Startseite > Security > NIS2-Umsetzung verzögert: Kein Grund, sich zurückzulehnen

Interview mit Cohesity

NIS2-Umsetzung verzögert: Kein Grund, sich zurückzulehnen

8. Oktober 2024, 7:30 Uhr | Interview: Diana Künstler

Die NIS2-Richtlinie wird hierzulande verspätet umgesetzt, doch Unternehmen sollten nicht abwarten. Gerade die Cybersicherheit der Lieferkette birgt Gefahren. Was Firmen jetzt tun müssen, um vorbereitet zu sein, erläutert James Blake von Cohesity im Interview.

connect professional: Das NIS2UmsuCG wird aller Wahrscheinlichkeit nach nicht zur von der EU geforderten Deadline am 17.10.24 in Kraft treten. Zudem gibt es auch noch keine Webseite des BSI, wo man sich registrieren könnte (Stand 20.9.). Heißt das, von der Richtlinie betroffene Unternehmen können sich erst einmal entspannt zurücklehnen?

James Blake: Eigentlich sollte die NIS-2 bis Mitte Oktober europaweit in nationales Recht umgesetzt sein, doch das wird voraussichtlich in mehreren Ländern nicht gelingen. Auch Deutschland ist in zeitlichem Verzug. Das erschwert es Unternehmen, sich vorzubereiten. Denn die nationalen Regelungen können in Teilen über die Vorgaben der EU-Richtlinie hinausgehen. So ist zum Beispiel bereits die Vorgängerrichtlinie NIS-1 in Deutschland strenger ausgelegt worden als in anderen Ländern. Daher sollten sich Unternehmen nicht zurücklehnen, sondern die grundlegenden Vorbereitungen weiterführen. Schließlich liegt eine hohe Netzwerk- und Informationssicherheit auch in ihrem eigenen Interesse.

connect professional: Ein entscheidender Aspekt von NIS2 ist die Lieferkette. Welche Art von Lieferanten gilt es dabei zu berücksichtigen?

Blake: Es sind alle Lieferanten zu berücksichtigen, die in den Bereich Netzwerk- und Informationssicherheit fallen. Diese könnten anfällig gegenüber Supply-Chain-Angriffen sein, die nicht direkt auf ein Unternehmen, sondern indirekt über dessen Lieferkette erfolgen. Um Malware einzuschleusen, nutzen Angreifer die oft geringeren Security-Standards von Zulieferern oder Schwachstellen in gemeinsam eingesetzten IT-Systemen aus. Unternehmen sind nur unzureichend darauf vorbereitet. Eine aktuelle Analyse der Bundesvereinigung Logistik¹ zeigt, dass nicht einmal jedes zweite Mitgliedsunternehmen Cybersicherheit für die gesamte Supply Chain betrachtet.

connect professional: Was bedeutet die Einbeziehung der Supply Chain in der Konsequenz für die betroffenen Unternehmen?

Blake: Zum Beispiel wird Cybersicherheit in Beschaffungsprozessen zu einem wichtigen Kriterium und kann darüber entscheiden, welche Lieferanten neue Aufträge erhalten. Vollständige Transparenz ist dafür eine wichtige Voraussetzung. Denn Unternehmen benötigen einen vollständigen Überblick, was in ihren digitalen Prozessen und Schnittstellen mit Kunden, Partnern und Lieferanten geschieht. Eine Art Security-Prämie könnte als kaufmännischer Hebel wirken, um die Cybersicherheit zu verbessern. Zudem sollten Kunden neben den technischen Vorkehrungen auch die Kommunikationskultur des Dienstleisters betrachten. Denn nur wer im Krisenfall schnell und transparent informiert, unterstützt die effiziente Eindämmung und Behebung eines laufenden Angriffs.

connect professional: Welche Strafen beziehungsweise Bußgelder können bei Nichteinhaltung drohen und inwiefern haftet auch der Geschäftsführer?

Blake: Die Details zur nationalen Umsetzung sind zwar noch offen, doch Verstöße gegen die NIS-2 können für Unternehmen in kritischen Sektoren mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Zudem kann die Unternehmensleitung persönlich für Verstöße haften. Vorstände und Geschäftsführer müssen sich daher regelmäßig zur IT-Sicherheit schulen lassen. Inwieweit sich Manager gegen Haftungsansprüche versichern können, ist offen. Die Versicherer werden den finalen Stand der nationalen Gesetzgebung abwarten, bevor sie Produkte anbieten. Schon herkömmliche Cyberversicherungen sind oft schwer zu bekommen, teuer und mit einem hohen Selbstbehalt versehen.

connect professional: Erwarten Sie zu Beginn hohe Strafen, um eindringliche Warnzeichen zu setzen?

Blake: Bislang waren Regulatoren üblicherweise recht pragmatisch. Aufgrund der vielen Unsicherheiten in der Übergangsphase würden wir erwarten, dass die Strafen zu Beginn eher gering bleiben oder zur Bewährung ausgesetzt werden. Vielleicht gibt es sogar ein Moratorium, weil die Behörden selbst erst die genaue Umsetzung von NIS-2 klären müssen. Allerdings sollten sich Unternehmen nicht darauf verlassen. Zudem müssen sich international tätige Firmen mit den unterschiedlichen nationalen Gesetzen beschäftigen. Hier kann man sich entweder für die strengste Vorgabe entscheiden oder sich an den Durchschnitt halten. Dabei müssen Unternehmen den Aufsichtsbehörden gegenüber dokumentieren und begründen können, warum sie sich für welche Auslegung entschieden haben.

connect professional: Inwiefern profitieren Unternehmen, die bereits ISO 27001-zertifiziert sind, auch in Hinblick auf NIS2 davon?

Blake: ISO/IEC 27001 spezifiziert die Anforderungen zur Einrichtung, Umsetzung und kontinuierlichen Verbesserung eines dokumentierten Managementsystems für die Informationssicherheit. Darüber hinaus gibt die Norm Richtlinien zur Beurteilung und Behandlung entsprechender Risiken. Wer damit zertifiziert ist, hat sicher schon einen großen Schritt zur Compliance mit NIS-2 gemacht. Doch ISO 27001 konzentriert sich auf die internen Prozesse. Die NIS-2 dagegen berücksichtigt auch externe Faktoren wie Lieferanten sowie die Resilienz- und Reaktionskapazitäten gegenüber Angriffen. Im Notfall fahren möglicherweise Rechner nicht mehr hoch, Messenger-Systeme bleiben stumm, die elektronische Zugangskarte öffnet keine Türen mehr. Solche Szenarien und das mögliche Chaos, das sie verursachen, müssen Unternehmen in der Vorbereitung auf NIS-2 durchspielen.

connect professional: Abschließend: Welchen Ratschlag würden Sie betroffenen Unternehmen geben, die die NIS2-Anforderungen zum Stichtag 17.10. noch nicht komplett umgesetzt haben?

Blake: Wie bei Richtlinien üblich, werden die notwendigen Maßnahmen recht vage beschrieben. Sie sollen nach dem aktuellen Stand der Technik interne Systeme und externe Schnittstellen umfassend vor Angriffen und Datendiebstahl sichern. Hinzu kommen Lösungen für Risikomanagement und Wiederherstellung. Diese Sicherheitsvorkehrungen müssen Unternehmen aller Größen und Branchen ohnehin heute nutzen, um sich vor den permanenten und immer ausgefeilteren Cyberangriffen zu schützen. Daher liegt es in ihrem eigenen Interesse, die von der NIS-2 geforderten Maßnahmen spätestens jetzt umzusetzen – unabhängig davon, an welchem Tag das nationale Gesetz offiziell in Kraft tritt.

^{1 https://www.bvl.de/presse/meldungen/meldungen-2023/cyber_security}