Startseite > Security > „Aus unserer Sicht ist NIS2 ein Bürokratie-Gesetz“

Securepoint kritisiert NIS-2-Umsetzung

„Aus unserer Sicht ist NIS2 ein Bürokratie-Gesetz“

2. Mai 2024, 12:00 Uhr | Diana Künstler

René Hofmann und Eric Kaiser (hinten links und rechts) stellen sich im Roundtable den Fragen der Pressevertreter.

Gut gemeint, aber schlecht gemacht? Geht es nach Hersteller Securepoint, hat die NIS-2-Richtlinie in der Umsetzung noch erhebliches Optimierungspotenzial. Auf diesen und weitere Kritikpunkte ging Geschäftsführer René Hofmann am Rande der Partner-Roadshow in Berlin näher ein – ganz konstruktiv.

„Es gibt viel Bewegung – und das nicht nur produkttechnisch“, sagt Securepoint-Geschäftsführer René Hofmann zu Beginn des Presse-Roundtable am Rande der SecDays in Berlin. Bezug nimmt der Hersteller für Cybersecurity-Lösungen dabei insbesondere auf die aktuellen Entwicklungen rund um die NIS-2-Richtlinie¹, welche seit Januar 2023 in Kraft ist und nun bis 17. Oktober von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden muss. In Deutschland erfolgt dies mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)², das als sogenanntes Änderungsgesetz das bestehende Gesetz ändert – primär die KRITIS-Teile des BSI-Gesetzes. Die NIS2-Umsetzung wird voraussichtlich etwa 30.000 Unternehmen in Deutschland betreffen.

Mittlerweile werden immer mehr Stimmen laut, dass Deutschland voraussichtlich die Frist für das NIS-2-Umsetzungsgesetz nicht einhalten wird. Grund dafür sei, dass man sich im Rahmen der Ressortabstimmung nicht einig geworden ist. connect professional hatte hierzu berichtet. Ende März waren Informationen zum dritten Referentenentwurf³ durchgesickert beziehungsweise geleakt worden. Dieser Entwurf stammt konkret vom 22.12.2023 und enthält Anpassungen, die aus dem Werkstattgespräch des BMI vom 26.10.2023 mit den Fachverbänden und deren Eingaben hervorgegangen sind.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Initiative begrüßenswert, aber zu vage umgesetzt

„Es wäre hilfreich, wenn der Gesetzgeber einen klaren Fahrplan vorgeben würde“, sagt René Hofmann. Doch aus Sicht des Cybersecurity-Spezialisten liefere das NIS2UmsuCG beziehungsweise der letzte Referentenentwurf hierzu genau das Gegenteil – nämlich noch sehr allgemein gefasste Punkte. „Aus unserer Sicht ist NIS2 im Wesentlichen ein Bürokratie-Gesetz“, moniert der Geschäftsführer. Es gehe weniger um die konkrete Gestaltung von Cyber- und IT-Sicherheit, sondern um die Gestaltung administrativer Kommunikations- und Kontrollinstanzen. Kein Wunder also, dass die betroffenen Unternehmen sich in der Umsetzung noch zurückhalten würden. Denn je unkonkreter die Vorgaben seien, umso mehr Raum werde Unternehmen gelassen, sich herauszuhalten.

Dabei sei die Richtlinie aus den richtigen Beweggründen heraus initiiert worden: der Stärkung von Cyber- und IT-Sicherheit innerhalb der KRITIS-Unternehmen und deren Dienstleistern. Unabhängig von jeder Richtlinie sei es stets hilfreich, Cybersecurity-Verfahren in Unternehmen umsetzen. „Für uns ist die gelebte IT-Sicherheitskultur – NIS2 nennt das ‚Cyberhygiene‘ – in Unternehmen der Schlüssel für ihren erfolgreichen Schutz“, führt Hofmann aus. Dieser Bedeutung werde nach Securepoints Ansicht jedoch weder die NIS-2-Richtlinie noch das geplante NIS-2-Umsetzungsgesetz gerecht. Vielmehr blieben diese in ihren Anforderungen an die IKT-Produkte, -Dienste und –Prozesse sehr vage. Für den Hersteller eine vertane Chance. Zumal laut Hofmann solche Gesetze im Grunde für alle gelten sollten, nicht nur für Unternehmen kritischer Infrastrukturen.

René Hofmann: „Hersteller, Lieferanten und Dienstleister sind zentraler Bestandteil einer guten IT-Sicherheitskultur.“

Der Lieferkette komme dabei eine besondere Bedeutung zu. Mit einem Partnernetzwerk aus über 5.000 Systemhäusern und Anbietern von Managed Security-Services im deutschsprachigen Raum weiß Securepoint dies gut zu beurteilen. Gemeinsam mit seinen IT-Partnern schützt das Lüneburger Unternehmen mittlerweile mehr als 120.000 Netzwerke von KMU, Behörden und Institutionen vor Cyberangriffen und Schadsoftware. „IT-Dienstleister und Systemhäuser sollten schon aus Selbstschutz auch hier IT-Security mitdenken“, unterstreicht daher Eric Kaiser, Product Management Director bei Securepoint, während des Roundtables. Die Unternehmen sollten anfangen zu verstehen, dass Cybersicherheit das Nervensystem des Unternehmens ist. „Wenn das nicht funktioniert, steht ein Unternehmen am Abgrund“, urteilt der Produktverantwortliche.

Hilfestellung für die Systemhäuser

Hauptthema sei dabei laut Kaiser vor allem „überhaupt einfach mal etwas zu tun“. Wenn man nichts tue, nichts investiere, würde sich auch nichts ändern. Andererseits würden viele Lösungen gar nicht in der technischen Tiefe eingesetzt, die sie bieten würden. Hier gebe es noch viel Luft nach oben. Securepoint sieht sich in diesem Zusammenhang vor allem auch als Unterstützer der Systemhäuser, nicht nur in Hinblick auf die Expertise im Vertrieb. „Es gibt immer mehr Regularien für Unternehmen“, ergänzt René Hofmann. Auch vor diesem Hintergrund wolle man die Partner unterstützen, denn immer mehr Unternehmen bräuchten Dienstleister, die ihrerseits auch vor zahlreichen Herausforderungen stünden. Für Securepoint sei es dabei besonders wichtig, die für Systemhäuser entscheidenden Aspekte herauszukehren und ihnen mehr an die Hand zu geben als nur Produkte und Tools. Die Konzentration auf die pragmatische Umsetzung im Alltag sei hierbei tonangebend.

Auch in Sachen Fachkräftemangel unterstütze man die Partner. Insgesamt fehlen Bitkom-Zahlen⁴ zufolge derzeit quer durch alle Branchen rund 149.000 IT-Profis. Das sind 12.000 offene Stellen mehr als noch ein Jahr zuvor (2022: 137.000). Dass sich die Situation weiter verschlechtert, erwarten mehr als 70 Prozent der Unternehmen. Diese Tendenz werde sich dem Bitkom zufolge in den kommenden Jahren auch noch verstärken. Securepoint setzt vor diesem Hintergrund auf gezielte Nachwuchsförderung. Mit 44 Prozent macht die Duale IT-Berufsausbildung den größten Teil der nachkommenden Fachkräfte aus. Die Lüneburger begegnen dem mit einer Ausbildungsquote von über 14 Prozent. Damit das kein Tropfen auf dem heißen Stein bleibt, hat sich der Hersteller das „Brainee-Programm“ ausgedacht. Damit erhalten IT-Azubis ab dem ersten Ausbildungsjahr von Systemhäusern und Fachhändlern für ein Jahr kostenfrei Zugriff auf die Kurse der Securepoint-Akademie und können in der ersten Stufe das Operator-Zertifikat erreichen. Wer will, kann es in der eigenen dreijährigen Ausbildung bis zum Professional-Zertifikat bringen. Dafür erhalten sie vom Hersteller direkte Unterstützung bei Fragen. „Wir wollen unsere Systemhauspartner beim Thema Ausbildung unterstützen. Unser Weg ist das Know-how: Auszubildende haben die Gelegenheit, sich durch ein Online-Selbststudium in der Zukunftsbranche IT-Sicherheit weiterzubilden. Jedes Jahr starten im Brainee-Programm mehr als 100 Interessierte“, sagt Hofmann.

^{1 https://digital-strategy.ec.europa.eu/de/policies/nis2-directive}
^{2 https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html}
^{3 https://it-sicherheit-und-recht.de/wp-content/uploads/2024/03/CI1_17002_41_22-86-32-NIS2UmsuCG-2.-RefE-22-12-2023-09-58h.pdf}
^{4 https://www.bitkom.org/Presse/Presseinformation/Rekord-Fachkraeftemangel-Deutschland-IT-Jobs-unbesetzt}

Erfolgreiche SecDays-Tour 2024
Auf der alljährlich im Frühjahr stattfindenden Partner-Roadshow „SecDays“ präsentiert Securepoint aktuelle Produkt-Neuheiten und gibt Einschätzungen zum aktuellen Marktgeschehen ab. „Wir haben bei den SecDays 2024 eine Anwesenheitsquote von durchschnittlich über 90 Prozent“, kommentiert der Cybersecurity-Hersteller Ende April. Allein in Deutschland wären bereits 810 Teilnehmende von Systemhäusern und Fachhändlern vor Ort gewesen – dabei stehen die Events in Österreich und Schweiz noch aus. „Insgesamt haben wir also schon jetzt 35 Prozent mehr Teilnehmende als im Jahr 2023. Alles in allem: Ein großer Erfolg – so viele Teilnehmende wie noch nie bei den SecDays“, so das Zwischenfazit des Veranstalters.

Erfolgreiche SecDays-Tour 2024

Auf der alljährlich im Frühjahr stattfindenden Partner-Roadshow „SecDays“ präsentiert Securepoint aktuelle Produkt-Neuheiten und gibt Einschätzungen zum aktuellen Marktgeschehen ab. „Wir haben bei den SecDays 2024 eine Anwesenheitsquote von durchschnittlich über 90 Prozent“, kommentiert der Cybersecurity-Hersteller Ende April. Allein in Deutschland wären bereits 810 Teilnehmende von Systemhäusern und Fachhändlern vor Ort gewesen – dabei stehen die Events in Österreich und Schweiz noch aus. „Insgesamt haben wir also schon jetzt 35 Prozent mehr Teilnehmende als im Jahr 2023. Alles in allem: Ein großer Erfolg – so viele Teilnehmende wie noch nie bei den SecDays“, so das Zwischenfazit des Veranstalters.