Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute und einer der führenden Cybersecurity-Experten hierzulande. Mit »manage it« spricht er über die EU NIS2-Richtlinie, wann diese eingeführt werden soll und was das vor allem für KRITIS-Unternehmen bedeutet.

Warum ist die EU-NIS2-Richtlinie vor allem auch jenseits von KRITIS-Unternehmen wichtig?

Weil es die erste flächendeckende Cybersecurity-Regulierung ist, die wir in der Europäischen Union bekommen und die jetzt gerade in den Mitgliedstaaten umgesetzt wird. Sie betrifft sehr viele Branchen und Sektoren unterschiedlicher Größe. Mit NIS2 wird erstmals eine flächendeckende Cybersecurity in der ganzen EU umgesetzt.

Dabei ist primär ein Risikomanagement zu etablieren, das dem Stand der Technik genügt und verhältnismäßig sein muss. Das heißt, ich muss mir als Unternehmen überlegen, in welcher Branche und in welchem Bereich ich tätig bin, wie risikoträchtig dieser Bereich ist und was meine eigenen Ressourcen sind. Darüber hinaus sollte ich mir überlegen, welche Cyberangriffe in jüngerer Vergangenheit in meiner Branche bereits stattgefunden haben. Wichtig ist zudem eine Betrachtung der essenziellen Assets meines Unternehmens, was also für meine Betriebsfähigkeit unabdingbar ist. Daraus ergeben sich die notwendigen Cybersecurity-Management-Maßnahmen.

Prof. Dr. Dennis-Kenji Kipker,
cyberintelligence.institute

Was hat es mit dem EU Cyber Resilience Act im Kontext der NIS2-Richtlinie auf sich?

Der EU Cyber Resilience Act sieht ab Dezember 2027 vor, dass digitale Produkte nur noch dann in Europa verkauft werden dürfen, wenn sie dem Grundsatz »Security by Design« entsprechen. Darauf sollten sich Hersteller so früh wie möglich vorbereiten, da die Regelung ab 2027 ohne weitere Übergangsfrist gilt.

In diesem Kontext ist es wichtig zu verstehen, dass »Security by Design« auch das oberste Credo der NIS2-Richtlinie in Bezug auf unternehmensinterne Prozesse darstellt. Dort wo also der EU Cyber Resilience Act »Security by Design« für alle Produkte mit digitalen Elementen regelt, setzt die NIS2-Richtlinie Cybersecurity im Unternehmen selbst voraus.

Wann wird die EU NIS2-Richtlinie hierzulande in nationales Recht umgesetzt?

Das fällt gerade ein wenig unter die Kategorie »Mysterium«. Es gibt einen 100-Tage-Plan des Bundesinnenministeriums, wonach die Umsetzung von NIS2 und dem KRITIS-Dachgesetz in den politischen Projekten höchste Priorität genießt. Zurzeit stellt Deutschland europaweit in der nationalen Umsetzung von NIS2 das Schlusslicht dar. Deswegen will die neue Bundesregierung die Verabschiedung der NIS2-Richtlinie schnellstmöglich vorantreiben. Ich gehe davon aus, dass dies noch im Herbst/Winter 2025/26 geschehen wird. Klar aber ist auch, dass es keine extra Karenzzeit oder Übergangsfristen geben wird. Sobald NIS2 in ein nationales Umsetzungsgesetz gegossen ist, müssen die betroffenen Unternehmen die geforderten Maßnahmen umsetzen.

Wie hätte man die NIS2-Richtlinie ein wenig eleganter umsetzen können?

Artikel 21 Absatz 2 der EU NIS2-Richtlinie ist eine Art Katalog (der sogenannte 10-plus-1-Katalog), in dem zahlreiche Cybersecurity-Maßnahmen genannt und vorgeschrieben werden. Aber viele dieser Regularien passen nicht zu den Betrieben und Branchen, die von der NIS2-Richtlinie betroffen sind. Da wäre es deutlich hilfreicher und sinnvoller gewesen, das Ganze lediglich als Regelbeispiel zu formulieren, aber eben nicht als absolute Anforderung festzusetzen. Das schafft gegenwärtig viel Verunsicherung bei den betroffenen Unternehmen und behindert die Implementierung von NIS2-Maßnahmen.

Wie können Unternehmen im Kontext von NIS2 von der künstlichen Intelligenz profitieren?

Die NIS2-Richtlinie wird viele Unternehmen betreffen (vor allem die kleineren und mittelständischen Firmen), die nicht über das erforderliche Know-how und die personellen Ressourcen für das Umsetzen der Maßnahmen verfügen. In diesem Fall sieht NIS2 explizit den Einsatz von künstlicher Intelligenz vor. So können KI-Tools zum Beispiel für die automatisierte Anomalie- und Vorfallserkennung genutzt werden. Es gibt sogar Tools, die das Einhalten von NIS2-Compliance-Regeln teilautomatisiert bewerten können.

Wieso müssen CISOs künftig wegen NIS2 neue Ansätze und Herangehensweisen finden?

CISOs übernehmen eine wichtige Schlüsselrolle in Unternehmen. So müssen sie künftig sowohl technisches als auch betriebswirtschaftliches Know-how vorweisen können, ganz zu schweigen vom juristischen Wissen. Am Ende muss der CISO das Management nämlich auf unterschiedlichen Ebenen vom richtigen Ausmaß der notwendigen Investitionen in die Cybersicherheit überzeugen können.

Ist NIS2 am Ende eine Art Heiliger Gral, den es zu finden und zu entdecken gilt?

Der Heilige Gral ist ja ein Mythos der Erlösung, der nur in Sagen existiert. Und so ist es mit NIS2 im Grunde auch: Es gibt nicht diese eine Lösung von der Stange und damit den Heiligen Gral, der ein Unternehmen von der Notwendigkeit zu Cybersecurity-Compliance erlöst. Und es existiert auch kein NIS2-Produkt, das ich kaufen kann, um damit automatisch »NIS2-ready« zu sein, wie es manchmal in den Werbeversprechen heißt. Denn die jeweilige NIS2-Compliance ist eine Momentaufnahme. Es geht stets um individuelle Risikopräferenzen und um individuelle Bedrohungslagen, die
von der Leistungsfähigkeit des jeweiligen Unternehmens abhängen.

Es existiert also nicht diese eine Lösung, die in einem einzigen Schritt zur vollständigen NIS2-Compliance führt. Genauso wenig gibt es die perfekte Risikomanagement-Anwendung, da Unternehmen sehr verschieden sind. Das ist so ein bisschen wie mit der Datenschutzgrundverordnung (DSGVO). Wenn ich eine Datenschutzerklärung verfasse, ist die ja auch für jedes Unternehmen unterschiedlich, weil ich unterschiedliche Daten und Prozesse verarbeite. So kann man das Umsetzen der NIS2-Richtlinie letztlich auch begreifen.

Wie sieht es im Kontext der NIS2-Richtlinie mit geplanten Strafzahlungen aus?

Das Problem mit möglichen Bußgeldern hängt vor allem mit deren Überprüfbarkeit zusammen. Daher denke ich aufgrund der hohen Zahl von durch die Richtlinie allein in Deutschland betroffenen Unternehmen, dass die Nachverfolgbarkeit, ob man NIS2 einhält oder nicht, primär nicht über mögliche Bußgelder geschehen kann und wird, sondern über das Einhalten von vertraglichen Lieferketten. So ist es zum Beispiel denkbar, dass andere Unternehmen, die (un)mittelbar von der NIS2-Richtlinie betroffen sind, die Pflichten vertraglich an ihre (digitalen) Zulieferer in der Lieferkette weitergeben.

Zudem können auch aus dem Ignorieren eines Cybersicherheitsvorfalls heraus erhebliche Nachteile entstehen. Das betrifft juristische und wirtschaftliche Konsequenzen gleichermaßen. Genau diese Gemengelage könnte am Ende zu einer relativ flächendeckenden Umsetzung der erforderlichen NIS2-Maßnahmen führen, ohne dass eine vollständige behördliche Überprüfbarkeit der Vorgaben faktisch möglich ist.

Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt a.M., Vorstand der CERTAVO AG sowie Gastprofessor an der privaten Riga Graduate School of Law in Lettland. Hier forscht er zu Themen an der Schnittstelle von Recht und Technik in der Cybersicherheit, Konzernstrategie sowie zu digitaler Resilienz im Kontext globaler Krisen. Kipker ist zudem Berater der Bundesregierung und der Europäischen Kommission und sitzt im BSI-Expertenkreis Cybersicherheit für den Weltraumsektor. 2024 wurde Professor Kipker zum Vorsitzenden des neuen Digitalbeirats der gematik gewählt, dem höchsten Gremium in Deutschland, das über die Digitalisierung der Krankenkassen mitentscheidet.

Illustration: © Chekman, Daniil Peshkov | Dreamstime.com

4544 Artikel zu „KRITIS“

News | Favoriten der Redaktion | Infrastruktur | IT-Security | Rechenzentrum

Robuste Cyberresilienz für kritische Infrastrukturen: Mehrschichtiger Sicherheitsansatz zum Schutz von KRITIS

23. April 2025

Kritische Infrastrukturen stehen mehr und mehr im Visier von Cyberkriminellen und staatlich gesponserten Angreifern. Ob Cyberangriffe auf Versorgungsnetzwerke, Kommunikations- und Verkehrssysteme, staatliche und medizinische Einrichtungen oder auf den Banken- und Finanzsektor, erfolgreiche KRITIS-Attacken können enorme Kosten verursachen und teils verheerende Folgen für die öffentliche Sicherheit haben. Laut eines aktuellen Berichts der European Union Agency for…

Prof. Dr. Dennis-Kenji Kipker, cyberintelligence.institute

4544 Artikel zu „KRITIS“

Prof. Dr. Dennis-Kenji Kipker,
cyberintelligence.institute