In regelmäßigen Intervallen liefert uns Brüssel Verordnungen und Direktiven um mittels zentraler Vorgaben zur Verbesserung von Datenschutz, Informationssicherheit, Resilienz und dergleichen beizutragen. Aus den oft ambitionierten Zielen blieb in der Vergangenheit meist nur wenig übrig und so sind wir ob dieser stetigen Wellen an Regulatorien schon etwas „abgestumpft“.

Die erste Direktive zur “security of network and information systems (NIS)” war an der Stelle ein Paradebeispiel wie es nicht laufen sollte. Die politischen Gegebenheiten (von Trump bis Ukraine) der letzten Jahre haben die EU Kommission endlich aufwachen lassen und das was uns NIS2 nun bringt ist nicht einfach eine „verbesserte“ Version von NIS sondern „disruptiv“. Wer also denkt, dass da das nächste „GDPR“ ums Eck kommt, sollte sich besser warm anziehen!

Während NIS auf den Bereich abzielte, den man vermeintlich als kritische Infrastruktur bezeichnet hätte, geht NIS2 einen ganzheitlichen Ansatz und bezieht auch nicht ganz offensichtliche Abhängigkeiten mit ein. Die ganz konkrete Definition der „essenziellen“ und „wichtigen“ Sektoren schafft Klartext. Die Eingangshürden zur Betroffenheit (u.a. 50 Mitarbeiter) werden auch die meisten leicht erreichen. Nach Angaben aus Brüssel werden das 160.000 (!!) Organisationen sein, runtergebrochen auf Österreich würde das immerhin eine 4-stellige Zahl betreffen.

Anbieter dieser essenziellen Diensten müssen sich einer Zertifizierung unterziehen, deren Latte deutlich über der ISO 27001 liegt und werden dabei mit drakonischen Strafen (inkl. persönlicher Haftungen) „motiviert“.

Der Vortrag schafft einen Überblick zur NIS2 und soll zur Vorbereitung anhand praktischer Beispiele (aus eigener Erfahrung) Hilfestellungen liefern, wie auch mittelständische Organisationen die Hürde meistern können und der Aufwand vertretbar bleibt.