Startseite > Security > Cybersicherheit nicht nur um der Compliance willen

Virtuelle Themenreihe NIS-2 / Teil 2

Cybersicherheit nicht nur um der Compliance willen

3. April 2024, 6:56 Uhr | Diana Künstler

Die Referent:innen des Tages während der morgendlichen Vorstellungsrunde (v.l.n.r.): Andras Müller (Delinea), Mailin von Knobelsdorff (PwC), Johannes Carl (Ivanti), Marc Lemarquis (DriveLock), Karsten U. Bartels (HK2 Rechtsanwälte), Diana Künstler (connect professional), Max Tarantik (Enginsight) und André Glenzer (PwC)

Das Fristende für die Umsetzung von NIS-2 in den europäischen Mitgliedstaaten rückt näher. Vor diesem Hintergrund hat connect professional zusammen mit sieben Branchenvertreter:innen erneut einen ganzen Tag dem Thema gewidmet. Knapp 230 Teilnehmer hatten sich zum Webinartag am 14. März angemeldet.

Die NIS-2-Richtlinie (EU 2022/2555)¹ ist seit dem 16. Januar 2023 in Kraft. Die Mitgliedstaaten der EU sind seitdem angehalten, diesen Mindeststandard verbindlich in jeweils nationales Recht umzusetzen. In Deutschland erfolgt dies mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)², das als sogenanntes Änderungsgesetz das bestehende Gesetz ändert – primär die KRITIS-Teile des BSI-Gesetzes. Mittlerweile werden immer mehr Stimmen laut, dass Deutschland voraussichtlich die Frist für das NIS-2-Umsetzungsgesetz nicht einhalten wird. Grund dafür sei, dass man sich im Rahmen der Ressortabstimmung nicht einig geworden ist. connect professional hatte hierzu berichtet. Die NIS-2-Umsetzung wird schätzungsweise etwa 30.000 Unternehmen inklusive Dienstleister und Zulieferer im IT-Umfeld in Deutschland betreffen. Umsetzungsfrist für die Richtlinie ist der 17. Oktober 2024. Für deutsche Unternehmen gilt somit ab dem 18. Oktober Anwendungspflicht. Die Zeit drängt.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

„Bereit für NIS-2? Was die neue Richtlinie bedeutet“ lautete vor diesem Hintergrund der Titel der virtuellen Webinar-Reihe, die connect professional am 14. März zum mittlerweile zweiten Mal veranstaltete. Neben den Sponsoren und Vertretern von Delinea, DriveLock, Enginsight und Ivanti beleuchteten Sprecher:innen von PwC Deutschland und HK2 Rechtsanwälte beziehungsweise Bundesverband IT-Sicherheit e.V. (TeleTrusT) das Thema aus verschiedenen Blickwinkeln: von Grundsatzfragen zur Betroffenheit und damit einhergehenden Pflichten über Lösungsansätze im Bereich Security Controls nach ISO 27001, Identity Access Management, Discovery und IT Asset Management bis hin zum Stand des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Bezüglich letzterem waren erst ein paar Tage zuvor Informationen zum dritten Referentenentwurf durchgesickert beziehungsweise geleakt worden. Dieser Entwurf stammt konkret vom 22.12.2023³ und enthält Anpassungen, die aus dem Werkstattgespräch des BMI vom 26.10.2023 mit den Fachverbänden und deren Eingaben hervorgegangen sind.

Save the Date: 14.05.2024 Fortsetzung der NIS-2-Webinarreihe
Der Informationsbedarf zum Thema ist groß. Die connect professional Webinar-Reihe zur NIS-2-Richtlinie geht daher in die mittlerweile dritte Runde. Gemeinsam mit Vertretern von DriveLock, Sophos, SoSafe, Nordcloud und TCI Rechtsanwälte informiert die Fortsetzung über die Hintergründe der europäischen Richtlinie und zeigt Lösungsansätze für spezifische Anforderungen, die damit einhergehen. Informationen zum Programm, den Rednern sowie die Möglichkeit zur kostenlosen Anmeldung für den Webinartag am 14.05. finden Sie hier.

Save the Date: 14.05.2024
Fortsetzung der NIS-2-Webinarreihe

Der Informationsbedarf zum Thema ist groß. Die connect professional Webinar-Reihe zur NIS-2-Richtlinie geht daher in die mittlerweile dritte Runde. Gemeinsam mit Vertretern von DriveLock, Sophos, SoSafe, Nordcloud und TCI Rechtsanwälte informiert die Fortsetzung über die Hintergründe der europäischen Richtlinie und zeigt Lösungsansätze für spezifische Anforderungen, die damit einhergehen. Informationen zum Programm, den Rednern sowie die Möglichkeit zur kostenlosen Anmeldung für den Webinartag am 14.05. finden Sie hier.

Von den Gründen für NIS-2 bis zum Bierbrauer, den es auch betrifft

Den Auftaktvortrag des Tages hielten Mailin von Knobelsdorff und André Glenzer von PwC Deutschland, in welchem sie prägnant über wichtige Neuerungen der NIS-1-Nachfolgerin informierten. Darunter die neue Betroffenheit für viele Unternehmen ab 50 Mitarbeitenden, die Geltung ab Oktober 2024 – und das ohne Übergangsfristen –, die Verantwortung für die Unternehmensleitung und die schmerzhaften Bußgelder. Auch die betroffene Lieferkette und die Anforderungen, welche über Zertifizierungsstandards hinausgehen würden, rückten die PwC-Experten in den Fokus. Nicht zu unterschätzen sei vor diesem Hintergrund, was damit auf Unternehmen zukomme, betonte André Glenzer. Der Vorbereitungsbedarf ist demzufolge hoch – allerdings in Teilen auch berechtigt. Vor allem wenn man bedenkt, was die EU mit der NIS-2-Richtlinie zu bekämpfen versucht: nämlich ein niedriges Cybersicherheitsniveau und keine einheitliche Umsetzung, wie es Marc Lemarquis von DriveLock in seinem Anschlussvortrag so treffend formulierte. Seine klare Handlungsempfehlung an alle Organisationen lautet daher „Prävention ist besser als Intervention“. Konkrete Hilfestellung lieferte Lemarquis auch gleich mit, indem er auf die Security Controls nach ISO 27001⁴ Anhang A einging. Mit ihnen soll sich bereits ein Großteil der auch in der NIS-2-Richtlinie genannten Risikomanagement-Maßnahmen umsetzen lassen sollen; Schätzungen zufolge bis zu 70 Prozent.

„NIS-1 hat nicht das Bewusstsein geschaffen, das man wollte. Deshalb gibt es NIS-2“, unterstrich auch Andreas Müller von Delinea in seinem Vortrag um 11 Uhr zum Thema Identity Access Management. Darin verdeutlichte er, warum Identitäten und deren Absicherung im Kontext Cybersicherheit zunehmend an Bedeutung gewinnen. Schließlich habe heutzutage alles eine Identität, egal ob Mensch oder Maschine. Problematisch seien jedoch das mangelnde Sicherheitsbewusstsein, das Vorgehen in Sachen Passwortvergabe und auch die zunehmende Einbindung von KI. Ebenso einprägsam griff Müller zudem noch einmal die KRITIS-Relevanz bestimmter Organisationen auf. Denn vielen sei gar nicht bewusst, dass sie die NIS-2-Richtlinie betreffe. Exemplarisch führte er hier einen Bierbrauer an. Da dieser neben dem Bier parallel auch Mineralwasser herstelle, falle auch er unter den Anwendungsbereich der EU-Richtlinie.

Das Gerät, das unbekannte Wesen, und die Frage „Was wäre, wenn…?“

Mittags referierte Johannes Carl von Ivanti zu einem nicht minder relevanten Thema mit Blick auf die Umsetzung von Cybersicherheitsmaßnahmen in Organisationen: „Wie können wir Anwender zufriedener im Umgang mit Sicherheitstools machen?“ Er betonte, dass NIS-2 die Chance biete, IT-Komfort und IT-Sicherheit in einem Zug zu verbessern. Hilfreich sei an dieser Stelle die Orientierung an Consumer-Apps, da viele User diese kennen und anstandslos anwenden würden. Nicht zu unterschätzen sei allerdings auch ein gutes ITSM, also ein IT Service Management, als entscheidende Schnittstelle zwischen User und IT. Grundlage jedoch jedweder Sicherheitstools und deren Anwendung sei es, die Geräte im Unternehmen auch zu kennen; Stichwort Discovery. So würden sich viele Unternehmen in Sachen Sicherheit gut aufgestellt fühlen. Fakt sei aber, dass 70 Prozent aller Angriffe auf Geräte durchkomme, die man nicht kenne oder identifiziert habe. Entsprechende Discovery Tools würden bis zu 30 Prozent zusätzliche Geräte offenbaren, von denen man bisher nichts wusste. „Im Healthcare-Bereich weiß der Admin von 50 Prozent der Geräte nichts“, gibt Carl zu bedenken.

„Aktuell wären neun Prozent der Unternehmen in EU nicht in der Lage, sich aktiv gegen Cyberangriffe zu wehren“, lautete Max Tarantiks niederschmetternde Einschätzung, die er in seinem anschließenden Beitrag abgab. Kein Wunder, Cybercrime habe sich schließlich als ein Geschäftsmodell etabliert, womit sich schnell und einfach viel Geld verdienen lasse. „Und den Angreifern ist es egal, ob man unter NIS-2 oder KRITIS fällt“, so der COO von Enginsight. Zudem kämen zunehmend politische Akteure ins Spiel, wie die Zunahme an Cyberattacken parallel zum Ukraine- und Israel-Konflikt belegen würden. Vor diesem Hintergrund bräuchten gerade kleine und mittelständische Unternehmen Möglichkeiten, ihre Cybersicherheit zu vereinfachen. Gleichzeitig müssten sie das Sicherheitsniveau drastisch steigern. Die mit NIS-2 benannten Anforderungen und Pflichten seien vor diesem Hintergrund nicht als bloße Compliance zu verstehen, sondern sollten vielmehr als Impuls für eine Verbesserung der Cybersicherheit gesehen werden – vor allem hinsichtlich Risiko- und Vorfallsmanagement, Geschäftskontinuität und Reporting. Die NIS-2-Richtlinie liefere IT-Entscheidern somit bereits eine klare Fokussierung und Mindestanforderungen, die eigentlich schon von vielen Unternehmen als Stand der Technik betrieben werden sollte. „Das ist nichts komplett Neues“, so Tarantik. Vertrauensvolle Partner stellten vor diesem Hintergrund eine gute Möglichkeit für Unternehmen dar, Kosten und Know-how zu sparen. „Man kann nicht von jedem Geschäftsführer verlangen, dass jeder Experte in dem Thema ist“, gibt der COO zu bedenken. Auch sollte sich jeder Unternehmensverantwortliche die Frage stellen „Was wäre, wenn…?“. Was wäre, wenn die Wasserversorgung gehackt wird? Was wäre, wenn der Strom nicht mehr läuft? Gibt es eine alternative TK-Struktur oder ein Backup? Diese Fragen führten Tarantik zufolge immer zu interessanten Ergebnisse und würden Schwachstellen offenlegen.

Rechtliche Anforderungen und Hilfestellung inklusive

Den Abschlussvortrag des Tages hielt Karsten U. Bartels von HK2 Rechtsanwälte. Er lenkte den Blick auf die rechtlichen Anforderungen des NIS2UmsuCG und lieferte auch noch einmal Hintergründe zur umstrittenen Thematik, warum Stand jetzt bestimmte Bereiche in Deutschland nicht vom Anwendungsbereich des deutschen NIS-2-Umsetzungsgesetzes betroffen sind. „Kommunalverwaltungen und Bildungseinrichtungen sind in Deutschland nicht zur Einhaltung der NIS-2-Richtlinie verpflichtet“, so Bartels. „Wäre es sinnvoll, das zu tun? Ja, auf jeden Fall, weil die ‚IT-Unsicherheit‘ gerade nicht an Grenzen halt macht.“ Als Vorstand im Bundesverband IT-Sicherheit e.V. (TeleTrust)⁵ spricht sich Bartels vehement für eine Aufnahme von Kommunalverwaltungen und Bildungseinrichtungen in den Anwendungsbereich von NIS-2 aus. Denn wenn man dies von den Unternehmen verlange, warum dann schließlich nicht auch von den Organisationen in Deutschland, deren Konsequenzen im Falle eines Cybersicherheitsvorfalls für einen Großteil der Bevölkerung hierzulande besonders spürbar seien? Zum Abschluss seines Vortrages lieferte der Rechtsanwalt noch einmal eine stichpunktartige Checkliste für alle Betroffenen, was jetzt zu tun sei:

Vorab-Bestimmung: Wäre mein Unternehmen im Anwendungsbereich?
IT-Sicherheitsstrategie und Budgets anpassen
IT-Sicherheitsvereinbarungen mit Kunden vorbereiten! Kommunikation anpassen
„Risikomanagementmaßnahmen“ gemäß § 30 BSIG E prüfen/umsetzen/anpassen
Geschäftsleitung und betroffene Abteilungen informieren und einbeziehen
Projektplan zur IT-Compliance erstellen/anpassen
IT- Sicherheit mit Zulieferern/Dienstleistern nachverhandeln!

Dies soll jedoch nicht die einzige „Checkliste“ des Tages gewesen sein. Fast jede(r) der Vortragenden lieferte konkrete Hilfestellung für ganz spezifische Fragen, die mit NIS-2 einhergehen: PwC verwies auf ein eigenes Online-Fragen-Tool zur Analyse der Auswirkungen, welches Unternehmen bei der Ermittlung ihrer Betroffenheit unterstützt. Marc Lemarquis kommunizierte ebenfalls einen „NIS-2-Compliance Check“, der jedoch nicht die Betroffenheit in den Fokus rückt, sondern vielmehr Score-technisch Antworten darauf liefern soll, inwieweit einzelne Maßnahmen bereits umgesetzt worden sind. In Kooperation mit Enginsight hat DriveLock zudem seit Kurzem eine Art „NIS-2-Out-of-the-Box“-Lösung im Portfolio, mit der sich die Umsetzung und der Nachweis von NIS2-Compliance realisieren lassen sollen. Andreas Müller von Delinea stellte gegenüber, in welchen Punkten NIS-2 und Cyberversicherungen Überschneidungspunkte liefern. Und auch Max Tarantik von Enginsight präsentierte eine hilfreiche Auflistung der mit NIS-2 einhergehenden Mehrkosten für Unternehmen, basierend auf dem Referentenentwurf vom Dezember 2023 und openkritis.de-Informationen – Lizenzkosten von Sicherheitstools allerdings ausgenommen. Alle Vorträge des Tages können Interessierte und deren Inhalte können Interessierte auch unter https://www.connect-professional.de/webinare/ kostenlos gegen Registrierung einsehen.

Fortsetzung folgt

Der Webinar-Thementag lieferte schlussendlich erneut einen guten Rundumblick zur NIS-2-Richtlinie und griff viele Aspekte auf: von einer Betroffenheitsanalyse über den umfangreichen Anforderungskatalog bis hin zu konkreten Umsetzungsansätzen. Es ist ein komplexes Thema mit vielen zu beachtenden Aspekten. Nichtsdestotrotz: Der Antrieb für die Umsetzung adäquater Cybersicherheitsmaßnahmen in einer Organisation sollte nicht (nur) aus bloßer Pflichterfüllung gesetzlicher Vorgaben heraus resultieren. Dafür sind die Konsequenzen bei erfolgreich durchgeführten Angriffen, wie die Vergangenheit zeigt, leider zu schwerwiegend und weitreichend.

Das Team der connect professional bedankt sich an dieser Stelle bei allen Referent:innen und Teilnehmer:innen des Tages für den regen Austausch zur NIS-2-Richtlinie. Wer weiterhin Informationsbedarf zum Thema haben sollte, dem möchten wir die Fortsetzung der Webinar-Reihe am 14. Mai nahelegen (s. Infokasten weiter oben).

^{1 https://eur-lex.europa.eu/eli/dir/2022/2555

2 https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html

3 https://it-sicherheit-und-recht.de/wp-content/uploads/2024/03/CI1_17002_41_22-86-32-NIS2UmsuCG-2.-RefE-22-12-2023-09-58h.pdf

4 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-grundschutz_node.html

5 https://www.teletrust.de/startseite/}