Startseite > Security > NIS-2 als Chance begreifen

Webinar-Themenreihe NIS-2

NIS-2 als Chance begreifen

15. Februar 2024, 13:30 Uhr | Diana Künstler

Die Umsetzung der EU-Richtlinie NIS-2 stellt Unternehmen vor Herausforderungen. Entsprechend groß ist der Informationsbedarf zum Thema: Knapp 200 Teilnehmer hatten sich daher zum connect professional NIS-2-Webinartag Ende Januar angemeldet. Sechs Sprecher lieferten Einblicke in das komplexe Thema.

„Bereit für NIS-2? Was die neue Richtlinie bedeutet“ lautete der Titel der Veranstaltung, die connect professional am 30. Januar als virtuelle Webinar-Reihe¹ aufgesetzt hat. Neben den Sponsoren und Vertretern von Sophos, Trend Micro, DriveLock und TXOne Networks trugen Sprecher von TÜVIT und TCI Rechtsanwälte dazu bei, das Thema in der Vielzahl seiner Facetten über den Tag hinweg – von 9 bis 15 Uhr – zu beleuchten und greifbar zu machen. Kein leichtes Unterfangen: Liefert doch die 73 Seiten umspannende Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates zahlreiche Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU. Der mittlerweile dritte Referentenentwurf vom September 2023 zur Umsetzung der NIS-2-Richtlinie² in deutsches Recht – immer noch 58 Seiten lang – greift zudem viele wirtschaftsbezogene Regelungen auf. Es mangelte also nicht an Gesprächsstoff am 30. Januar. Oder wie Stephan Schmidt, Fachanwalt für IT-Recht und Gründungspartner von TCI Rechtsanwälte, im Nachklapp resümierte: „Es hat Spaß gemacht, auch wenn wir wohl noch viel mehr Stunden mit dem Thema hätten füllen können.“

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Eine Art Leitfaden für Unternehmen

Den Auftakt der Vortragsreihe machte Tobias Mielke, Fachexperte für Managementsysteme sowie technischer Gutachter und Auditor bei der TÜV Informationstechnik (TÜV Nord Group), indem er souverän und komprimiert zum Thema hinführte und sogleich die Gesprächsgrundlage für die anschließende Paneldiskussion lieferte. In dieser waren alle Referenten des Tages vertreten und sprachen bereits einige Spotlight-mäßig Punkte an, wie Lieferkettenthematik, ISO 27001, Angrenzung zur DSGVO, Risikomanagement, OT-Sicherheit. Aspekte, die über den Tag hinweg noch vertiefender behandelt werden sollten. Alle Sprecher waren sich darin einig, dass die NIS-2-Richtlinie beziehungsweise deren Umsetzung in deutsches Recht dabei nicht als reine Pflichtvorgabe betrachtet werden sollte; vielmehr sei die Richtlinie eine Chance, Cybersicherheit die Bedeutung zukommen zu lassen, die es für einen reibungslosen Geschäftsablauf in Unternehmen brauche. „Ich finde es verheerend, dass man sich auf den Punkt stellt ‚NIS-2 geht an mir vorbei‘. Es sollte jedem eine intrinsische Motivation sein, seine zu schützenden Daten auch entsprechend abzusichern. […] Der Gesetzgeber gibt letztlich mit NIS-2 eine Hilfestellung an die Hand. Damit weiß man, an welchen Stellen man handeln und wo man sich im Vorfeld Überlegungen machen muss“, brachte es Martin Weiß, Senior Sales Engineer Public bei Sophos Deutschland, auf den Punkt.

Richard Werner, Business Consultant bei Trend Micro, beleuchtete in seinem anschließenden Vortrag NIS-2 aus Sicht von CEO und Cybersicherheitsverantwortlichen. Auf die Frage, ob mit der Richtlinie nun endlich Cybersicht zur Chefsache erklärt werde, antwortete er: „Cybersicherheit war schon immer ein Thema der Geschäftsführung, doch man hat es vielleicht nicht so wahrgenommen. Das lag daran, dass es erst dann eines für die Geschäftsführung war, wenn etwas passiert ist.“ Das sei nun mit NIS-2 ganz klar geregelt. Die Geschäftsführung sei hier schon vorab bei der Diskussionsgrundlage mit dabei und beteiligt. „Sie muss ja mindestens schon einmal die Budgets für Cybersicherheit freigeben und steuern“, so Werner.

Video-Aufzeichnungen einzelner Vorträge
Aufzeichnungen der Sponsorenvorträge von Sophos, Trend Micro, DriveLock und TXOne Networks können Interessierte kostenfrei gegen Registrierung hier einsehen.

Wertvolle Tipps

Den juristischen Standpunkt brachte Stephan Schmidt, Fachanwalt für IT-Recht und Gründungspartner von TCI Rechtsanwälte, näher. Er fokussierte auf die deutsche Umsetzung der NIS-2-Richtlinie (konkret „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, kurz NIS2UmsuCG). Demnach seien Richtlinien im Gegensatz zu Verordnungen (man denke an die Datenschutz-Grundverordnung, kurz DSGVO) nicht unmittelbar in den Mitgliedstaaten gültig. Während Verordnungen nämlich unmittelbar nach Inkrafttreten in den Mitgliedstaaten gelten, müssen Richtlinien zunächst von den einzelnen Mitgliedstaaten in nationales Recht umgesetzt werden. So auch der Fall in Deutschland mit NIS-2, wo derzeit der dritte Referentenentwurf gilt. Der vierte Entwurf soll alsbald folgen (vielleicht sogar noch, während diese Ausgabe gedruckt wird) und das finale NIS2UmsuCG liefern. An diesem Punkt bleibt es spannend, denn viel Zeit bleibt nicht mehr: Die Vorgängerregelung NIS-1 wird bis zum 18.10.2024 durch die NIS-2-Richtlinie aufgehoben. Auf diese müssten sich im Übrigen auch die Unternehmen stützen, sollte es wider Erwarten nicht zur rechtzeitigen Verabschiedung eines NIS2UmsuCG kommen. Konkrete Hilfestellung lieferte Stephan Schmidt im Übrigen auch gleich mit – in Form der „NIS2-Check.de“-URL. Unter dem kostenlosen Quick-Check der Berliner Kanzlei Reuschlaw können Interessierte die NIS-2-Betroffenheit ihres Unternehmens überprüfen. Sehr hilfreich; schließlich werden in Deutschland zukünftig circa 30.000 bis 40.000 Unternehmen von der NIS2-Richtlinie erfasst. Und 80 Prozent der betroffenen Unternehmen wissen noch nicht einmal, dass es sie betrifft.

Martin Mangold von DriveLock hob an dieser Stelle während seines Vortrags auch noch einmal besonders hervor, dass vielen Unternehmen auch deshalb nicht klar, dass sie betroffen sind, weil es sie eventuell „nur“ indirekt tangiert. So heißt es entsprechend §28, dass die unter NIS-2 verpflichteten Unternehmen die „Sicherheit der Lieferkette“ gewährleisten müssen. Verpflichtete Unternehmen werden ihre Cybersicherheitsverpflichtungen demnach regelmäßig an Dienstleister und Zulieferer weitergeben müssen. Der Vice President Cloud Operations bei DriveLock lieferte an dieser Stelle aber auch gleich konkrete Tipps mit, wie IT-Abteilungen dem begegnen könnten – und zwar konkret angelehnt an die Security Controls in ISO 27001 Anhang A. Darin seien konkrete Maßnahmen aufgeführt, die dabei helfen, die sicherheitsrelevanten Vorgaben zu erfüllen. Und mit Endpoint-Protection-Lösungen würden sich diese Security Controls entsprechend mappen lassen. „Security Controls sind ein elementarer Baustein, der Unternehmen hilft, die NIS-2-Regularien letztlich zu erfüllen und umzusetzen. […] Da ist Endpoint Protection ein elementarer Baustein, der auch – je nachdem mit welchen Security Controls man startet – sich schnell umsetzen lässt“, resümierte Mangold. Mit am raschesten umsetzen ließen sich im Übrigen die Bereiche Verschlüsselung und Device Control. „Wir hören auch immer wieder von Unternehmen, die sagen: ‚Wir wissen, was wir tun müssen und haben Budget, aber nicht die Manpower.‘“ Das sei laut Mangold – und auch den anderen Hersteller-Referenten zufolge – im Grunde kein Argument. Schließlich gibt es mittlerweile viele (Endpoint Protection)-Lösungen mittlerweile auch als Full Managed Services.

Den Abschlussvortrag des Tages hielt schließlich Mirco Kloss, Business Development Director DACH bei TXOne Networks. Er ging auf ein Thema ein, das bei der Cybersicherheit oft stiefmütterlich behandelt wird: das der OT-Sicherheit. Sie umfasst zum Beispiel die Produktionsumgebung und Fabrikationsstraßen. Es geht um den Schutz der Anlagen, Roboter und Maschinen (Stichwort Asset-centric versus User-centric in der IT), also um das Herz des sogenannten produzierenden Gewerbes. Hier werden mittlerweile viele alte Geräte an das Internet angeschlossen, die bisher nicht dazu ausgelegt waren oder gar neue Geräte, die ohne vorinstallierten Schutz ausgeliefert werden und somit anfällig für Cyber-Attacken sind. Das ist Cyber-Kriminellen bekannt, weswegen der OT-Schutz, besonders wegen der NIS-2, viel stärker in den Fokus rücken müsse, so Kloss.

To be continued

Der Webinar-Thementag lieferte schlussendlich viele Anknüpfungspunkte für Unternehmen, sich dem Thema anzunähern: von einer Betroffenheitsanalyse über den umfangreichen Anforderungskatalog bis hin zu konkreten Umsetzungsansätzen. Was nach einem ganzen Tag NIS-2-Richtlinie bleibt, ist (hoffentlich) die Erkenntnis, dass Cybersicherheit von vornherein auf die Agenda jeder Unternehmensstrategie gehört und nicht erst beim Eintreten eines Notfalls eine Rolle spielen sollte.

Aufgrund der hohen Nachfrage wird connect professional eine Fortsetzung der Webinar-Reihe am 14. März veranstalten (dazu auch mehr im Infokasten unten).

Das Team der connect professional bedankt sich an dieser Stelle bei allen Referenten und Teilnehmer:innen des Tages für den regen Austausch zur NIS-2-Richtlinie.

^{1 https://www.connect-professional.de/security/webinar-reihe-am-30-januar-bereit-fuer-nis-2.328377.html

2 https://digital-strategy.ec.europa.eu/de/policies/nis2-directive}

Save the Date: Webinar-Reihe NIS- wird am 14. März fortgesetzt
Bis zum 17. Oktober müssen alle EU-Staaten die NIS-2-Richtlinie in nationales Recht umgesetzt haben. Kein einfaches Unterfangen, denn die neuen Cybersecurity-Regelungen stellen umfangreiche Anforderungen an alle Beteiligten. Da der Informationsbedarf zum Thema groß ist, wird es am 14. März eine Fortsetzung der Webinar-Reihe geben. Sie klärt unter anderem darüber auf, welche Unternehmen von der NIS-2-Richtlinie betroffen sind und wie zeitnah Lösungsansätze gefunden werden können. Diesen und weiteren Aspekten geht connect professional gemeinsam mit Vertretern von Delinea, Enginsight, DriveLock, TeleTrust und PwC Deutschland auf den Grund – weitere Sprecher folgen. Was? Kostenloser Webinar-Thementag zur NIS-2-Richtlinie Wann? Am Donnerstag, den 14. März Januar, von 9 bis 15 Uhr Wo? Virtuell am Endgerät Ihrer Wahl Wie? Vorläufiges Programm und kostenfreie Anmeldung demnächst hier.

Save the Date: Webinar-Reihe NIS- wird am 14. März fortgesetzt

Bis zum 17. Oktober müssen alle EU-Staaten die NIS-2-Richtlinie in nationales Recht umgesetzt haben. Kein einfaches Unterfangen, denn die neuen Cybersecurity-Regelungen stellen umfangreiche Anforderungen an alle Beteiligten. Da der Informationsbedarf zum Thema groß ist, wird es am 14. März eine Fortsetzung der Webinar-Reihe geben. Sie klärt unter anderem darüber auf, welche Unternehmen von der NIS-2-Richtlinie betroffen sind und wie zeitnah Lösungsansätze gefunden werden können. Diesen und weiteren Aspekten geht connect professional gemeinsam mit Vertretern von Delinea, Enginsight, DriveLock, TeleTrust und PwC Deutschland auf den Grund – weitere Sprecher folgen.

Was? Kostenloser Webinar-Thementag zur NIS-2-Richtlinie
Wann? Am Donnerstag, den 14. März Januar, von 9 bis 15 Uhr
Wo? Virtuell am Endgerät Ihrer Wahl
Wie? Vorläufiges Programm und kostenfreie Anmeldung demnächst hier.