Die EU-Richtlinien NIS2 und RKE: Eine ganzheitliche Herangehensweise an die Sicherheit kritischer Infrastrukturen
In der sich ständig wandelnden Landschaft der Cybersicherheit und physischen Sicherheitsanforderungen für Unternehmen hat die EU mit den Richtlinien 2022/2555 (NIS2) und 2022/2557 (RKE) neue Maßstäbe gesetzt. Während NIS2 bereits weitreichende Aufmerksamkeit erregt und Unternehmen zu umfassenden Maßnahmen bewegt hat, rückt nun auch die RKE, die EU-Richtlinie über die Resilienz kritischer Einrichtungen, zunehmend in den Fokus der Betroffenen.
Diese Richtlinie erweitert die durch NIS1 und NIS2 eingeführten Anforderungen um Aspekte der physischen Sicherheit und weiterer Bereiche, wodurch Sicherheit erstmals in einem ganzheitlichen Rahmen behandelt wird.
Synergien zwischen NIS2 und RKE
Die grundlegende Herausforderung für Unternehmen besteht nun darin, ein Organisationsmodell zu entwickeln, das den Vorgaben beider Richtlinien gerecht wird. Hierbei bietet das Highlanderprinzip, das besagt "es kann nur eine (Sicherheit) geben", einen interessanten Ansatzpunkt. Es geht darum, eine einheitliche Sicherheitsstrategie zu schaffen, die die Synergien zwischen RKE und NIS2 optimal nutzt, um die Sicherheit kritischer Infrastrukturen zu gewährleisten.
Druck und Chancen
Mit einer Frist bis Juli 2027 für die Umsetzung der RKE-Anforderungen stehen Unternehmen bereits jetzt unter erheblichem Druck, vor allem wenn bauliche und technische Maßnahmen erforderlich sind. Ein frühzeitiger Beginn und die Nutzung der Synergien zwischen RKE und NIS2 können jedoch als Chance verstanden werden, um eine robuste und zukunftsfähige Sicherheitsarchitektur zu etablieren.
Aktuelle Entwicklungen und strategische Ausrichtung
Insgesamt lassen sich mehrere wichtige Punkte feststellen:
- Die Fortführung des APCIP-"Spirits" unterstreicht das Bestreben nach gemeinsamer Sicherheit im Bereich der kritischen Infrastruktur. Die Behörde legt großen Wert auf den wechselseitigen Austausch und fokussiert eher auf das Erreichen gemeinsamer Ziele als auf die Verhängung von Strafen.
- Es wird erwogen, Unternehmen, die ihre Hausaufgaben nicht gemacht haben, öffentlich zu machen. Dies könnte sich als wirksamer herausstellen als herkömmliche Strafen.
- Die Unterstützung der Wirtschaft bei der Umsetzung von Art.10 wird ernst genommen, mit Bestrebungen, im Rahmen eines angedachten KIRAS-Projekts Leitfäden für die Wirtschaft zu erstellen.
- Die ersten Überlegungen zur Gestaltung der QUASTEN nehmen Form an, mit dem Ziel, diese qualitativ hochwertig umzusetzen.
Ausblick
Die weiterführende Konkretisierung der Vorgaben und die Fokussierung auf Sektorgespräche zur Einordnung der betroffenen Unternehmen sind nun von zentraler Bedeutung. Die Einführung der RKE spiegelt die Anerkennung eines sich verändernden Sicherheitsumfelds wider und unterstreicht die Notwendigkeit einer angepassten und ganzheitlichen Herangehensweise an die Sicherheit kritischer Infrastrukturen.
Die Zeiten ändern sich, und mit der RKE-Richtlinie wird ein neues Kapitel in der Sicherheitspolitik aufgeschlagen, das den geänderten Anforderungen an die Sicherheit Rechnung trägt. Für Unternehmen bietet dies sowohl Herausforderungen als auch Möglichkeiten, ihre Sicherheitsarchitektur zu stärken und für die Zukunft zu rüsten. Die ganzheitliche Betrachtung von Cybersicherheit und physischer Sicherheit eröffnet neue Perspektiven für den Schutz kritischer Infrastrukturen und die Sicherheit unserer Gesellschaft.
Information und Beratung
Wir führen regelmässig und auf Anfrage auch Workhops und Informationsveranstaltungen zum Themenkomplex als Teil unseres Leistungspaketes durch. Für Anfragen oder allfällige Fragestellungen kontaktieren Sie uns gerne via:
- Email: office@protectum.solutions
- Telefon: +43 676 84034 8333