Startseite > Security > „Ich empfehle jedem betroffenen Unternehmen, nicht zu warten“

NIS-2 und andere EU-Vorgaben

„Ich empfehle jedem betroffenen Unternehmen, nicht zu warten“

13. März 2024, 11:00 Uhr | Interview: Diana Künstler

Fortsetzung des Artikels von Teil 1

Lieferkette, weitere Normen und Gesetze sowie der Begriff Cyberhygiene

connect professional: Es geht mit NIS-2 aber nicht nur um die Cybersicherheit des Unternehmens selbst. Wie verhält es sich denn hier mit der Lieferkette?

Mielke: Die NIS-2-Richtlinie verlangt in Artikel 21 unter anderem, dass Konzepte und Verfahren zur Risikoanalyse vorhanden sind und dass das Unternehmen in der Lage ist, die Wirksamkeit seiner Maßnahmen zum Risikomanagement und zur Verbesserung der Informationssicherheit zu bewerten. Da gibt es dann bereits eine konkrete Übersicht, was wirklich alles umzusetzen ist im Rahmen des Risikomanagements. Hier gehört auch die Lieferkette dazu. Also die ganze Kette: Welche Schnittstellen habe ich beispielsweise im Unternehmen? Welche Dienstleister habe ich dementsprechend, die zu berücksichtigen sind? Da geht es auch darum, dass ich Verträge anpasse, weil hier das Unternehmen ja möglicherweise haftbar ist und dadurch muss ich meine ganze Lieferkette kontrollieren.

Das heißt aber auch: Selbst wenn ich jetzt nicht unter NIS-2 falle, könnte ich vielleicht Teil einer Lieferkette eines Unternehmens sein. Und dementsprechend muss ich auch entsprechende Sicherheitsmaßnahmen, die mir vertraglich zugewiesen werden, umsetzen.

connect professional: Das heißt also, ein Unternehmen, das vielleicht gar nicht in dieser Sektorenauflistung aufschlägt, könnte indirekt betroffen sein? Eben weil es Lieferant ist?

Mielke: …und dann gibt es ja noch weitere Gesetze und Normen, die darüber hinaus noch berücksichtigt werden müssen. Denn auch als Lieferant habe ich gewisse Anforderungen zu erfüllen. Das gibt ja heute schon: Wenn ich ein Onboarding eines neuen Dienstleisters mache, sollten entsprechenden Nachweise, um die Informationssicherheit zu gewährleisten – Stichwort ISO 27001 –, in der gesamten Lieferkette sichergestellt sein. Weil wie gesagt: Ich als Unternehmer bin ja dafür verantwortlich, dass es keine Leaks oder Schwachstellen in meiner Lieferkette gibt. Und wenn ich einen Dienstleister und ein mögliches kompromittiertes System habe, gibt es einen entsprechenden Schaden in meinem Unternehmen, weil der Schaden durch die Lieferkette entstanden ist.

connect professional: Schätzungen sprechen davon, dass jetzt mit der NIS-2-Richtlinie 30.000 bis 40.000 Unternehmen betroffen sein könnten. Bisher sind es etwa 4.600 bis 6.000 mit NIS-1. Ist die Dunkelziffer vielleicht sogar noch viel höher vor dem Hintergrund?

Mielke: Ich würde die Schätzungen schon richtig so sehen. Und wie wir ja gerade auch über das Thema Lieferkette gesprochen haben, man muss man die Dunkelziffer mit einbeziehen, weil wir den gesamten Prozess betrachten müssen. Wir müssen wirklich alle Ein- und Ausgänge sowie Schnittstellen, die wiederum mein Unternehmen betreffen, im Datenfluss berücksichtigen. Dazu gehören nun einmal die Lieferanten, die Dienstleister, die uns unterstützen und die gegebenenfalls einen Zugang in unser Unternehmen haben. Es gibt verschiedene Arten und Weisen, wo Lieferanten mit einbezogen werden müssen.

Und nicht zu vergessen: Wir haben diesen Rahmen der NIS-2 plus noch weitere Gesetze und Richtlinien, die auch noch mal berücksichtigt werden müssen.

connect professional: Das klingt sehr komplex in der Umsetzung für Unternehmen.

Mielke: Das ist natürlich auch kein neues Buch, keine neue Technik. Das sind alles Maßnahmen und Vertragsanpassungen, die hätten alle vorher schon – natürlich mit einem anderen Rahmenwerk – berücksichtigt werden müssen. Nichtsdestotrotz hätten diese Maßnahmen – wie Cybersicherheitsmaßnahmen, Informationssicherheit, Schutzmaßnahmen – in Richtung Dienstleister und Lieferkette schon längst umgesetzt werden sollen. Denn mittlerweile gibt es täglich Meldungen über erfolgreiche Angriffe, die einen Dienstleister betreffen. Wo ganze Systeme abgeschaltet werden müssen, wo ganze Kommunen, wo ganze Krankenhäuser etc. nicht mehr am Netz sind. Dabei geht es ja nicht nur um Angriffsversuche, die sind sowieso en masse täglich zu finden; es geht um erfolgreiche Angriffe, die sich vermehren und wo der Schaden für Unternehmen immens hoch ist. Und darüber hinaus sind vielleicht Mitarbeiter betroffen, es sind Kunden betroffen, es sind weitere Firmen betroffen, wenn wir wiederum die Lieferkette betrachten. Also das Ganze darf man nicht mehr in den eigenen Grenzen denken. Man muss da schon einen weitreichenden Blick haben.

connect professional: Vor dem Hintergrund ist es ja im Grunde nur positiv zu sehen, dass die EU die NIS-2-Richtlinie verabschiedet hat.

Mielke: Definitiv. Denn was ja wirklich das Positive ist, auch in der EU: Hier hat man das Ganze erkannt. Wir hatten ja mit NIS-1 ja schon zumindest gewisse Vorgaben, auch was kritische Sektoren angeht. Aber nun hat man relativ schnell erkannt, dass die Bedrohungslage steigt und sich die Angriffe vermehren.

Und wir reden jetzt gerade nur über Deutschland. Wir müssen europaweit denken oder gar weltweit. Und auch mit der NIS-2-Richtlinie wird ja nach drei Jahren das Ganze auch noch mal überprüft werden, denn es gibt hier Mechanismus, der hinterfragt: Sind wir denn noch State-of-the-Art, was die Richtlinie angeht? Um letztlich das Ganze dann gegebenenfalls auch wieder neu aufzusetzen und um neue Maßnahmen in die Richtlinie oder in eine neue Richtlinie zu integrieren.

connect professional: Das heißt also auch, Teil der NIS-2 ist, dass sie selbst auch noch einmal auf den Prüfstand gestellt wird? Denn auch Cyberabwehr kann nicht als statisches Gebilde betrachtet werden?

Mielke: Im Endeffekt ja. Die EU macht inzwischen einen eigenen Plan-Do-Check-Act – nichts anderes ist das. Und natürlich dauert das länger. Schließlich kommen dann weitere Richtlinien und Verordnungen hinzu, die auch wieder eine Beziehung zu NIS-2 haben. Die müssen berücksichtigt werden und sind, was nicht ganz unproblematisch ist, vielleicht nicht immer ganz harmonisiert. Aber ich sage mal so: Wir befinden uns im Lernprozess. Und hier ist die Harmonisierung wirklich wichtig, damit wir am Ende keinen Flickenteppich in der EU bekommen, was gerade diese Regulierung angeht.

connect professional: Weitere Normen oder Gesetze wären zum Beispiel welche? Mir fällt da die ISO27001 ein…

Mielke: Die ISO/IEC 27001³ ist eine Norm und kein Gesetz. Eine Norm, die vielleicht angewendet werden kann für die Umsetzung der NIS-2-Richtlinie. Aber in Hinblick auf Gesetze sind zum Beispiel der Cyber Resilience Act⁴ (CRA) zu nennen, da geht es unter anderem um Produktsicherheit. Der hat wiederum Einfluss auf die Essential Entities (Anm.d.Red.: wesentliche Einrichtungen in der NIS-2), weil diese wiederum dann zum Beispiel auch Produkte einsetzen müssen, die zertifiziert sind. Dann haben wir DORA⁵, was eine Ausnahme für das Banken- und Versicherungswesen darstellt. Die CER⁶-Richtlinie (Anm.d.Red: Critical Entities Resilience Directive) hat wiederum Auswirkungen auf das KRITIS-Dachgesetz⁷. Wobei man hier unterscheiden muss: Das KRITIS-Dachgesetz ist jetzt nicht mehr das gleiche wie die Unternehmen die aktuell KRITIS sind – das ist schon ein Unterschied.

Also es ist eine riesige Palette an Zertifikaten beziehungsweise Gesetzen und Richtlinien, die hier Berücksichtigung finden müssen – auch der Digital Services Act⁸, die Maschinenrichtlinie⁹, die Radio Equipment Directive¹⁰ (RED), um noch ein paar weitere zu nennen.

connect professional: Da kommt einiges zusammen.

Mielke: …und die Kunden sagen berechtigterweise: Wir wollen alles aus einer Hand. Nicht zuletzt entstehen ja auch Kosten. Aber vielleicht wird jetzt durch diese ganzen Richtlinien den Unternehmen noch einmal klarer vor Augen geführt, dass sie ihr Budget für Informationssicherheit und für Cybersicherheit und auch für Datenschutz entsprechend einsetzen und auch planen müssen. Wenn etwas passiert ist, dann ist es zu spät und dann können sie gegebenenfalls haftbar gemacht werden. Wir haben also die Geldbuße plus den Reputationsschaden oder sonstigen Schaden, der dann natürlich auch auf das Unternehmen zurückfällt.

connect professional: Sie hatten ja bereits gesagt, dass die Richtlinie schon einen guten Maßnahmenkatalog vorgibt, an dem man sich orientieren kann. Nichtsdestotrotz sind einige Punkte sehr schwammig gehalten: Stichwort Cyberhygiene.

Mielke: Ich finde den Begriff Cyberhygiene smart, weil es das tägliche Doing ist. Wir haben auch eine tägliche Hygiene, jeder putzt sich morgens die Zähne, geht duschen usw. – und so muss das Ganze auch aus Sicherheitssicht betrachtet werden. Habe ich hier eine gewisse Awareness? Darf ich jetzt mein Passwort hier dranhängen? Sollte ich diese Tür offen lassen? Das sind die Klassiker. Wir reden hier von den einfachen Dingen des Lebens, für die jeder – nicht nur diejenigen im Sicherheitsbereich – sensibilisiert werden sollte. Hier müssen wir jeden abholen. Und da ist dieser Begriff Cyberhygiene wirklich sehr gut gefasst. Aber es muss wirklich jeder abgeholt werden, damit hier die Awareness dementsprechend greifen kann.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Warum der Begriff aus seiner Sicht ein smarter ist, erläutert der technische Gutachter und Auditor im Interview mit connect professional.

connect professional: Sie würden also sagen, die Richtlinie lässt nicht so viele Fragen offen?

Mielke: Sie lässt keine Fragen offen. Wir hatten es ja eben auch schon mit der ISO 27001 angesprochen. Da kann man sein ganzes Informationssicherheitsmanagementsystem daran orientieren, auch wenn man sich nicht zertifizieren lässt. Gerade die 27001 gibt einen guten Leitfaden vor, wie ich bestimmte Punkte mit umsetzen kann. Oder eben auch der BSI IT-Grundschutz. Es ist ja alles da; nichts muss neu erfunden werden.