS2 erfassten Einrichtungen deutlich steigen wird. Allein in Deutschland werden künftig rund 30.000 Unternehmen in die Pflicht genommen.

Betroffene Unternehmen müssen nachweisen, dass sie durch Risikoanalyse, Informationssicherheit, Maßnahmenbewertung und -umsetzung, Incident Response Management, Krisenmanagement und Schulungen in der Lage sind, für ausreichende Cybersicherheit zu sorgen. Stärker als bislang rückt durch die Ausrichtung der NIS2 an einem „All-Gefahren-Ansatz“ aber auch der Schutz der physischen Umgebungen von IT-Systemen vor Sicherheitsvorfällen in den Fokus. Die Implementierung leistungsfähiger Schließ- und Zutrittskontrolltechnik wird damit zum unabdinglichen „Must-have“.

Mit dem 17. Oktober 2024 steht bereits das Datum fest, bis zu dem NIS2 in deutsches Recht umgesetzt sein muss. Da bislang keine Übergangsfrist vorgesehen ist, sollten Unternehmen also bereits jetzt ermitteln, ob sie die Richtlinie tangiert und ihre bestehenden Sicherheitskonzepte ausreichen. Das aktuelle Whitepaper von Assa Abloy versteht sich als praktische Handreichung für Unternehmen, um sich mit den Kernforderungen der Richtlinie vertraut zu machen und die eigene cyberphysische Resilienz zu erhöhen. Neben Tipps zum stufenweisen Aufbau von Absicherungsmaßnahmen sind darin auch eine Checkliste zur Prüfung eventueller Schwachstellen in der Schließtechnik sowie konkrete Lösungsvorschläge auf Basis der Schließ- bzw. Zutrittskontrollsysteme eCliq, Aperio sowie Scala enthalten.