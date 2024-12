Unternehmen die etablierte Standards wie ISO 27001, BSI-Grundschutz oder NIST bereits erfüllen, haben einen überschaubaren Weg zur NIS2-Compliance vor sich. Thomas Sandner, Senior Regional Technical Sales Director Germany, Veeam erklärt im Interview welche Auswirkungen NIS2 hat.



Betrifft die NIS2-Richtlinie, und der deutsche Referentenentwurf dazu, auch den Bereich Backup und Recovery? Falls ja: Wie?

Ja, die NIS2-Richtlinie umfasst auch den Bereich Backup und Recovery, da sie darauf abzielt, alle relevanten Bereiche der Cybersicherheit abzudecken (siehe Art. 21: Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement). Ein wesentlicher Fokus liegt auf der Prozessebene. Unternehmen müssen künftig ein umfangreiches Risikomanagement betreiben. Das bedeutet, dass sie ihre Daten genau kennen und bestimmen müssen, welche im Notfall essenziell sind, um den Betrieb schnell wiederherzustellen. Die Geschäftskontinuität, also die Aufrechterhaltung der Handlungsfähigkeit, ist ein zentraler Punkt von NIS2. Dies umfasst Backup und Wiederherstellung im Notfall sowie Krisenmanagement, sodass jeder im Ernstfall weiß, welche Maßnahmen zu ergreifen sind. Insgesamt werden alle für Backups relevanten Themen adressiert. Zusätzlich wird auf den Stand der Technik verwiesen, also gängige Standards und Normen. Konkrete technische Vorgaben gibt es im Kontext von NIS2 jedoch nicht.

Thomas Sandner,

Senior Regional Technical Sales Director Germany, Veeam



Halten Sie die NIS2-Richtlinie aus Sicht eines Backup-Herstellers für gelungen, oder fehlen Ihnen Aspekte oder sind manche noch zu schwammig formuliert?

Die in der Richtlinie behandelten Bereiche sind definitiv sinnvoll und wichtig. Als Hersteller wünscht man sich jedoch oft konkretere Vorgaben. Eine klare Checkliste für betroffene Unternehmen würde die Einhaltung der Richtlinie erleichtern. Auf der Prozessebene helfen die Anforderungen jedoch, Sicherheitsmechanismen in Bereichen zu etablieren, die sich nicht direkt durch Backups schützen lassen, wie etwa Black Boxes oder Embedded Systems. Das Hauptziel des Gesetzgebers ist es, Standards für Risikobewertungen, Dokumentation und den Umgang mit Notfällen zu etablieren, und dies wird durch die Richtlinie gewährleistet.



Wie sollten Unternehmen nun reagieren, um die Hürde namens NIS2 auch durch Backups nicht zu reißen und entsprechend ihre Security-Strategie bearbeiten?

Unternehmen sollten bereits jetzt die Einhaltung etablierter Standards oder Normen, wie ISO 27001, BSI-Grundschutz oder NIST, garantieren. Wer diese internationalen Standards bereits erfüllt, hat einen überschaubaren Weg zur NIS2-Compliance vor sich. NIS2 erfindet das Rad nicht neu, sondern passt die gesetzlichen Anforderungen an KRITIS und ähnliche Bereiche den aktuellen Gegebenheiten und Bedrohungslagen an. Die Richtlinie soll insbesondere in den höheren Geschäftsebenen für mehr Bewusstsein in Sachen Cybersicherheit sorgen.



Welchen Einfluss sieht Veeam durch NIS2 auf Backup-as-a-Service und Storage-as-a-Service?

Da NIS2 Cybersicherheit zur Chefsache macht, ist zu erwarten, dass die Budgets in diesem Bereich, und damit auch für Backup, zunehmen werden. Ich gehe davon aus, dass die Nachfrage nach Backup-as-a-Service (BaaS) und Storage-as-a-Service (StaaS) ebenfalls steigen wird. Der Mangel an Fachkräften im Markt und neue Prozesse sowie regulatorische Anforderungen werden Unternehmen vermehrt dazu bringen, externe Hilfe in Anspruch zu nehmen. Wie genau die Verantwortlichkeiten innerhalb der Software-Lieferkette geregelt werden, bleibt jedoch abzuwarten.



Wie hilft NIS2 dabei, Unternehmen besser auf Ransomware-Bedrohungen vorzubereiten?

NIS2 wird meiner Meinung nach helfen, die aktuelle Ransomware-Bedrohung zu bekämpfen, indem die Richtlinie das Bewusstsein für Cybersicherheit auf Führungsebene schärft. Wenn Unternehmen ihre Prozesse und Strukturen widerstandsfähiger machen, werden sie schwerer zu kompromittieren sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat festgestellt, dass Ransomware-Gruppierungen mehr und mehr wie Unternehmen agieren, die auf Effizienzsteigerung und Gewinnmaximierung aus sind. Dennoch bleibt die Gefahr bestehen, dass kritische Infrastrukturen von nationalstaatlich unterstützten Hackern angegriffen werden, die oft geduldiger und raffinierter sind.



Wie kann eine Task Force für Sicherheitsbelange aussehen, die Unternehmen eine strategische Vorgehensweise ermöglicht, um NIS2 umzusetzen?

Eine entsprechende Task Force sollte definitiv von der Geschäftsleitung geleitet werden, da NIS2 Cybersicherheit zur Chefsache machen will. Die Geschäftsführung muss sich mit den zuständigen IT-Verantwortlichen zusammensetzen und zunächst evaluieren, ob das Unternehmen von NIS2 betroffen ist. Ist dies der Fall, sollte der nächste Schritt die Einhaltung bestehender Standards sein. Sobald dies erreicht ist, kann NIS2 in Angriff genommen werden, wobei die Herausforderungen dann weniger hoch und schwer zu überwinden erscheinen.

