Menü
Anzeige - Sämtliche Inhalte dieser Seite sind ein Angebot des Anzeigenpartners. Für den Inhalt ist der Anzeigenpartner verantwortlich.

NIS2-Compliance – Fluch oder Segen?

NIS2 Compliance

NIS2 ist eine von der EU verabschiedete Cybersicherheits-Richtlinie. Im Spätherbst 2024 wird die NIS2-Richtlinie in allen europäischen Mitgliedsstaaten in nationales Recht überführt (NIS2UmsuCG in Deutschland). Diesmal sind bereits Unternehmen ab 50 Mitarbeiter und ab 10 Millionen Euro Umsatz betroffen. Gerade der deutsche Mittelstand könnte von der NIS2-Compliance profitieren, wenn der Sinn dieser Richtlinie angemessen eingeschätzt wird.

Wer öfters nachts mit dem Auto auf dem flachen Land in Schleswig-Holstein unterwegs ist, der stelle sich folgendes Szenario vor. Mitten auf der Strecke steht am Rand eine Ampel und zeigt rot. Man ist allein, es ist weit und breit kein Auto zu sehen. Was soll man tun: warten oder weiterfahren?

Szenenwechsel: Man fährt mit dem Auto durch eine Großstadt. Es ist Hauptverkehrszeit, die Straßen sind voll und hektisch. Die Ampel schaltet auf Rot. Was ist jetzt die angemessene Reaktion? Rein formal ist es eine ähnliche Situation. Das Gesetz ist eindeutig, trotzdem ist es wahrscheinlich, dass einem im zweiten Fall die Antwort leichter fällt. Ähnlich ist es mit dem NIS2-Gesetz, wenn man den Sinn erkennt.

Schutz der eigenen Lieferfähigkeit

In der Wirtschaft ist das eigene Unternehmen häufig Teil einer Lieferkette. Besonders deutlich wird es im Automobilbau. Die Automobilzulieferer übergeben ihre Komponenten in der Reihenfolge, wie die Hersteller ihren Produktionsprozess definieren. Damit wird der Ausfall eines Zulieferers nicht nur zum Ärgernis, sondern kann auch dazu führen, dass das gesamte Band stillsteht.

Die NIS2-Compliance vollzieht einen sehr großen Schritt weg von der IT-Sicherheit hin zur Cyberresilienz und stellt an die Unternehmen unter anderem folgende gesetzlichen Forderungen:
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs
  • Wiederherstellung nach einem Notfall
  • Sicherheit der Lieferkette
Einfach gesagt: Sie sollen ihre Verträge und Lieferverpflichtungen erfüllen. Im Grunde gesunder Menschenverstand. Die Antwort „Bisher ist es noch immer gut gegangen!“ greift jedoch nicht mehr – und das aus gutem Grund.

200 Milliarden Euro Schäden durch Cyberangriffe allein im Jahr 2023

Bitkom, der Branchenverband der deutschen Informations- und Telekommunikationsbranche, führt kontinuierlich Statistiken, wie sich die Bedrohungslage durch Cyberangriffe entwickelt. 200 Milliarden Euro Schäden durch Cyberangriffe pro Jahr allein in Deutschland lassen sich nicht mehr wegdiskutieren. Zum Vergleich: Das Wachstumschancengesetz hat ein Volumen von gerade einmal drei Milliarden Euro.
Zum Thema

Wovor sollten Unternehmen sich schützen?

NIS2-Compliance
NIS2-Compliance
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat eine Zusammenstellung der 47 häufigsten Gefährdungen zusammengestellt. Hier sind einige Beispiele:
  • Ausfall oder Störung von Dienstleistern
  • Fehlplanung oder fehlende Anpassung
  • Unbefugtes Eindringen in IT-Systeme
  • Ressourcenmangel
  • Verstoß gegen Gesetze oder Regelungen
  • Nötigung, Erpressung oder Korruption
Dies lässt sich an einem Beispiel konkret machen. Die Kombination von „Unbefugtes Eindringen in IT-Systeme“ und „Nötigung, Erpressung oder Korruption“ ist allgemein unter dem Namen Ransomware bekannt. Ein Angreifer verschafft sich Zugriff auf ihre Systeme, verschlüsselt ihre Daten und verlangt ein Lösegeld, damit sie ihre Daten zurückbekommen.

Wie fühlt sich das an? Beispiele:
  • Man will vielleicht seine Kunden über den Vorfall informieren. E-Mail und Telefon sind jedoch ausgefallen. Hoffentlich hat man alle Daten im Handy.

  • Die Ware steht im Lager versandbereit, allerdings sind sie nicht in der Lage, einen Lieferschein zu drucken. Auch die Schnittstellen zu ihren Logistikpartnern sind gestört.

  • Sie können weder Rechnungen drucken, um sie dann per Post zu versenden, noch sind sie in der Lage, ihre eingegangenen Zahlungen zu verbuchen.

  • Und für morgen war der Gehaltslauf geplant.

Wie können Unternehmen sich vorbereiten?

Die Feuerwehr übt regelmäßig die häufigsten Einsatzszenarien. Warum? Weil sie sonst vergisst, wie man einen Schlauch ausrollt? Nein, das ist natürlich nicht der Grund. Wenn es zu einem kritischen Einsatz kommt, hat jeder Mensch tausende Gedanken gleichzeitig im Kopf. Das ist völlig normal. Die Wahrscheinlichkeit, dass sie in dieser Situation rationale und wohlüberlegte Entscheidungen treffen, liegt nur knapp über Null Prozent. Die Feuerwehr übt klar definierte und bewährte Abläufe. In der konkreten Situation müssen keine Entscheidungen mehr diskutiert und getroffen werden, es wird nur noch gehandelt. Unnötige Zeitverzögerung kann Leben kosten.

Die gesetzlichen Forderungen „Bewältigung von Sicherheitsvorfällen“ und „Wiederherstellung nach einem Notfall“ machen es ab Ende des Jahres zur Pflicht, sich als Unternehmen entsprechend vorzubereiten. Die grundlegenden Verteidigungslinien Firewall und Virenschutz wurden bei einem erfolgreichen Ransomware-Angriff bereits überwunden. Jetzt hilft ihnen nur noch ihre Datensicherung. Sie haben doch eine Datensicherung, oder? Und sie haben sichergestellt, dass die Datensicherung nicht mitverschlüsselt wurde, weil die Daten nur auf ein anderes Laufwerk kopiert wurden.

Aber auch eine funktionierende Datensicherung bedeutet Datenverlust. Alle Daten, die nach der letzten Datensicherung erzeugt oder verändert wurden, stehen nicht mehr zur Verfügung. Hier sind – unabhängig vom IT-Team – die Dateneigentümer in den Fachbereichen gefordert, sich geeignet vorzubereiten.

Im Auto hat jeder ein Ersatzrad für den Notfall

Man fährt flott über die Autobahn. Plötzlich platzt ein Reifen, aber zum Glück schafft man es noch, das Fahrzeug kontrolliert zum Stehen zu bringen. Für diesen Fall gibt es das Ersatzrad, aber schon rein optisch wird deutlich, dass es besser ist, damit nur sehr langsam zu fahren und das Rad bald wieder zu wechseln.

Dies ist mit dem NIS2-Notfallkonzept vergleichbar. Es werden gezielte Maßnahmen definiert, um das eigene Unternehmen auch in einer Krisensituation möglichst lange handlungs- und überlebensfähig zu halten, wenn auch nicht im vollen Umfang. Aber ist einem dann klar, wie lange man braucht, um wieder aus eigener Kraft auf die Beine zu kommen?

Verstoß gegen die NIS2-Compliance

Obwohl es auch im Gesetz selbst erhebliche Sanktionen gibt, sind die wahrscheinlicheren Konsequenzen bei einem Compliance-Verstoß eher an anderer Stelle zu finden. Das BSI als zuständige Behörde wird vermutlich längere Zeit keine freie Kapazität haben, um die Unternehmen ohne Anlass zu prüfen. Der Druck kommt jedoch von anderer Seite:
  • Unternehmen, die über eine Cyberversicherung verfügen, sollten in den allgemeinen Geschäftsbedingungen (AGB) der Versicherung prüfen, ob diese auch dann zahlt, wenn sie offensichtlich gegen geltende Gesetze verstoßen.

  • Sollten zu den eigenen Kunden Unternehmen gehören, die als Teil der kritischen Infrastruktur gezwungen sind, NIS2 sofort zu erfüllen, weil NIS2 die heute geltenden Gesetze und Regelungen ablöst, dann müssen sie damit rechnen, dass diese Kunden ihren eigenen Druck sehr schnell an ihre Partner und Lieferanten weitergeben.

  • Im Falle eines Sicherheitsvorfalls muss der Vorfall an das BSI gemeldet werden. Hier darf und wird das BSI einen Gesetzesverstoß nicht ignorieren. Gleichzeitig müssen sie mit weiteren Reputationsschäden rechnen.

      • ISB-as-a-Service

      Wenn Hacker sich die Arbeit teilen, also wie professionelle Unternehmen agieren – und die Digitalisierung eine immer größere potenzielle Angriffsfläche bietet, dann brauchen Unternehmen einen Experten für die Cybersicherheit, der die aktuellen Risiken ermittelt und aktiv mitwirkt, das Schutzniveau des Unternehmens zu verbessern. Bestehende IT-Teams, die insbesondere bei kleinen und mittleren Unternehmen vor allem aus Generalisten bestehen, stoßen hier in Sachen Know-how und Erfahrung schnell an ihre Grenzen.

      Der ISB (Informationssicherheitsbeauftragter) ergänzt den Datenschutzbeauftragten und unterstützt sowohl die Geschäftsführung als auch die IT-Verantwortlichen. Seine Aufgaben:

      Orientierung
      Orientierung geben, um bewusste Entscheidungen treffen zu können.

      Koordination
      Das Steuern, Koordinieren und Prüfen der technischen und organisatorischen Maßnahmen.

      Cybersicherheit
      Das kontinuierliche Verbessern der Cybersicherheit, insbesondere das Anpassen an neue Bedrohungen und die Änderungen im technischen und organisatorischen Umfeld.

      Aktualität
      Die Anpassung an neue gesetzliche, betriebliche und vertragliche Anforderungen aus Sicht der Cybersicherheit und der Cyberresilienz.

      IT-Notfallkonzepte
      Die Erstellung und Pflege von IT-Notfallkonzepten.

      IT-Audits
      Die Begleitung von IT-Audits und Zertifizierungen.


      Damit ist der ISB ein geeigneter und sehr gefragter Sparringspartner, um die NIS2-Compliance mit Augenmaß zu begleiten.

      Der erste konkrete Schritt – die Standortbestimmung

      Durch die NIS2-Compliance werden die Unternehmen gesetzlich aufgefordert, ein systematisches Risikomanagement für ihre IT-gestützten Prozesse einzuführen. In diesem Zusammenhang hilft eine klare Einschätzung ihres Status quo und ein auf die Möglichkeiten des Mittelstands abgestimmtes Zielbild.

      Die Firma INOVASEC GmbH hat speziell für den Mittelstand eine sehr pragmatische Standortbestimmung entwickelt. Die Grundlage ist ein Reifegradmodell, das über eine einfache und verständliche Ampel-Darstellung eine schnelle Erfassung der Gesamtsituation unterstützt.
Impressum
INOVASEC GmbH
Herr Christian Kreß In den Obergärten 28 63329 Egelsbach Deutschland USt-IdNr.: DE230219678 HRB 54832 Offenbach
T: 0049-6103-8038055
@: christian.kressinovasec.de
Lesen Sie auch

Cyber-Resilienz
Bild zum Artikel: Cyber-Resilienz
Cyber-Resilienz: Schon wieder eines dieser Buzzwords, die keiner kennt und keiner braucht. Es hat wohl etwas mit Cyber zu tun, vielleicht Cyber-Sicherheit. Bisher ist es noch immer gut gegangen.

NIS2-Gesetz
Bild zum Artikel: NIS2-Gesetz
Am 16.01.2023 schrieb das Handelsblatt „Kaum zu bewältigen: Neue EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck“. Und weiter: „Ob Energieversorger, O ...
Betreiber Impressum