Die NIS2-Richtlinie macht den Nachweis und die Organisation der IT-Sicherheit zur Daueraufgabe – auch für Unternehmen im Gesundheits- und Sozialwesen. Mit dem Dokumentenmanagement von d.velop können Unternehmen die gesetzlichen Anforderungen als Impuls für effizientere Prozesse nutzen. Wie? Das verrät Jürgen Prummer in diesem Interview mit dem d.velop blog.
Jetzt gilt`s: Mit Inkrafttreten des NIS2-Gesetzes ist für viele Unternehmen eine neue Registrierungspflicht entstanden. Auch wenn in der Realität Übergangsfristen und behördliche Spielräume den 6. März als Stichtag für die beim Bundesamt für Sicherheit in der Informationstechnik (BSI) etwas aufweichen: Mit dem neuen Gesetz, das eine EU-Richtlinie in deutsches Recht überführt, existiert nunmehr ein weiteres Regelwerk, das Unternehmen in der zunehmend digitalen Welt der Sicherheit zu befolgen haben.
Deutlich verschärfte Haftungsrisiken
NIS2 (Network and Information Security Directive) fokussiert dabei auf die Cybersecurity und verschärft die diesbezüglichen Anforderungen an die Sicherheitsmaßnahmen und Meldepflichten für Betreiber wesentlicher Dienste und wichtiger Einrichtungen.
Ein wichtiger Unterschied zwischen den Regelwerken besteht in der Zahl betroffener Einrichtungen.
Während bei KRITIS die Pflichten erst ab relativ hohen branchenspezifischen Schwellenwerten greifen, gelten die NIS2-Pflichten zum Beispiel im Pflegesektor bereits ab einer Schwelle von 50 Mitarbeitenden und/oder einem Jahresumsatz von zehn Millionen Euro sowie einer Einordnung als wichtige Einrichtung.
Jürgen Prummer
Business Development Manager für ECM Compliance
d.velop
Die zweite Botschaft des Experten lautet: „NIS2 ist kein einmaliges Projekt, sondern eine dauerhafte organisatorische Verpflichtung, deren Umsetzung regelmäßig überprüft und angepasst werden muss.“ Auf die leichte Schulter nehmen sollten Verantwortliche die neue Richtlinie nicht. Denn sie verschärft die Haftungsrisiken für Geschäftsführungen und Vorstände deutlich. Diese sind verpflichtet, angemessene organisatorische und technische Maßnahmen sicherzustellen und deren Umsetzung zu überwachen.
Die gute Nachricht ist: Gerade weil die Umsetzung der NIS2-Richtlinie ein dauerhaftes Organisations- und Nachweisthema ist, birgt sie vielmehr Potenzial als eine lästige Pflicht. Nehmen Führungskräfte die Anforderungen als Managementthema ernst, können sie die Vorgaben als Vorlage für effiziente Prozesse und digitale Souveränität nutzen.
Anforderungen von NIS2 und KRITIS mit d.velop Lösungen umsetzen
Eine Schlüsselrolle nehmen dabei Dokumentenmanagementsysteme (DMS) ein. Sie bilden das Rückgrat sowie den Dreh- und Angelpunkt der Informationsverwaltung in Unternehmen und speichern oft sensible und vertrauliche Daten. Daher ist es unerlässlich, dass diese Systeme höchsten Sicherheitsstandards entsprechen. Als Spezialist für das Informations- und Dokumentenmanagement liefert d.velop dabei die entscheidenden Bausteine für eine wirksame und überprüfbare Umsetzung der Anforderungen, die aus NIS2 und KRITIS resultieren:
- d.velop documents ist die zentrale, revisionssichere, unveränderbare und strukturierte Ablage für Ihre Einrichtung. Mit ihrer Unterstützung können Unternehmen zahlreiche Verwaltungsabläufe wie z. B. die Rechnungsverarbeitung, das Vertragsmanagement sowie Personalprozesse digital abbilden und überdies Richtlinien, Verantwortlichkeiten und Sicherheitskonzepte hinterlegen – jeweils mit rollenbasierten Zugriffsrechten, Versionierung, Zugriffshistorie und vollständigem Änderungsnachweis.
- d.velop process studio unterstützt Einrichtungen in der Abbildung, Ausführung und Dokumentation prüfbarer Prozesse, z. B. von Incident-, Freigabe- oder Eskalationsprozessen.
- d.velop sign unterstützt rechtsverbindliche und nachvollziehbare Freigaben im Rahmen der jeweils eingesetzten Signaturverfahren.
- d.velop postbox schafft die technischen und organisatorischen Voraussetzungen für eine dokumentierte, nachvollziehbare Zustellung geschäftskritischer Kommunikation.
- d.velop cloud storage macht Organisationen resilienter, indem es als zweiter „Brandabschnitt“ für eine logisch getrennte Ablage und Wiederherstellbarkeit von Daten sorgt.
Diese Lösungen ersetzen nicht die organisationsspezifische Risikoanalyse und Gesamtverantwortung nach NIS2, unterstützen Organisationen aber bei der Umsetzung und Nachweisführung. „Mit diesen Tools können Sozialunternehmen zugleich einen großen Schritt in Richtung digitaler Souveränität machen“, ist Jürgen Prummer überzeugt. Denn als deutscher Anbieter legt d.velop großen Wert auf die Vermeidung von Lock-in-Effekten, also der Abhängigkeit gegenüber nicht-europäischen Technologieanbietern. „Deshalb sind unsere Systeme so gestaltet, dass sie unabhängig von proprietären Lösungen sind.“
Und mehr noch: Pflegeheime, Wohlfahrtsverbände, Hilfsorganisationen, Komplexeinrichtungen und Stiftungen sollten jetzt die Gelegenheit nutzen, ihre Prozesse nicht nur sicherer, sondern auch besser und effizienter zu gestalten: mit automatisierten Workflows, mit der digitalen Abbildung von Fachprozessen und Verwaltungsabläufen oder im übergreifenden Austausch und bei der Gestaltung von digitalen Prozessen zwischen verschiedenen Einrichtungen, Standorten und Bereichen.