Das Cyber-Schreckgespenst NIS

18 de December de 2024Cybersecurity

Das Cyber-Schreckgespenst NIS. Wir machen das Licht an…

Was soll der Lärm um NIS2?

Aktuell klopfen Woche für Woche viele Firmen an die Tür von edataconsulting, um zu fragen, ob wir Dienstleistungen im Zusammenhang mit NIS2 anbieten. Sie wollen wissen, ob sie von dieser Verordnung betroffen sind oder “wie es mit dem Thema Sanktionen weitergeht”. Einige dieser Unternehmen geben an, dass sie von großen Beratungsfirmen angerufen wurden, deren einziges Ziel darin zu bestehen scheint, Angst zu schüren, indem sie die Unsicherheit und die weit verbreitete Unwissenheit zu diesem Thema ausnutzen. Sie bestehen in der Regel darauf, dass “das Vernünftigste ist, so schnell wie möglich zur Sache zu kommen” und natürlich mit ihnen als idealem Partner die Situation bestmöglich zu bewältigen.

Orientierungslos bittet der Kunde oft um Zeit, um mehr Informationen für eine bessere Entscheidung zu sammeln. Er will natürlich vermeiden, dass gar ein derartiger Anruf Teil eines IT-Angriffs ist und man wegen des vermeintlichen Zeitdrucks als Betrugsopfer Kriminellen auf den Leim geht.

 

Aber zunächst einmal… Was ist NIS2 eigentlich?

NIS2 (Network and Information Systems Directive 2) ist eine europäische Verordnung, die darauf abzielt, die Cybersicherheit in den Mitgliedsländern der Europäischen Union zu stärken. Sie wurde 2022 als Aktualisierung der NIS1-Richtlinie mit Anwendung in den USA verabschiedet und zielt darauf ab, ein hohes und einheitliches Sicherheitsniveau in Netzen und Informationssystemen zu schaffen. Dies gilt für Firmen und Institutionen, die für Wirtschaft und Gesellschaft und deren Infrastruktur von wesentlicher Bedeutung sind.

Viele Unternehmen glauben fälschlicherweise, dass eine vorhandene 27001-Zertifizierung ausreicht und gleichzeitig alle NIS2-Vorgaben komplett abdeckt. Lassen Sie mich Ihnen jedoch sagen, dass es bemerkenswerte Unterschiede zwischen den beiden Verordnungen gibt! NIS2 vergrößert die Sektoren, die als kritisch gelten. Darunter fallen nun auch Bereiche wie Energie, Verkehr, Gesundheitswesen und digitale Infrastruktur. Darüber hinaus werden Unternehmen in zwei Kategorien eingeteilt: wesentlich und wichtig, und ihnen spezifische Verpflichtungen in den Bereichen Risikomanagement, Meldung von Vorfällen und Schutz der Lieferkette zugewiesen.

Ein weiterer Unterschied besteht darin, dass NIS2 strengere Sanktionen als andere Verordnungen vorsieht. Geldbußen reichen bis zu 2% des Jahresumsatzes, wenn wesentliche Unternehmen ihren Verpflichtungen nicht nachkommen.

Darüber hinaus ist die NIS2-Konformität nicht auf große Organisationen beschränkt, sondern betrifft auch KMUs, die in kritischen Sektoren tätig sind oder aber Zulieferer von Unternehmen sind, die zur Einhaltung der Vorschriften verpflichtet sind! Ziel ist es, ein einheitliches Niveau an Cybersicherheit in der gesamten Lieferkette zu gewährleisten und Sicherheitsverletzungen zu verhindern, die durch Cyberangriffe ausgenutzt werden können. Das muss zwangsläufig alle involvierten Unternehmen des Gesamtprozesses abdecken.

 

Tick Tack…

Am 17. Oktober ist die Frist für alle EU-Länder abgelaufen, NIS2 in ihren jeweiligen Rechtsrahmen umzusetzen. Bis zur gesetzten Frist hat nur (!) Belgien die Umsetzung erfolgreich abgeschlossen. Deutschland und 23 weitere Länder haben jedoch die gesetzten Fristen nicht eingehalten, was die EU dazu veranlasst hat, Disziplinarmaßnahmen zu ergreifen. Sollte die Umsetzung nicht schnell erfolgen, können Sanktionen fällig werden.

So eine Situation dürfte es eigentlich nicht geben. Vor allem, da Deutschland im Jahr 2024 an der Spitze der am stärksten von Cyberangriffen betroffenen Länder steht. Die Regierung sollte so schnell wie möglich handeln. Angesichts der damit verbundenen Kosten ist es ratsam, das Tempo deutlich zu erhöhen und sich nicht in Bürokratie oder weiteren Abstimmungsrunden zu verlieren.

 

Unser Standpunkt

Wir bei edataconsulting sind nicht der Meinung, dass Unternehmen sich beeilen sollten, um Sanktionen zu vermeiden, indem sie regulatorische Maßnahmen ergreifen und sich schnellstmöglich zertifizieren lassen. Unsere Vision ist eher: je sicherer Unternehmen sind (nicht nur diejenigen, die als kritisch gelten), desto weniger Spielraum lassen sie Cyberkriminellen. Dies wird durch weitgehend geregelte Maßnahmen der Standards wie NIS2, ENS oder ISO 27001 erreicht.

Vergessen wir für einen Moment den „Zertifizierungsstempel“, der uns als sicheres Unternehmen bestätigt und uns den Weg zur Teilnahme an eventuellen Ausschreibungen ebnet. Was wirklich zählt, ist die Sicherheit und der dazugehörige Prozess: Wie hat sich mein Unternehmen in Sachen Cybersicherheit verbessert, seit ich mit Maßnahmen angefangen habe?

Abgesehen davon fallen mir ein paar rhetorische Fragen für Sie als Unternehmer ein, die Sie beschäftigen sollten, wenn Sie Ihren Betrieb am Laufen halten wollen:

  • Wie sehr schätzen Sie die Daten Ihres Unternehmens?
  • Schützen Sie sie genauso viel, wie Sie sie wertschätzen?
  • Halten Sie Cybersicherheitsinvestitionen immer noch für unnötige Ausgaben?
  • …und wenn das Schreckgespenst (auch bekannt als schädlicher Cyberangriff) kommt, wäre es dann nicht besser, vorbereitet zu sein? Wir machen das Licht rechtzeitig vorher an – und die Angst ist weg.

 

Ist es nicht an der Zeit, CYBERSICHERHEIT in Deutschland ernst zu nehmen?

Frohe und sichere Feiertage für alle!

Wenn Sie nach der Lektüre des Artikels weitere Fragen zu NIS2 haben oder wissen möchten, wie Sie die Sicherheit in Ihrem Unternehmen verbessern können, buchen Sie ein unverbindliches Gespräch mit uns!

 

 

Verfasst von David Delgado, Head of IT-SECURITY bei edataconsulting

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.