Startseite > Security > Augenmerk auf die Lieferkette

EU-Richtlinie NIS2

Augenmerk auf die Lieferkette

6. August 2024, 14:00 Uhr | Interview: Diana Künstler

Robert Schneider ist Channel Account Manager beim Value-Added-Distributor Sysob.

Das Bundeskabinett hat erst kürzlich einen entsprechenden Gesetzentwurf vorgelegt, die Zeit wird dennoch langsam knapp für NIS2. Über den Status quo der Umsetzung sowie die Herausforderungen für Unternehmen und Reseller spricht Robert Schneider von Sysob im Interview.

connect professional: Bis zum 17. Oktober 2024 soll die NIS2-Richtlinie von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Aktuell gibt es Stimmen, wonach Deutschland die Umsetzungsfrist wohl nicht einhalten wird. Können sich Unternehmen also entspannt zurücklehnen?

Robert Schneider: Auch wenn dieser Fall eintreten könnte, sollten Unternehmen sich jetzt nicht zurücklehnen und mit der Implementierung von wichtigen Sicherheitsmaßnahmen warten. Nur weil eventuell die gesetzlichen Rahmenbedingungen rund um NIS2 nach hinten verschoben werden, machen Cyberkriminelle noch lange keine Angriffspause. Zudem rate ich, den Aufwand für die Umsetzung der NIS2-Vorschriften nicht zu unterschätzen. Die Richtlinie umfasst immerhin zehn Kriterien und kann für bestimmte Branchen, beispielsweise im Bereich der Kritischen Infrastrukturen, sehr komplexe Ausmaße annehmen. Deshalb sollten Unternehmen spätestens jetzt definieren, welche technischen und organisatorischen Maßnahmen sie selbst sukzessiv umsetzen können und wofür sie externe Security-Spezialisten benötigen – und dann schnell handeln.

connect professional: NIS2-Richtlinie, Diskussionspapier, Referentenentwurf – woran sollte man sich als Unternehmen denn nun konkret orientieren?

Schneider: Zugegebenermaßen ist die Entstehung eines Gesetzes oftmals nicht wirklich transparent und für Unternehmen, die es dann letztendlich betrifft, meist schwierig nachzuvollziehen. Die Entwicklungsgeschichte von NIS2 ist allerdings schon weit fortgeschritten und der aktuelle Stand recht eindeutig. Hier existiert bereits eine EU-Richtlinie, die in naher Zukunft in gültiges deutsches Recht umgesetzt wird. Das Diskussionspapier des BMI, des Bundesministeriums des Innern und für Heimat, sowie der Referentenentwurf sind dabei nur spezifische Schritte im Umsetzungsprozess, die zur Vorbereitung und Untermauerung der rechtlich verbindlichen NIS2-Vorschriften dienen. Im Endeffekt ist es also ratsam, wenn sich Unternehmen bei ihrer Sicherheitsstrategie vor allem an der NIS2-Richtlinie orientieren. Davon abgesehen, kann es auch nicht schaden, seine Cyberresilienz umfangreicher zu stärken als es die gesetzlichen Regularien fordern.

connect professional: Wie schlägt sich Deutschland bei der NIS2-Umsetzung im Vergleich zu seinen europäischen Nachbarn?

Schneider: Es ist schwierig zu überblicken, welche Länder bei der Umsetzung von NIS2 bereits weiter fortgeschritten sind als andere. So haben es beispielsweise Ungarn, Kroatien und jetzt auch Deutschland bisher als einzige europäische Länder geschafft, einen nationalen Gesetzentwurf zu verabschieden. Auf der anderen Seite hat Dänemark kürzlich schon mitgeteilt, die vorgesehene Frist nicht einhalten zu können. Andere Länder liegen irgendwo dazwischen. Das Spektrum ist hier also sehr breit. Von dem jeweiligen Status quo der NIS2-Umsetzung kann übrigens keinesfalls abgeleitet werden, welches Land tatsächlich aktuell die beste Cyberresilienz besitzt. Ich denke, dass der Aufbau eines höheren Sicherheitsstandards vielmehr ein stetiger Prozess sein wird, den es immer wieder zu optimieren gilt. Schließlich lassen sich Cyberkriminelle auch ständig neue Angriffsmethoden einfallen, um Unternehmen oder öffentliche Einrichtungen zu kompromittieren.

connect professional: Wo sehen Sie die größten Herausforderungen bei der Umsetzung der Richtlinie innerhalb von Unternehmen, speziell für IT-Abteilungen und die Management-Ebene?

Schneider: Für beide Unternehmensbereiche gibt es einige Hürden, die es zu meistern gilt. Mit großem Abstand an erster Stelle steht hier aber sicherlich die Lieferkette. Die Schwierigkeit dabei ist, dass in langjährigen und intensiven Geschäftsbeziehungen unter Umständen starke Abhängigkeiten entstanden sind, die Unternehmen hierzulande nicht einfach von heute auf morgen auflösen und durch neue Partnerschaften ersetzen können – oder dies womöglich auch gar nicht möchten. Es wird garantiert einige aus NIS2-Sicht problematische Konstellationen geben, beispielsweise mit Lieferanten aus dem nichteuropäischen Ausland.

connect professional: Inwiefern stellt denn die Lieferkette ein so großes Problem dar?

Schneider: Lieferketten können mitunter sehr komplex ausfallen. Einige weltweite Krisen haben uns das mehr als deutlich gezeigt. Kein Wunder also, dass die NIS2-Richtlinie mögliche Störungen innerhalb der Supply Chain vermeiden möchte und deshalb dort ein besonderes Augenmerk auf die Cybersicherheit legt. In der Konsequenz bedeutet das: Wenn ein Unternehmen von der NIS2-Richtlinie betroffen ist, müssen seine Lieferanten und Dienstleister ebenso diese strengen Sicherheitskriterien erfüllen – auch dann, wenn sie außerhalb von Europa sitzen oder selbst gar nicht unter die NIS2-Pflicht fallen würden. Ansonsten kann das eigentliche NIS2-Unternehmen auch für Kompromittierungsschäden haftbar gemacht werden, deren Ursprung auf eine mangelhafte IT-Sicherheit beim Kooperationspartner zurückzuführen ist – und dafür möchte sicher kein Unternehmen unverschuldet den Kopf hinhalten. Dementsprechend ist die Lieferkette ein brandaktuelles Thema, das auch IT-Reseller und Systemhäuser betrifft. Auch sie können als Service Provider in einer Geschäftsbeziehung zu einem NIS2-Unternehmen stehen.

connect professional: Die NIS2-Umsetzung fordert Zeit, verursacht Kosten und bindet weitere Ressourcen. Wie können vor allem kleine und mittelständische Unternehmen diesen Bürokratie-Mehraufwand meistern?

Schneider: Es gibt leider keine „abgespeckte“ Lösung, die maßgeschneidert auf kleine Betriebe und den Mittelstand passt. Jedes Unternehmen muss für sich selbst überlegen, welche Geschäftsbereiche unbedingt vor Cyberangriffen geschützt werden müssen. Falls die Verantwortlichen die benötigten IT-Sicherheitsmaßnahmen nicht oder nicht in vollem Umfang selbst implementieren und verwalten können, besteht auch immer die Option, selektiv auf Unterstützung von außen zurückzugreifen, beispielsweise auf bestimmte Managed XDR-Angebote oder einzelne Services eines Security Operations Center.

connect professional: Mit welchen Security-Lösungen unterstützt Sysob seine Kunden bei der Einhaltung von NIS2?

Schneider: Wir haben eine große Bandbreite an Lösungen im Portfolio, um die unterschiedlichen Anforderungen von NIS2 zu bedienen. So gehört ein zuverlässiges Identity and Access Management ganz sicher in jedes moderne Security-Konzept. Hier bieten wir beispielsweise mit den YubiKeys leicht zu bedienende Hardware-Token, die bei der Multi-Faktor-Authentifizierung sogar Phishing standhalten. Für die Passwortverwaltung lassen sich Lösungen von Netwrix integrieren und Fortra ergänzt mit Produkten für sicheren Datentransfer und E-Mail-Security. Die Next-Gen-Firewalls von Clavister und die Network-Security-Lösungen von Stormshield sorgen für ganzheitliche Netzwerksicherheit. Zudem liefert Trustwave mit seinen Angeboten im Bereich PenTesting und Co-Managed SOC externe Unterstützung für Security-Teams in Unternehmen. All dies sind aber nur herausgegriffene Beispiele. Unser IT-Sicherheitsportfolio ist so umfangreich, dass wir im Grunde die NIS2-Umsetzung eines Unternehmens komplett abbilden können.

connect professional: Die NIS2-Richtlinie ist nur eine von vielen EU-Vorgaben, die deutsche Unternehmen mit Blick auf Cybersecurity berücksichtigen müssen. Welche weiteren Gesetze oder Regularien sind in dieser Hinsicht ebenfalls relevant?

Schneider: Der verstärkte Fokus auf IT Security macht sich auch bei branchenspezifischen Gesetzesregelungen bemerkbar. So heißt es nun im Telekommunikationsgesetz, dass Anbieter von TK-Diensten und Netzen analoge Maßnahmen gemäß NIS2 umsetzen müssen. Auch das Energiewirtschaftsgesetz wurde erst kürzlich angepasst und um NIS2-bezogene Inhalte ergänzt. Für mich ein klares Signal: Die Cybersicherheit steht künftig ganz im Zeichen von NIS2.