NIS2 und die nationale Umsetzung - Was kommt auf deutsche Unternehmen zu | Folge 18

Shownotes

Die europäische NIS2-Richtlinie definiert, welche Mindestanforderungen zukünftig bei der IT-Sicherheit gelten und wie sich insbesondere Unternehmen der kritischen Infrastruktur künftig schützen müssen. In Folge 18 spricht Christian Lueg mit ESET Security-Experte Maik Wetzel darüber, wie die Richtlinie die Cyber-Sicherheit in deutschen Unternehmen verändern wird und über die Herausforderungen, die diese bis zum 18. Oktober 2024 meistern müssen.

Über den Gast Der studierte Betriebswirt Maik Wetzel verfügt über mehr als 30 Jahre Berufserfahrung in der IT Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei ESET verantwortet Maik Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region. In dieser Rolle fokussiert er sich auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region. Er vertritt ESET in den Gremien wichtiger Verbände und tritt regelmäßig als Speaker auf Konferenzen und als Spezialist und Experte in Panels oder Roundtables in Erscheinung.

Um was geht es bei NIS2? Auch in dieser Folge von WeTalkSecurity geht es um die europäische NIS2 (Netz- und Informationssysteme)-Richtlinie, die spätestens bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden muss. Mittels der Richtlinie werden Mindestanforderungen an die IT-Sicherheit von Unternehmen und Organisationen definiert, insbesondere für Unternehmen der kritischen Infrastruktur (KRITIS), die zukünftig zu erfüllen sind. Ziel ist es damit die Cyber-Sicherheit und die Resilienz insgesamt zu verbessern, die zwischenstaatliche Zusammenarbeit bei der Bekämpfung von Cyberkriminalität zu fördern und EU-weite Mindeststandards zu definieren.

Wie wird in Deutschland reguliert werden? Zwar existiert in Deutschland bisher nur ein informeller Referentenentwurf, doch daran lässt sich schon erkennen wie die Richtlinie in Deutschland ausgestaltet werden soll, findet Maik Wetzel: In Zukunft werden insgesamt 18 Wirtschaftssektoren unter die Richtlinie fallen, abhängig von ihrer Größe. Statt bisher etwa 5.000 Unternehmen, die unter die derzeit geltende NIS-Richtlinie fallen, werden bald etwa 29.000 Unternehmen von NIS2 betroffen sein. Ihnen werden strengere Compliance-Anforderungen in Punkto IT- und Datensicherheit auferlegt.

Staat und Verwaltung werden ebenfalls betroffen sein. Allerdings ist bisher noch offen, inwieweit die Anforderungen nur für Bundes und Landesbehörden oder auch für die kommunale Ebene gelten werden. Dies könnte zu einem schwer überschaubaren Flickenteppich führen beziehungsweise könnte die Stärkung der Cyber-Resilienz im kommunalen Sektor ausbleiben.

Was müssen Unternehmen in Punkto NIS2 tun? Die Unternehmen sind in der Pflicht, selbst aktiv zu werden und selbst zu ermitteln, ob NIS2 für sie gilt und gegebenenfalls die notwendigen Maßnahmen zu ergreifen. Zukünftig ist eine Registrierung über das Bundesamt für Informationssicherheit (BSI) geplant, über die Unternehmen erfahren können ob sie reguliert sind und Unterlagen zur Prüfung einreichen können. Regulierte Unternehmen können sich auf der organisatorischen Ebene, aller Voraussicht nach, auf die notwendige Einführung eines Informationssicherheits-Management-Systems zur Risikobewertung von IT-Assets einstellen. Daraus müssen Schutzmaßnahmen abgeleitet werden. Auf der technischen Ebene könnten Multi-Faktor-Authentifizierung, Verschlüsselung bestimmter Daten und die Vorhaltung von Backup-Systemen vorgeschrieben werden. Dazu kommen, für besonders wichtige Unternehmen, Systeme zur Angriffserkennung.

Welche Systeme genau vorgeschrieben sein werden, wird dem Gesetz nicht entnehmbar sein. Wahrscheinlich müssen die Systeme dem jeweils aktuellen „Stand der Technik“ entsprechen, mindestens müssen sie angemessen sein. Organisationen müssen sich also auf dem Laufenden halten und ihre Sicherheitsmaßnahmen immer wieder kritisch hinterfragen.

Auch Zulieferer und Leitungsorgane sind in der Pflicht Über die 29.000 betroffenen Unternehmen hinaus werden auch Zulieferer betroffen sein. Das betrifft zum Beispiel digitale Lieferketten. Künftig könnten auch Geschäftsführer und andere Verantwortliche für mangelnde Cyber-Sicherheit in Haftung genommen werden.

Was verbirgt sich hinter dem Rechtsbegriff „Stand der Technik“? Mehr dazu ist der Folge 16 von WeTalkSecurity zu entnehmen: Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis. Außerdem lässt sich dies im ESET Whitepaper „IT-Security auf dem Stand der Technik“ nachlesen, das hier heruntergeladen werden kann.

Weitere Informationen: Teletrust Publikation zum Stand der Technik: https://www.teletrust.de/publikationen/broschueren/stand-der-technik/ https://digitalsecurityguide.eset.com/de/nis2-das-besagt-die-neue-eu-richtlinie-fur-cybersicherheit https://www.eset.com/de/blog/blog/nis2-kommt-eine-gute-basis-fuer-mehr-europaeische-cybersicherheit/

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.