NIS2: Neue europäische Cybersicherheitsvorschriften betreffen auch den Beton- und Stahlbau

Die neue europäische Cybersicherheitsrichtlinie NIS2 wird bald durch das niederländische Cybersicherheitsgesetz in Kraft treten. Obwohl Organisationen im Beton- und Stahlbau nicht ausdrücklich von diesem Gesetz betroffen sind, sind die Auswirkungen auf den Sektor dennoch erheblich. Was genau bedeuten diese Vorschriften und wie werden sie sich auf Unternehmen im Beton- und Stahlbau auswirken? Bei der Zertifizierungsstelle DNV weiß man das.

Die NIS2-Richtlinie ist die aktualisierte europäische Gesetzgebung für Netz- und Informationssicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016. Ihr Ziel: die digitale Widerstandsfähigkeit lebenswichtiger und wichtiger Sektoren zu stärken. In den Niederlanden wird NIS2 in das Cybersicherheitsgesetz umgesetzt, das voraussichtlich in der zweiten Hälfte des Jahres 2025 in Kraft treten wird. Das Gesetz beinhaltet eine Sorgfaltspflicht und eine Meldepflicht für Organisationen, die unter die Richtlinie fallen.

Sorgfaltspflicht und Meldepflicht

Die Sorgfaltspflicht bedeutet, dass Organisationen eine Risikobewertung der Informationssicherheit durchführen, geeignete Maßnahmen ergreifen und die Kontinuität ihrer Dienste sicherstellen. Die Sorgfaltspflicht bedeutet, dass Vorfälle, die die Kontinuität wesentlicher Dienste erheblich stören (können), den lokalen Behörden innerhalb von 24 Stunden gemeldet werden müssen.

Verantwortlicher Vorstand

Eine weitere wichtige Änderung: Die Vorstände von Organisationen werden ausdrücklich für die Cybersicherheit ihres Unternehmens verantwortlich und rechenschaftspflichtig gemacht. Die Vorstandsmitglieder müssen auch nachweisbare Kenntnisse erwerben, zum Beispiel durch Schulungen. Darüber hinaus werden sie verpflichtet, sich beim Nationalen Zentrum für Cybersicherheit (NCSC) zu registrieren und die Einhaltung der Gesetze zu überwachen.

Auswirkungen auf unsere Branche

Der Beton- und Stahlbau ist nicht in der Liste der "wesentlichen" oder "bedeutenden" Unternehmen aufgeführt, für die die NIS2-Richtlinie gilt. Dennoch können Organisationen in diesem Sektor durchaus von dem Gesetz betroffen sein. Rob Jansen, Business Leader für den IKT-Sektor bei DNV, erklärt: "Die Richtlinie gilt für Organisationen mit 50 Vollzeitäquivalenten oder mehr oder einem Jahresumsatz von über 10 Millionen Euro. Auch wenn Sie nicht direkt unter das Gesetz fallen, können Sie als Lieferant verpflichtet sein, die Anforderungen zu erfüllen. Die verpflichteten Unternehmen müssen nämlich die Informationssicherheit und -kontinuität in ihrer gesamten Lieferkette kontrollieren. Unternehmen, die wissen wollen, ob sie unter die NIS2 fallen, empfiehlt Jansen die Selbsteinschätzung unter www.regelhulpvoorbedrijven.nl: "Sie enthält detaillierte Fragen zu Produkten, Dienstleistungen und Geltungsbereich und gibt einen schnellen Einblick in die Anwendbarkeit der NIS2/Cybersecurity Act auf Ihr Unternehmen."

Unterstützung bei der Vorbereitung

DNV unterstützt Organisationen bei der Vorbereitung auf die neue Gesetzgebung. "Wir bieten ein Paket von Schulungen und Zertifizierungen an", erklärt Jansen. "Denken Sie an ISO/IEC 27001, ISO 22301 und das NIS2-Qualitätszeichen. Diese helfen dabei, Ihre Bemühungen gegenüber den Stakeholdern nachweisbar zu machen." DNV führt auch GAP-Analysen durch, um festzustellen, wo ein Unternehmen heute steht und welche Schritte noch erforderlich sind, um die Informationssicherheit und Kontinuität auf das gewünschte Niveau zu bringen. Jansens wichtigster Ratschlag ist einfach: "Warten Sie nicht, fangen Sie an. Sorgen Sie für die Sensibilisierung und Einbeziehung des (Top-)Managements. Richten Sie die Cybersicherheit an Ihrem Geschäftswert aus. Nicht nur, um die Vorschriften einzuhalten, sondern vor allem, um gegen die zunehmenden Cyber-Bedrohungen gewappnet zu sein. Die Dringlichkeit ist größer denn je."