„Ich empfehle jedem betroffenen Unternehmen, nicht zu warten“

Neben NIS-2 betreffen auch zahlreiche andere EU-Vorgaben mittlerweile deutsche Unternehmen und deren IT-Sicherheit. Harmonisierung ist hier laut Tobias Mielke von TÜVIT wichtig, „damit wir am Ende keinen Flickenteppich in der EU bekommen“. Über die NIS-2-Key-Facts und mehr spricht er im Interview.

connect professional: Ab dem 18. Oktober gilt Anwendungspflicht für betroffene Unternehmen der NIS-2-Richtlinie¹. Was sind Ihre grundsätzlichen Empfehlungen an Unternehmen? Wie sollten die sich in der kurzen verbleibenden Zeit dem Thema annähern?

Tobias Mielke: Der Punkt ist: Es steht alles in der Richtlinie. Und das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (kurz NIS2UmsuCG)² ist natürlich eine Umsetzung der Richtlinie. Das heißt, man kann sich wunderbar an der Richtlinie orientieren. Dort steht alles explizit drin, was umzusetzen ist, wie es umzusetzen ist, wer es umzusetzen hat.

Ein weiterer Punkt ist: Die Unternehmen sollten das eigentlich alles schon umgesetzt haben. Wenn man sich wirklich schon um Informationssicherheit sowie um Cybersecurity Gedanken gemacht hat und entsprechend sensibilisiert ist im Unternehmen, sollten das alles keine neuen Punkte mehr sein, die als Anforderungen gelten, die im Rahmen der NIS-2-Richtlinie beziehungsweise dann im NIS2UmsuCG in Deutschland dann vollzogen werden müssen.

Denn: Sicherheit geht uns alle was an, weil wir alle mit Daten und Informationen hantieren. Sei es von Kunden, sei es von Mitarbeitern, sei es eigene Geschäftsgeheimnisse, die hier geschützt werden müssen. Und die Sensibilisierung hätte schon längst erfolgen werden müssen. Gerade vor dem Hintergrund, wenn man sich beispielsweise Artikel 20 der Richtlinie ansieht, das hier auch dann die entsprechende Geschäftsführung in die Pflicht genommen wird und dafür auch direkt haftbar gemacht werden kann. Dadurch ist der Druck noch einmal immens höher. Nichtsdestotrotz hätten die Unternehmen dies alles bereits umsetzen können, zumindest aber schon mal die ersten Aspekte und Prozesse implementiert haben können. Sei es das Thema Angriffserkennung, sei es Risikomanagement, Meldewesen oder Sensibilisierung der Mitarbeiter etc.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

connect professional: Gesetzt den Fall, ein Umsetzungsgesetz würde nicht bis 17.10. zustande kommen, würde dann die NIS-2-Richtlinie verbindlich greifen?

Mielke: Bis 17.10.2024 sind die Mitgliedsstaaten in der EU aufgefordert, ein entsprechendes Umsetzungsgesetz zu verabschieden. Aber nichtsdestotrotz hat die NIS-2-Richtlinie Entfaltung am 18.10. Also ab 18.10. gilt die NIS-2-Richtlinie und Deutschland muss dann die NIS-2-Richtlinie in ein nationales Gesetz umgesetzt haben, um keine Vertragsverletzungen mit der EU zu riskieren. Nichtsdestotrotz empfehle ich jedem betroffenen Unternehmen, nicht zu warten.

connect professional: Heißt im Prinzip, man muss sich zum einen registrieren. Was geht noch damit einher?

Mielke: Die Möglichkeit zur Registrierung muss natürlich gegeben werden. Das ist der eine Punkt. Ich würde aber trotzdem alles vorbereiten. Es wartet keiner auf einen. Und wenn dann zum Beispiel später das BSI eine Seite publiziert, wo sich die Unternehmen entsprechend registrieren können, dann kann man nicht noch einmal eine Woche warten. Das muss auch dementsprechend vorbereitet werden. Und auch die Maßnahmen, die wiederum für die Unternehmen bei entsprechender nationaler Umsetzung gelten am 18.10., gelten ja nicht dann erst, wenn ich mich registriere. Diese müssen umgesetzt sein, bevor die Unternehmen sich registrieren müssen. Möglich wäre es auch, dass dann entsprechende Bußgelder für die Unternehmen auferlegt werden, wenn diese Maßnahmen nicht adäquat umgesetzt worden sind.

connect professional: Mit der NIS-2- Richtlinie kommen ja neue Sektoren beziehungsweise Bereiche hinzu. Können Sie vielleicht exemplarisch ein paar nennen?

Mielke: Hier müssen wir auch , denn im NIS-2-Umsetzungsgesetz gibt es ja wieder andere Begrifflichkeiten. Wenn ich mich wiederum an der NIS-2-Richtlinie orientiere, müssen wir unterscheiden zwischen den aktuellen KRITIS-Sektoren in Deutschland, die wir jetzt schon haben, plus neue Sektoren mit hoher Kritikalität und sonstigen kritischen Einrichtungen. Und hier gibt es dann wieder neue, zum Beispiel bei hohen kritischen, wie Trinkwasser, Abwasser, Verwaltung von IKT-Diensten oder Weltraum, was ganz neu hinzugekommen ist unter anderem. Und dann bei den sonstigen kritischen Sektoren im Anhang 2 der NIS-2-Richtlinie, da haben wir dann auch Post- und Kurierdienste, die darunterfallen, sowie Gewerbe und Waren, Forschung. Das ist die eine Schiene.

Dann müssen wir das Ganze noch unterteilen in Teilsektoren, was jeweils im Anhang 1 und 2 definiert ist. Darunter müssen auch wiederum noch mal weitere Richtlinien und Verordnungen berücksichtigt werden, ob dann das Ganze auch unter diesen Schwellenwert passt. Das ist natürlich ein weiterer Punkt. Heute haben wir zum Beispiel, wenn wir jetzt aktuell von KRITIS-Unternehmen nach § 8a BSIG sprechen, schon sehr definierte Zahlen, was Schwellenwerte angeht. Hier müssen wir wirklich unternehmensseitig denken: Falle ich mit meinem Unternehmen unter Anhang 1 der NIS-2-Richtlinie oder unter Anhang 2 in dem entsprechenden Sektor beziehungsweise dann im Teilsektor?

Ein Beispiel: Wenn man verarbeitendes Gewerbe und Herstellung von Waren aus dem Anhang 2 der kritischen Sektoren betrachtet, gibt es auch wieder verschiedene Unterteilungen in Herstellung von Medizinprodukten, Maschinenbau, auch Herstellung von Kraftwagen. Die fallen wiederum in diesen Sektor beziehungsweise in den Teilsektor. Und diesen Teilsektor muss man natürlich wieder prüfen. Falle ich denn auch unter diesen? Das zeigt: Das dauert natürlich Zeit und darüber müssen sich Unternehmen Gedanken machen.

1. „Ich empfehle jedem betroffenen Unternehmen, nicht zu warten“
2. Lieferkette, weitere Normen und Gesetze sowie der Begriff Cyberhygiene
3. Auditanalyse unerlässlich, NIS-2 im EU-Vergleich und Fachkräftemangel

Lesen Sie mehr zum Thema

Das könnte Sie auch interessieren

Eset-Umfrage zur EU-Richtlinlie

Deutsche Unternehmen sind nicht auf NIS-2 vorbereitet

EU-Verordnung für Finanzsektor

Spotlight: DORA

SecDays

Securepoint geht mit über 1.000 IT-Partnern auf Tour

Virtuelle Themenreihe NIS-2 / Teil 2

Cybersicherheit nicht nur um der Compliance willen

Informations- und Netzsicherheit

NIS-2: Für Unternehmen wird die Zeit knapp

NIS-2-Richtlinie

„Das Risiko verringern – darum geht es im Grunde mit NIS-2“

Advertorial

Resilienz gegen Insider-Bedrohungen vor dem Hintergrund von NIS2

NIS-2-Richtlinie

Daueraufgabe IT-Sicherheit

Vorbereitung auf NIS-2

Herausforderung OT-Sicherheit meistern

Fortsetzung der Webinar-Reihe

Ist Ihr Unternehmen bereit für NIS-2?

Webinar-Themenreihe NIS-2

NIS-2 als Chance begreifen

Weitere Artikel zu TÜV Informationstechnik GmbH

TÜV IT warnt

Hilfe, meine KI ʇɹǝıuıznןןɐɥ!

NIS-2-Richtlinie

Daueraufgabe IT-Sicherheit

Webinar-Themenreihe NIS-2

NIS-2 als Chance begreifen

Weitere Artikel zu Security-Service-Provider

Digitale Zukunft

Technologietrends als Ökosystem

Check Point Pressedinner

Wie sich Unternehmen gegen KI-gestützte Angriffe wappnen können

Schutzschild DNS

Die unterschätzte Verteidigung gegen Cyberbedrohungen

Expansion in der EU

BlueVoyant eröffnet Security Operations Center in Irland

Im Visier staatlicher Spionage

Warum Telekommunikationsnetze zur Gefahr für Demokratien werden

Weitere Artikel zu Safety und Security

Wechsel bei Videoüberwachung

Certina übernimmt Mobotix-Mehrheit von Konica Minolta

Fünf Schritte zur sicheren Vorbereitung

NIS2: Trotz Verzögerung müssen Unternehmen jetzt handeln

Embedded Security made in Germany

Systemabsicherung aus sich selbst heraus

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Stärkung der Vertriebspartner

Keeper Security erweitert Partnerprogramm

Weitere Artikel zu Cyber-Security

Security-Plattform in Deutschland

Arrow vertreibt SecureVisio-Lösung in Deutschland

World Cloud Security Day 2025

Bedeutung der Cloud-Sicherheit nicht unterschätzen

Cyberverteidigung

Threat Hunting: Proaktiv statt reaktiv

DeepSeek vs. ChatGPT

Das Duell der KI-Giganten und seine Folgen für die IT-Sicherheit

Leitfaden für die Umsetzung

GenAI im Spannungsfeld zwischen Regulierung und Innovation

Weitere Artikel zu Industrial-/OT-Security

Marktplatz für Industrielösungen

Nokia führt DAC Marketplace ein

Siemens auf der Hannover Messe

IT- und OT-Integration beschleunigen

OT-Sicherheit

Infinigate erhält erste Fortinet OT-Zertifizierung in Deutschland

7 Trends für IT-Sicherheitsdienstleister

Wenn sich die Hacker neu aufstellen, kann das der Channel auch

Digital Manufacturing Ireland

Eine Blaupause für den deutschen Mittelstand

Weitere Artikel zu Security-Hardware

PNY auf der Hannover Messe 2025

Von Digital Twins bis Hochleistungs-Computing

Dr. Joye Purser über ihre Mission

Wie Unternehmen sich jetzt rüsten müssen

Hard- und Software kombiniert

Eset und Reiner SCT schnüren MFA-Paket

Cyberangriffe auf Kommunen

Sachsen-Anhalt investiert verstärkt in Prävention

Cyan

Software mit Ethik aus Europa

Weitere Artikel zu Security-Software

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Cybersicherheitslösungen für MSPs

Sophos und Pax8 kooperieren für optimiertes Sicherheitsmanagement

Hintergrundgespräch

So will FTAPI die 65 Millionen einsetzen

Eset Partnerkonferenz DACH

2025 wird für Eset das Jahr der Security-Services

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus

Weitere Artikel zu Cyber-Security-Lösungen

Cyan Guard 360

Cybersecurity für den Mittelstand

Unterschätztes Geschäftsrisiko

Das deutsche Ransomware-Paradox

Bitdefender Labs: Gefahr durch RedCurl

Ransomware attackiert Hypervisoren

Vorsicht Vishing

Zahl der Voice-Phishing-Angriffe explodiert

Kaspersky warnt Unternehmen und Nutzer

Banking-Malware: 3,6-mal mehr Angriffe auf mobile Anwender

Weitere Artikel zu Managed Security

FireCloud Internet Access

WatchGuard bringt hybride SASE-Lösung auf den Markt

Erweiterte Sicherheitslösungen

Verizon und Accenture kooperieren für mehr Cybersicherheit

IT-MSP wächst weiter

Accompio übernimmt Netz16 Gruppe

Online-Penetrationstests

TÜV Rheinland startet neuen Onlineservice

AI-gestützte Plattform für MSPs

Nächste Generation von Avepoint Elements gelauncht

Weitere Artikel zu Security-Management

Ausbau auf weitere europäische Märkte

Infinigate erweitert Partnerschaft mit Trellix in EMEA

Gastkommentar von Cancom

Der AI-Act: Chancen nutzen, Risiken managen

Automatisierte Security-Lösung für MSPs

Elovade erweitert IT-Sicherheitsportfolio um Lywand-Lösung

BlackBerry-Report

Cyber-Angriffe auf kritische Infrastruktur nehmen zu

Neue Investoren pushen Wachstum

FTAPI erhält 65-Millionen-Euro-Investition

Weitere Artikel zu Security-Services

Revolution oder Risiko?

Wie Quantencomputer die Spielregeln verändern

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Chancen für Channel und CNAPP-Lösungen

Deutsche CISOs investieren verstärkt in Cloud-Security

Deepfake, Phishing & Co.

Wie Unternehmen sich gegen KI-generierte Angriffe schützen können

Update zum Partner Success Program

Barracuda setzt auf Managed Services für alle Partner

Weitere Artikel zu Cybersecurity/Cybersicherheit

Advertorial

Channel Trends+Visions 2025 – IT-Zukunft hautnah erleben!

Ausbau von Expertise in Frankreich

Hornetsecurity übernimmt Altospam

Ex-Mitarbeiter unter Verdacht

Riesiges Datenleck bei X

Advertorial

Digitale Resilienz für Kommunen

Mihaela Seidl löst Holger Schötz ab

Neue Personalchefin bei Rohde & Schwarz

Weitere Artikel zu IoT-Security

Meilenstein

Vodafone vernetzt das 200-millionste IoT-Gerät

ROI trifft Realisierbarkeit

Die Vorteile schlüsselfertiger IoT-Lösungen

IoT-Tracking mittels Smart Label

Neue Lösung von G+D für Paketverfolgung und Logistikoptimierung

Prognosen für die OT-Sicherheit

Zscaler: Mehr Angriffe auf kritische Infrastruktur

Advertorial

Im Compliance-Dschungel den Überblick behalten

Weitere Artikel zu Mobile Security

Mutmaßlich nordkoreanischer Hintergrund

Fake-Jobangebote für Software-Entwickler auf LinkedIn

Absolute Securitys Firmware-Integration

Cybersicherheit von innen heraus

Von der Behörde bis zum Auto

BlackBerrys Antworten auf die wachsenden Bedrohungen

NTT Data und Cisco: Einfacher zu 5G

Globale Partnerschaft und gemeinsame Innovationen

Interview mit ManageEngine

Warum Identität der neue Perimeter ist

Weitere Artikel zu Gesetzgebung/Recht

Aufbewahrungsfristen

Diese Unterlagen dürfen 2025 entsorgt werden

Jeder Siebte gibt KI den Vorzug

Online-Tool statt Rechtsanwalt?

EU setzt neue IT-Sicherheitsmaßstäbe

Cyber Resilience Act: Hersteller in der Pflicht

Nachhaltigkeit und Security

Strategien für eine nachhaltige und sichere Lieferkette

Jetzt auch Kanzler Scholz

Lieferkettengesetz: „Das kommt weg"