Ist NIS2 der Gamechanger für die Cybersicherheit? | Folge 15

Shownotes

Seit 2016 gilt die erste EU-weite Richtlinie zur Netzwerk- und Informationssicherheit NIS. Nun hat die Europäische Union die Zügel in puncto IT-Sicherheit weiter angezogen. Die noch aktuelle Verordnung wurde in vielen Bereichen erweitert und betrifft weit mehr Unternehmen und Organisationen als jemals zuvor. Was können wir von NIS2 erwarten? Worauf müssen Sie sich einstellen? Christian Lueg spricht in der neuesten Folge von WeTalkSecurity mit Maik Wetzel, Strategic Business Development Director DACH bei ESET.

Über den Gast Der studierte Betriebswirt Maik Wetzel verfügt über mehr als 30 Jahre Berufserfahrung in der IT Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei ESET verantwortet Maik Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region. In dieser Rolle fokussiert er sich auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region. Er vertritt ESET in den Gremien wichtiger Verbände und tritt regelmäßig als Speaker auf Konferenzen und als Spezialist und Experte in Panels oder Roundtabels in Erscheinung.

In der neuesten Folge von WeTalkSecurity geht es um die NIS2 (Netz- und Informationssysteme)-Richtlinie. Viele Unternehmen haben die kommenden Herausforderungen durch diese Richtlinie noch gar nicht auf dem Schirm. Die Richtlinie muss noch bis spätestens Oktober 2024 in nationales Gesetz umgesetzt werden.

Wie sieht die Gesetzeslage derzeit in Deutschland aus? Es gibt eine ganze Reihe von relevanten Gesetzen zur IT-Sicherheit, besonders wichtig ist aber das BSI-Gesetz bzw. das IT-Sicherheitgesetz. Dieses schreibt Mindeststandards zur IT-Sicherheit bei Kritischen Infrastrukturen vor. Derzeit gibt es zehn regulierte Sektoren wie Energie, IT und TK, Ernährung, Abfallwirtschaft usw. Auch die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird in diesem Gesetz beschrieben. Dann gibt es neben dem IT-Sicherheitsgesetz noch die KRITIS-Verordnung die dann konkreter darauf eingeht, welche Anlagen schützenswert ist.

**Warum kommt die NIS2-Richtlinie? ** Die Digitalisierung und die digitale Transformation schreitet rasant voran und vieles wird komplexer. Auch die Anforderungen an die IT-Sicherheit steigen damit. Einflussfaktoren wie der Ukrainekrieg haben die Anforderungen ebenso nach oben gesetzt. Dabei ist es wichtig in der Europäischen Union einheitliche Standards zu gewährleisten, die dann in nationale Gesetze umgewandelt werden. Das sind aber nur Mindeststandards und können in den Ländern auch höher ausfallen. In der Vergangenheit sind viele wichtige aber kleine Unternehmen nicht in die Kritische Infrastruktur gefallen, wie Wasserwerke oder Lebensmittelhändler. Das wird sich mit Umsetzung der neuen Richtlinie ändern und der Wirkungsgrad wird erweitert. Es gibt dann nicht mehr zehn Sektoren, sondern 18. Derzeit zählen 4.000 Unternehmen in Deutschland zur Kritischen Infrastruktur. Mit NIS2 wird sich der Kreis erheblich erweitern. Im Vergleich zur Datenschutzgrundverordnung (DSGVO) ist das Thema sogar noch gravierender. NIS2 regelt die Regulierung der IT-Sicherheit neu und wird große Auswirkungen haben. Die Richtlinie schreibt einen Sanktionskatalog vor, der bis zum Entzug der Betriebserlaubnis reicht, und nimmt Leitungsorgane in den Unternehmen in die Pflicht. Diese müssen Fortbildungen im Bereich IT-Sicherheit nachweisen.

Was sind technische und organisatorische Voraussetzungen? Es gehört dazu, dass ein Informationssicherheitsmanagemensystem in Unternehmen eingeführt wird. Dazu gehört es die IT-Assets aufzuführen und deren Relevanz zu überprüfen, also eine Risikobewertung. Dabei müssen dann techniche Mindesstandards mit der NIS2-Richtlinie eingegührt werden. Dazu zählen ein Incident Detection System, ein Monitoring, eine Multifaktorauthentifizierung usw. Dazu kommen noch organisatorische Maßnahmen. Hierbei ist es wichtig einen Stand der Technik zu erfüllen. Weitere Informationen, um den Begriff besser greifen zu können: https://www.eset.com/de/stand-der-technik/. Unternehmen sollten umgehend mit den Vorbereitungen beginnen, da die Sanktionen heftig sein können. Auch Unternehmen außerhalb der EU sind von dieser Richtlinie betroffen. Dazu zählen auch Zulieferer, die gar nicht direkt Geschäfte in der EU machen. Gerade diese KMUs sind für Angreifer lukrative Ziele, um darüber an größere Unternehmen heranzukommen.

Lediglich 30 Prozent der deutschen Bevölkerung sind nach Schätzungen digital souverän und kennen sich sicher im digitalen Raum aus. Daher ist es umso wichtiger den Leuten moderne Technologien von IT-Sicherheit zu erklären und verständlich zu machen. Hier müssen auch Systemhäuser und Service-Provider ansetzen, um Aufklärungsarbeit zu leisten.

Wird NIS2 ein Bürokratiemonster? Maik Wetzel ist sehr optimistisch und sieht in den Regulierungsvorhaben der EU ein gutes Werkzeug, das notwendig und auf einem guten Weg ist. Auch ist er überzeugt, dass der deutsche Gesetzgeber dies im Blick hat.

Maiks Tipps für einen Geschäftsführer Maik empfiehlt einem Unternehmer, dass man sich einen Partner sucht, der hier weiterhelfen kann wie IT-Dienstleister. Auch gibt es entsprechende Unterlagen, die hier helfen (https://www.eset.com/de/stand-der-technik/).

Weitere Informationen: https://digitalsecurityguide.eset.com/de/nis2-das-besagt-die-neue-eu-richtlinie-fur-cybersicherheit https://www.eset.com/de/blog/blog/nis2-kommt-eine-gute-basis-fuer-mehr-europaeische-cybersicherheit/

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.