Die NIS2-Richtlinie: Was bedeutet sie für mein Unternehmen?
NIS2 Directive (Background information)
Seit dem 16. Januar 2023 ist die sogenannte NIS2-Richtlinie in Kraft.
(Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der Union (zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148).)
1. Kontext
2. Ist mein Unternehmen von der NIS2 betroffen?
2.1 Neue Sektoren
2.2 Neue Konzepte
2.3 Zuständigkeit und Territorialität
3. Stärkung der Risikomanagementmaßnahmen im Bereich der Cybersicherheit
4. Verpflichtungen hinsichtlich der Berichte und der Meldung von Vorfällen
5. Sanktionen
6. Nahe Zukunft
Auf der Grundlage der neuen Richtlinie muss Belgien bis zum 17. Oktober 2024 neue Bestimmungen erlassen, die das bestehende NIS-Gesetz ersetzen. Die Arbeiten zur Vorbereitung der Umstellung werden in den kommenden Monaten stattfinden.
1. Kontext
Diese Richtlinie ist Nachfolgerin der NIS1-Richtlinie aus dem Jahr 2016 (in Belgien hauptsächlich durch das NIS1-Gesetz vom 7. April 2019umgesetzt), sie wurde von der Europäischen Kommission im Dezember 2020 vorgeschlagen. Nach dem Verhandlungsprozess wurde sie am 14. Dezember 2022 offiziell vom Rat und vom Europäischen Parlament angenommen und am 27. Dezember 2022 offiziell veröffentlicht. Jeder EU-Mitgliedstaat hat nun bis zum 17. Oktober 2024 Zeit, die NIS2-Richtlinie in sein nationales Recht umzusetzen.
Warum die NIS1-Richtlinie aktualisiert werden musste und was die wichtigsten Diskussionspunkte waren, haben wir bereits früher hierdiskutiert.
Diese NIS2-Richtlinie verfolgt im Wesentlichen die drei gleichen Ziele wie ihre Vorgängerin:
- Die nationalen Regierungen werden aufgefordert, der Cybersicherheit die gebührende Aufmerksamkeit zu widmen;
- Stärkung der europäischen Zusammenarbeit zwischen den Cybersicherheitsbehörden;
- Die wichtigsten Akteure in den Schlüsselbereichen unserer Gesellschaft müssen verpflichtet werden, Sicherheitsmaßnahmen zu ergreifen und -vorfälle zu melden.
Angesichts der zunehmenden Cyber-Bedrohung und der seit 2016 gestiegenen Abhängigkeit unserer Gesellschaft von Netzwerk- und Informationssystemen ist die NIS2-Richtlinie in vielerlei Hinsicht breiter angelegt als die NIS1-Richtlinie. Dieser Hoffnung hatten die EU-Kommissare bereits im Dezember 2020 Ausdruck verliehen, indem sie die Initiative als Eckpfeiler der Europäischen Cybersicherheitsstrategie ins Leben riefen: „NIS2 ist NIS1 on steroids“.
Die nationalen Behörden (einschließlich des nationalen CSIRT) müssen schlagkräftiger werden und verstärkt zusammenarbeiten; die nationalen Cybersicherheitsstrategien müssen mehr Elemente umfassen (einschließlich des für Belgien wichtigen Konzepts der Active Cyber Protection, dazu zählt auch eine spezifische Politik für KMUs); jeder Mitgliedstaat muss ein Coordinated Vulnerability Disclosure Framework schaffen und über einen Rahmen sowie Behörden für das Krisenmanagement im Bereich der Cybersicherheit verfügen. (Siehe hierzu die Artikel 7-13 der NIS2).
Auch die europäische Zusammenarbeit wird ausgebaut, sowohl auf politischer Ebene (durch die NIS-Kooperationsgruppe) als auch auf technischer Ebene (im EU-Netzwerk der CSIRTs) und auf der Ebene des Krisenmanagements (durch die Schaffung des Cyber Crisis Liaison Organisation Network – CyCLONe). Die Mitgliedstaaten müssen sich regelmäßigen Peer Reviews unterziehen; die Europäische Agentur ENISA wird alle zwei Jahre einen Cybersecurity State of the Union veröffentlichen, und es wird eine europäische Vulnerability database geben (zu all dem vgl. Art. 14-19 + 12).
Die größte Neuerung betrifft das dritte Ziel: eine enorme Ausweitung der Zahl der erfassten Einrichtungen und Sektoren, eine stärkere Spezifizierung der Maßnahmen, umfassendere Vorschriften für die Meldung von Vorfällen, strengere und spezifischere Sanktionsvorschriften und eine verstärkte Verantwortungsübernahme der obersten Führungsebene jeder Einrichtung, so dass die Cybersicherheit zu einem echten Thema auf der Vorstandsetage werden kann.
2. Ist mein Unternehmen von der NIS2 betroffen?
Der Anwendungsbereich der NIS2-Richtlinie wurde im Vergleich zur NIS1-Richtlinie stark erweitert und ist nicht mehr zwangsläufig an die vorherige Identifizierung der betroffenen Unternehmen durch die zuständigen nationalen Behörden gekoppelt.
Im Wesentlichen gilt Folgendes: Ein Unternehmen fällt in den Geltungsbereich der neuen Richtlinie, wenn es:
- in einem der in den Anhängen der Richtlinie aufgeführten (Teil-)Sektoren die dort genannten Dienstleistungen erbringt und
- eine bestimmte Größe hat.
Für alle Einzelheiten, Ausnahmen und Nuancen vgl. den Abschnitt „Neue Konzepte“ weiter unten sowie Artikel 2 & 3 und Anhänge I & II der Richtlinie.
2.1 Neue Sektoren
Mit der NIS2-Richtlinie werden neue Sektoren aufgenommen, zudem fügt sie den bereits bestehenden Sektoren auch neue Arten von Unternehmen hinzu. Die Sektoren sind in zwei Gruppen unterteilt.
Sektoren mit hoher Kritikalität (siehe Anhang I der Richtlinie):
- Energie (Strom, Fernwärme und -kälte, Öl, Erdgas, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen (zu dem nicht mehr nur Krankenhäuser, sondern auch Referenzlaboratorien, Hersteller von Medizinprodukten oder pharmazeutischen Erzeugnissen und andere gehören)
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Dienstleistungen
- Öffentliche Verwaltung (zentral und regional)
- Weltraum
Sonstige kritische Sektoren (vgl. Anhang II der Richtlinie):
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Herstellung, Produktion und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Herstellung (von Medizinprodukten und In-vitro-Diagnostika; von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen; von elektrischen Ausrüstungen; Maschinen, Geräten und Werkzeugen, von Kraftfahrzeugen a.n.g., Anhängern und Sattelaufliegern; sonstigen Fahrzeuge)
- Anbieter von digitalen Dienstleistungen
- Untersuchung
2.2 Neue Konzepte
Von Ausnahmen abgesehen, gibt es in der NIS2 keine aktive Identifizierung mehr. Ein Unternehmen, das in den oben genannten Sektoren tätig ist, fällt in den Anwendungsbereich, falls es sich um ein großes oder mittleres Unternehmen handelt. Das heißt, es hat mehr als 50 Beschäftigte oder mehr als 10 Millionen € Jahresumsatz. (vgl. Empfehlung der Kommission vom 6. Mai 2003 Nr. 2003/361 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen)
Mit spezifischen Ausnahmen sind Klein- und Kleinstunternehmen (mit weniger als 50 Beschäftigten und einem Jahresumsatz (oder einer Jahresbilanzsumme) von weniger als 10 Millionen Euro – kumulative Bedingungen) vom Anwendungsbereich der Richtlinie ausgeschlossen.
Die frühere Unterscheidung zwischen „Anbietern wesentlicher Dienste“ und „Anbietern digitaler Dienste“ entfällt und wird durch eine Unterscheidung zwischen "wesentlichen" und "wichtigen" Einrichtungen ersetzt. Diese Unterscheidung erfolgt automatisch auf der Grundlage der Größe und der Art des betreffenden Unternehmens.
Der Unterschied zwischen wesentlichen und wichtigen Unternehmen liegt vor allem in der Strenge der Aufsicht und der Sanktionen. Wesentliche Einrichtungen werden strenger überwacht und sanktioniert als wichtige Einrichtungen (siehe unten).
Wesentliche Einrichtungen sind große Unternehmen*, die zu den in Anhang I der Richtlinie aufgeführten besonders kritischen Sektoren gehören. Eine große Einrichtung ist definiert als: Unternehmen mit mindestens 250 Beschäftigten ODER mit einem Jahresumsatz von mindestens 50 Millionen Euro oder einer Jahresbilanzsumme von mindestens 43 Millionen Euro.
Wichtige Einrichtungen sind mittelgroße Unternehmen*, die in den sehr kritischen Sektoren des Anhangs I der Richtlinie tätig sind, ODER große* oder mittelgroße* Unternehmen in den Sektoren des Anhangs II der Richtlinie, die (aufgrund ihrer Größe oder der Art der betreffenden Einrichtung) nicht in die Kategorie der wesentlichen Unternehmen fallen. Ein mittelgroßes Unternehmen ist definiert als: Unternehmen mit mindestens 50 Beschäftigten ODER mit einem Jahresumsatz (oder einer Bilanzsumme) von mindestens 10 Mio. €, jedoch mit weniger als 250 Beschäftigten UND nicht mehr als 50 Mio. € Umsatz oder 43 Mio. € Bilanzsumme.
Es gibt jedoch einige Ausnahmen. In einigen Sektoren werden Einrichtungen aller Größenordnungen als „kritisch“ eingestuft: z. B. Anbieter öffentlicher elektronischer Kommunikationsnetze, Einrichtungen, die auf nationaler Ebene im Rahmen der Gruppenfreistellungsverordnung als kritisch eingestuft werden, öffentliche Verwaltungen (auf zentraler Ebene), qualifizierte Anbieter von Vertrauensdiensten und Registrierungsanbieter von Domainnnamen der obersten Ebene sowie DNS-Dienste.
Unabhängig von diesen Vorschriften können die nationalen Behörden auch Einrichtungen ausdrücklich als „kritisch“ oder „wichtig“ definieren, wenn sie beispielsweise der einzige Anbieter solcher Dienste sind oder wenn eine Störung der Dienstleistungserbringung erhebliche Folgen für die öffentliche Sicherheit oder die öffentliche Gesundheit haben könnte.
All dies zusammengenommen ergibt ein ziemlich komplexes System des Geltungsbereichs. Es ist jedoch wichtig, daran zu erinnern, dass dies nur die Bestimmungen der europäischen Mindestharmonisierung sind. In das belgische Umsetzungsgesetz können noch weitere oder strengere Spezifikationen aufgenommen werden.
Ausführliche Informationen zu all diesen Punkten finden sich insbesondere in den Artikeln 2, 3 und 4 der Richtlinie.
2.3 Zuständigkeit und Territorialität
Das belgische Gesetz zur Umsetzung der NIS2-Richtlinie wird grundsätzlich für in Belgien ansässige Unternehmen gelten. In den Erwägungsgründen der Richtlinie heißt es, dass „Niederlassung die tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung“ bedeutet. Die gewählte Rechtsform einer solchen Niederlassung, d. h. eine Zweigniederlassung oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit, ist in diesem Zusammenhang nicht entscheidend. Dieses Kriterium kann nicht vom physischen Standort des Netzes und der Informationssysteme abhängen.
Es gibt jedoch Ausnahmen von dieser Regel der territorialen Zuständigkeit:
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste unterliegen der Rechtsprechung des Mitgliedstaates, in dem sie ihre Dienste anbieten;
- DNS-Diensteanbietern, TLD-Namenregister, Anbieter von Domainregistrierungsdiensten, Cloud-Computing-Diensten, von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste und Anbieter verwalteter Sicherheitsdienste sowie Anbieter von Online-Marktplätzen, von Online-Suchmaschinen oder von Plattformen für Dienste sozialer Netzwerke unterliegen der Gerichtsbarkeit des Mitgliedstaats, in dem sie ihre Hauptniederlassung in der EU haben. (Vgl. Artikel 26 Absatz 2 der Richtlinie zur Bestimmung einer Hauptniederlassung)
- Behörden unterliegen der Gerichtsbarkeit des Mitgliedstaates, der sie eingerichtet hat;
Für Einrichtungen, die von der Regelung zur Hauptniederlassung erfasst sind, wird die ENISA ein Zentralregister führen, um eine wirksame Aufsicht über alle in der EU tätigen Einrichtungen zu gewährleisten. Zum Schluss: Da die größte Gruppe von Einrichtungen nicht mehr aktiv identifiziert wird, müssen sie sich registrieren lassen, damit jeder Mitgliedstaat über eine vollständige Liste aller NIS-2-Einrichtungen in seinem Zuständigkeitsbereich verfügt.
Ausführliche Informationen zu all diesen Punkten finden sich insbesondere in den Artikeln 26-27 der Richtlinie.
3. Stärkung der Risikomanagementmaßnahmen im Bereich der Cybersicherheit
Wesentliche und wichtige betroffene Einrichtungen müssen zweckmäßige und verhältnismäßige Maßnahmen ergreifen, um allen Risiken für die Sicherheit von Netz- und Informationssystemen zu begegnen und Sicherheitsvorfälle zu verhindern bzw. deren Auswirkungen auf die Empfänger ihrer Dienste und auf andere Dienste möglichst gering zu halten (vgl. insbesondere Art. 20-25).
Diese Maßnahmen beruhen auf einem gefahrenübergreifenden Ansatz und zielen darauf ab, Netz- und Informationssysteme und die physische Umwelt vor Sicherheitsvorfällen zu schützen.
Diese Maßnahmen umfassen mindestens:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme; Risikoanalyse
- Bewältigung von Sicherheitsvorfällen;
- Aufrechterhaltung des Betriebs, wie Backup-Management und Notfallpläne, und Krisenmanagement;
- Sicherheit der Lieferketten, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Dienstleistern, Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich der Reaktion auf Schwachstellen und deren Offenlegung
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
- gegebenenfalls Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Die Leitungsorgane bzw. Führungskräfte wesentlicher und wichtiger Einrichtungen müssen die Maßnahmen des Cybersicherheitsrisikomanagements genehmigen und deren Umsetzung überwachen, wobei sie für etwaige Verstöße haftbar gemacht werden können.
Um sicherzustellen, dass sie verstehen, welche Maßnahmen sie ergreifen, sollten die Mitglieder der Leitungsorgane von wesentlichen und wichtigen Einrichtungen eine Cybersicherheitsschulung absolvieren und ihren Mitarbeitern regelmäßig ähnliche Schulungen anbieten. Führungskräfte sollten ausreichende Kenntnisse und Fähigkeiten erwerben, um Risiken für ihr Unternehmen zu erkennen und Maßnahmen zur Cybersicherheit und deren Auswirkungen auf ihr Unternehmen zu bewerten.
Die europäische NIS-Kooperationsgruppe wird in Kürze ihre Leitlinien für Sicherheitsmaßnahmen aktualisieren, um den praktischen Anwendungsbereich der verschiedenen Sicherheitsziele der Richtlinie zu klären. (vgl. das frühere Referenzdokument „Reference document on security measures for Operators of Essential Services „)
Auf nationaler Ebene werden die zuständigen Behörden in die Lage versetzt, genauer und praktischer zu beschreiben, wie diese Sicherheitsanforderungen erfüllt werden sollen.
Darüber hinaus wird die Europäische Kommission einen Durchführungsbeschluss erlassen, in dem die technischen und methodologischen Anforderungen an die Risikomanagementmaßnahmen für alle unter die Bestimmungen zur Hauptniederlassung fallenden Einrichtungen festgelegt werden (siehe oben).
Erforderlichenfalls kann die Europäische Kommission auch Durchführungsrechtsakte mit technischen und methodologischen Vorschriften sowie sektorspezifischen Vorschriften für andere wichtige und kritische Einrichtungen erlassen.
Die EU kann auch im Nachhinein spezifischere Anforderungen stellen, zum Beispiel eine obligatorische Zertifizierung. Die EU kann auch koordinierte Risikobewertungen durchführen, insbesondere für kritische Versorgungsdienste oder Produkte, die zu weiteren Maßnahmen führen können. So sind die Unternehmen nicht allein der vertraglichen Abhängigkeit von Schlüssellieferanten ausgeliefert.
Ausführliche Informationen zu all diesen Punkten finden sich insbesondere in den Artikeln 20-25 der Richtlinie.
4. Verpflichtungen hinsichtlich der Berichte und der Meldung von Vorfällen
Wesentliche und wichtige Einrichtungen müssen den zuständigen nationalen Behörden (einschließlich des nationalen CSIRT – in Belgien das ZCB) jeden bedeutenden Vorfall unverzüglich melden.
Wesentliche und wichtige Unternehmen müssen die zuständigen nationalen Behörden (einschließlich des nationalen CSIRT – in Belgien das ZCB) unverzüglich über jeden Vorfall informieren, der die Erbringung von Dienstleistungen in den Sektoren oder Teilsektoren gemäß den Anhängen I und II der Richtlinie ernsthaft beeinträchtigt.
Ein schwerwiegender Vorfall ist ein solcher, der:
1° eine schwerwiegende betriebliche Störung der Dienstleistungen in den in den Anhängen I und II der Richtlinie aufgeführten Sektoren oder Teilsektoren oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder zu verursachen droht; oder
2° andere natürliche oder juristische Personen durch die Verursachung eines erheblichen materiellen, physischen oder immateriellen Schadens geschädigt hat oder schädigen kann.
Diese Meldung muss aus mehreren Schritten bestehen:
- einer Frühwarnung (spätestens innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls) mit minimalen Informationen, einschließlich der Angabe, ob der Vorfall auf andere Sektoren oder das Ausland übergreifen könnte und ob böswilliger Vorsatz vermutet wird;
- einem vollständigen Bericht über den Vorfall (spätestens innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls)
- einem eventuellen Zwischen- oder Fortschrittsbericht (auf Ersuchen des nationalen CSIRT).
- einem Abschlussbericht (einen Monat nach Meldung des Vorfalls). Wenn der Vorfall nach einem Monat noch nicht abgeschlossen ist, wird nach einem Monat ein Zwischenbericht und nach Abschluss des Vorfalls ein Abschlussbericht erwartet.
Gegebenenfalls sollte ein Unternehmen seine Kunden auch unverzüglich über alle wesentlichen Vorfälle informieren, die ihre Dienste beeinträchtigen könnten.
Zusätzlich zur Meldepflicht können Berichte auf freiwilliger Basis eingereicht werden, und zwar von:
- wesentlichen und wichtigen Einrichtungen über (nicht signifikante) Zwischenfälle, Cyber-Bedrohungen und verhinderte Zwischenfälle;
- Unternehmen, die keine wesentlichen und wichtigen Unternehmen sind, unabhängig davon, ob sie in den Anwendungsbereich der Richtlinie fallen oder nicht.
Weitere Einzelheiten zu den Berichtspflichten finden sich unter anderem in den Artikeln 23 und 30 der Richtlinie.
5. Sanktionen
Die Mitgliedstaaten müssen effektiv dafür sorgen, dass die von der NIS2 erfassten Einrichtungen die erforderlichen Maßnahmen ergreifen und Sicherheitsvorfälle melden. Zu diesem Zweck können sie z. B. regelmäßige externe Audits und Inspektionen durchführen oder bestimmte Unterlagen anfordern.
Die zuständigen nationalen Behörden müssen auch die Befugnis haben, Maßnahmen zu ergreifen, um die Unternehmen dazu zu veranlassen, die geeigneten Maßnahmen zu ergreifen. Diese können von der Erteilung von Verweisen oder verbindlichen Anweisungen zur Abstellung der Mängel bis hin zur Unterrichtung ihrer Kunden reichen. Zusätzlich zu diesen Verwaltungsmaßnahmen können auch zweckmäßige und verhältnismäßige Maßnahmen und abschreckende Bußgelder auferlegt werden.
Verstöße gegen die Risikomanagementmaßnahmen oder die Meldepflicht bei Zwischenfällen können geahndet werden:
- bei wesentlichen Einrichtungen: mit Geldbußen von bis zu 10 000 000 € oder mindestens 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens, zu dem die wesentliche Einrichtung gehört, je nachdem, welcher Betrag höher ist.
- bei wichtigen Einrichtungen: mit Geldbußen von bis zu 7 000 000 € oder mindestens 1,4 % des gesamten weltweiten Jahresumsatzes des Unternehmens, zu dem die wesentliche Einrichtung gehört, je nachdem, welcher Betrag höher ist.
Für den öffentlichen Sektor kann das Umsetzungsgesetz vorsehen, dass diese Bußgelder nicht für Behörden gelten. Die anderen verwaltungsrechtlichen Sanktionen finden jedoch weiterhin Anwendung.
Die Mitgliedstaaten können auch die Befugnis vorsehen, Zwangsgelder zu verhängen, um ein wesentliches oder wichtiges Unternehmen zu zwingen, einen Verstoß gegen diese Richtlinie gemäß einer vorherigen Entscheidung der zuständigen Behörde einzustellen.
Um die oberste Führungsebene zu sensibilisieren, können natürliche Personen, die wichtige Einrichtungen vertreten, für die Nichteinhaltung der in dieser Richtlinie festgelegten Verpflichtungen haftbar gemacht werden.
Ausführliche Informationen zu den Sanktionen finden Sie in den Artikeln 31-37 der Richtlinie.
6. Nahe Zukunft
Auf der Grundlage der neuen Richtlinie muss Belgien bis zum 17. Oktober 2024 neue Bestimmungen erlassen, die das bestehende NIS-Gesetz ersetzen. Die Arbeiten zur Vorbereitung der Umstellung werden in den kommenden Monaten stattfinden.
In jedem Fall sollten die neuen Verpflichtungen für die betroffenen Einrichtungen erst nach Ablauf der Umsetzungsfrist (Oktober 2024) in Kraft treten. Es ist jedoch sinnvoll, dass sich die Unternehmen bereits jetzt auf die allgemeinen Verpflichtungen, die sich aus der Richtlinie ergeben, vorbereiten, ohne die Umsetzungsvorschriften abzuwarten, und dabei die zunehmenden Bedrohungen und Risiken berücksichtigen. Daher können wir Unternehmen, die eindeutig diesen neuen Verpflichtungen unterliegen, nur raten, bereits jetzt mit der Erhöhung ihres Cybersicherheitsniveaus zu beginnen (oder damit fortzufahren).
Das ZCB hat ein Cyberfundamentals Framework mit spezifischen Kontrollzielen veröffentlicht. Dieses Tool kann Unternehmen helfen und sie beraten, um ihre Cybersicherheit schon jetzt auf ein angemessenes Niveau anzuheben.