KMU: Diese Fehleinschätzungen kursieren rund um NIS2

Illustration Absmeier foto freepik

Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt – und verunsichert.

 

Das Risiko, Opfer einer Cyberattacke zu werden, ist derzeit höher denn je – und Unternehmen sind dafür nur selten ausreichend gerüstet. Daher hat die EU 2022 eine zweite, verschärfte Direktive zum Schutz von Netzwerken und Informationssystemen, kurz NIS2, auf den Weg gebracht. Derzeit wird sie in Deutschland in geltendes Recht umgesetzt. Der IT-Softwarehersteller Deskcenter warnt in diesem Zusammenhang jedoch vor sieben Fehleinschätzungen:

 

  1. NIS betrifft ja nur KRITIS-Unternehmen. Der typische deutsche Zulieferer ist nicht betroffen.
    Betreiber kritischer Infrastrukturen und digitaler Dienste, kurz KRITIS, müssen in Deutschland schon seit 2017 besondere Vorgaben für die IT-Sicherheit erfüllen. Mit NIS2 nimmt die EU jetzt neben diesen »besonders wichtigen« Betrieben noch viele weitere »wichtige Einrichtungen« aus anderen Branchen in die Pflicht. Darunter fällt praktisch die gesamte deutsche Fertigungsindustrie. Denn wer gewerblich Waren herstellt oder weiterverarbeitet, muss sich an die neuen Vorschriften halten – vorausgesetzt sein Unternehmen ist groß genug. Gleiches gilt zum Beispiel auch für Hersteller und Händler chemischer Stoffe.
  2. Als kleinerer Mittelständler sind wir außen vor. NIS betrifft nur Großunternehmen.
    Diese Aussage war bisher korrekt. Mit NIS2 ändert sich auch hier etwas. Der Geltungsbereich wurde auf »mittlere Unternehmen« ausgeweitet. Und die sind laut EU-Definition ganz schön klein. Firmen, die als »wichtige Einrichtungen« gelten und mindestens 50 Mitarbeiter haben, fallen bereits unter die verschärften Regelungen. Genauso wie Unternehmen aus diesen Sektoren mit einem Jahresumsatz und einer Bilanzsumme von 10 Millionen Euro. Die Industrie- und Handelskammer München schätzt die Zahl der betroffenen Unternehmen auf 30.000: Das sind 28.000 mehr als bisher.
  3. Eile mit Weile. Nach der Verabschiedung des Gesetzes durch den Bundestag gibt es wie immer eine Übergangsfrist.
    Eine Übergangsfrist ist nicht vorgesehen. Die Bundesregierung hat bis zum 17. Oktober 2024 Zeit, die EU-Vorgaben in nationales Recht zu überführen. Der aktuelle Referentenentwurf wurde Ende Juli 2024 im Bundeskabinett verabschiedet. Jetzt muss er noch das Gesetzgebungsverfahren durchlaufen. Ein Inkrafttreten ab dem 18. Oktober 2024 liegt damit im Bereich des Möglichen. Der jeweils aktuelle Stand lässt sich auf der Webseite des Bundesinnenministeriums abrufen [1].
  4. Mit Backup, Firewall und Virenscan erfüllen Unternehmen ihre Pflicht zur Risikovorsorge.
    Diese Maßnahmen sind wesentliche Elemente der vorgeschriebenen Risikomanagementmaßnahmen. Sie sind aber bei weitem nicht ausreichend, um sich heute vor Angriffen zu schützen. Fundament einer modernen Sicherheitsstrategie ist das Wissen, welche Geräte sich zu jedem Zeitpunkt im Netz befinden, ob es sich dabei um zulässige Devices handelt und welche Softwareversionen installiert sind. An einer laufenden, vollständigen Inventarisierung kommt daher niemand mehr vorbei.
  5. Wann wir unsere Systeme patchen, ist unsere Sache. Das hat nichts mit NIS2 zu tun.
    Unter dem Schlagwort »Cyberhygiene« führt der deutsche Gesetzesentwurf exemplarisch konkrete Maßnahmen auf. Neben Regelungen für sichere Passwörter oder Backup-Konzepten für Daten findet sich hier auch explizit das Patchmanagement. Wer nach Bekanntwerden einer Schwachstelle wertvolle Zeit verstreichen lässt und damit einen Sicherheitsvorfall verursacht (Stichwort Ransomware), hat nicht nur ein internes Problem. Betroffene müssen auch nachweisen können, dass kein Versäumnis zu einem Sicherheitsvorfall geführt hat. Denn wer fahrlässig oder vorsätzlich nicht rechtzeitig aktiv wird oder definierte Maßnahmen nicht korrekt ausführt, handelt ordnungswidrig und riskiert empfindliche Bußgelder.
  6. IT gut, alles gut: Wer technisch sauber aufgestellt ist, hat seine NIS-Pflichten erfüllt.
    Zusätzlich zur Analyse und Sicherung von Systemen umfasst das nach NIS erforderliche Risikomanagement auch organisatorische und personelle Aspekte. Das beginnt bei entsprechenden Zugriffskontrollen und endet bei der regelmäßigen Schulung aller Mitarbeitenden. Denn ein falscher Klick kann bereits einer zu viel sein.
  7. Die IT-Abteilung trägt die volle Verantwortung für die Umsetzung.
    Natürlich liegen strategische Planung und taktische Umsetzung in der Hand der IT-Abteilung oder eines damit beauftragten Dienstleisters. Die alleinige Verantwortung dafür tragen sie gemäß NIS2 jedoch nicht. Die Richtlinie nimmt speziell die Geschäftsleitung in die Pflicht, und das in mehrfacher Hinsicht. So müssen die »leitenden Organe« einer Organisation zum einen die zu ergreifenden Risikomanagementmaßnahmen umsetzen und deren Umsetzung überwachen. Des Weiteren müssen sie durch regelmäßige Schulungen nachweisen, Risiken und deren Auswirkungen erkennen und bewerten zu können.

 

Fazit

Gerade bei kleineren und mittleren Betrieben besteht im Bereich Cybersicherheit und NIS2-Compliance noch Nachholbedarf. Da 28.000 Betriebe erstmals unter die NIS2-Regelung fallen, drängt die Zeit. »Für Mittelständler ist es höchste Eisenbahn, aktiv zu werden. Sie brauchen jetzt bis Oktober einfach umsetzbare Lösungen«, unterstreicht Martin Schaletzky, Vorstand von Deskcenter. »Cybersicherheit beginnt mit der tagesaktuellen Inventarisierung der eigenen Infrastruktur und deren Absicherung durch automatisiertes Patching. Damit lassen sich einige zentrale Anforderungen der NIS2-Richtlinie schnell abdecken.« Denn selbst wenn der deutsche Gesetzentwurf noch nicht final verabschiedet ist: Die EU-Regeln sind bekannt.

 

[1] https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html

 

127 Artikel zu „NIS2“

NIS2 Compliance vereinfachen – mit SASE

Die Frist für die neue Richtlinie 2022/0383 über Netz- und Informationssysteme, besser bekannt als »NIS2«, rückt unaufhaltsam näher. Unternehmen stehen nun vor der Herausforderung, die geeignete Technologie zu implementieren, um den Anforderungen gerecht zu werden. Das wachsende Interesse der Branche an Sicherheitsplattformen wird eine entscheidende Rolle dabei spielen, die Einhaltung der NIS2-Vorgaben zu erleichtern. Organisationen…

Die Qualität der Sicherheitsmaßnahmen verbessern – »NIS2 wird zur neuen Norm in der Sicherheits­landschaft werden«

In Zeiten zunehmender Cybersicherheitsbedrohungen sind Unternehmen gefordert, ihre Schutzmaßnahmen kontinuierlich zu verbessern. Dr. Matthias Rosche, Managing Director bei Orange Cyberdefense, erklärt, dass nicht nur die klassischen Bedrohungen, sondern auch neue Compliance-Anforderungen und -Regularien wie NIS2 die Unternehmen vor Probleme stellen.

Die Hausordnung für IT-Systeme: NIS2

NIS2 sorgt in vielen Köpfen für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen: Die europaweite Direktive ist das Regelwerk (Hausordnung), deren Einhaltung Dienstleister (analog zum Hausmeister) für Unternehmen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS2? Welche Maßnahmen müssen Firmen implementieren? Die nachfolgende…

NIS2: In 5 Schritten zu mehr OT-Cybersicherheit

Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter. Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt…

NIS2 und KRITIS-Dach: Neun Bausteine für sichere industrielle Steuerungs- und Automatisierungssysteme

Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000: eco Verband gibt 9 Tipps zur Steigerung der Cyberresilienz industrieller Steuerungsanlagen.   Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Zudem ändert sich die Regulierung dieses Jahr deutlich mit dem KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz: Die Anzahl künftig regulierter Unternehmen erweitert…

EU-Direktive NIS2: So stellen Sie Ihre Task Force zusammen

Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.   Die neue NIS2-Direktive stellt konkrete Anforderungen an die technischen…

NIS2: Das kommt im 2. Halbjahr 2024 auf Unternehmen zu

Umsetzung der EU-Richtlinie zum Schutz vor Cyberbedrohungen.   Auf viele Unternehmen kommen in puncto Cybersicherheit ab 2024 neue Herausforderungen zu. Die sogenannte Network and Information Security Directive 2, kurz NIS2, ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die bis spätestens Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein muss. Damit soll der Gesetzgeber…

NIS2: Jedes dritte Unternehmen setzt die Richtlinie bereits um

Bei einem weiteren Drittel der Befragten ist die Umsetzung noch in Planung.   38 Prozent der deutschen Unternehmen haben noch nicht mit der Umsetzung der NIS2-Richtlinie begonnen. Dabei ist es höchste Zeit: Mit dem Gesetzentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) hat das Bundesministerium des Innern und für Heimat die Weichen gestellt. Bis zum 17. Oktober 2024 soll…

Welche Erkenntnisse sich aus der DSGVO für DORA und NIS2 einsetzen lassen

Was mit der DSGVO begann, setzt die EU mit NIS2 und DORA konsequent fort. Sie reglementiert die Datenindustrie und die digitalen Prozesse vieler Firmen, um Daten und Netze robuster zu machen gegen Angriffe. Gleichzeitig lassen sich aus der Einführung der DSGVO einige wichtige Schlüsse zum Umgang mit den neuen Regeln für Unternehmen ziehen. Welche das…

Countdown zur NIS2-Richtlinie: So können IT-Teams Blind Spots im eigenen Netzwerk fristgerecht eliminieren

NIS2 soll die Cyber- und Informationssicherheit EU-weit maßgeblich stärken. Zum Stichtag am 17. Oktober 2024 muss die Direktive in nationales Recht umgewandelt werden. Angesichts der sich zuspitzenden Cyber-Security-Lage ist das auch absolut notwendig, weiß Ali Moniri, Senior Sales Engineer bei Gigamon. Für Unternehmen bedeutet das: ranklotzen! Denn es bleibt nur noch wenig Zeit für die…

Sich effektiv auf die NIS2-Richtlinie vorbereiten

Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting.   Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in…

IT-Compliance: NIS2 – Vorbereitung ist alles!

Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten.   Gesetzliche Regularien sind…

Die Auswirkungen der NIS2-Richtlinie auf die Container-Sicherheit verstehen

Die digitale Landschaft in Europa steht mit der Veröffentlichung der NIS2-Richtlinie vor einem bedeutenden Wandel. Die Umsetzung dieser digitalen Transformation ist eng mit der Entwicklung der Cyber Security verbunden. Regierungen auf der ganzen Welt ergreifen jetzt Maßnahmen, um kritische Infrastrukturen intensiver vor Cyberbedrohungen zu schützen. Diese Richtlinie, die darauf abzielt, die Sicherheit und Widerstandsfähigkeit im…

NIS2 – Mehr Cybersicherheit für Europa

Die neue EU-Richtlinie »Netzwerk- und Informationssysteme 2« (NIS2) soll für mehr Cybersicherheit in Unternehmen, Behörden und Privathaushalten sorgen. Das Ziel ist es, insbesondere kritische Infrastrukturen in Zukunft besser vor Cyberattacken zu schützen. Mitgliedsstaaten müssen die Richtlinie bis Oktober 2024 in nationale Gesetze gießen. Dabei ist zu erwarten, dass in einigen Ländern die Richtlinien strenger umgesetzt…

NIS2-Richtlinie stärkt europäische Cybersicherheit – was das für Unternehmen bedeutet

Die überarbeitete NIS2-Richtlinie zur Netz- und Informationssicherheit weitet den Kreis der betroffenen Unternehmen deutlich aus und bezieht auch Zulieferer und Dienstleister für kritische Sektoren mit ein. Bei Nichteinhaltung sind nicht nur die Cybersicherheit des eigenen Unternehmens und die Reputation bei Partnern und Kunden in Gefahr – es drohen auch empfindliche Geldbußen.   Die digitale Transformation…

EU-Forschungsprojekt EMERALD: Cloud-Zertifizierung im Finanzsektor ein

Der Digital Operational Resilience Act (DORA) fordert von der europäischen Finanzbranche umfassende Maßnahmen für mehr Sicherheit von IKT-Systemen. Das betrifft auch Cloud-Dienste, die eine zentrale Rolle in der IT-Infrastruktur von Finanzunternehmen spielen. Im EU-Projekt »EMERALD« arbeitet ein Forschungsteam an einem Anwendungsfall zur Entwicklung eines digitalen Zertifizierungsprozesses von Cloud-Diensten (Certification as a Service, CaaS) im Kontext…

Copilot for Dynamics 365: Prozesse automatisieren – Qualität verbessern – Zeit gewinnen

Die Prozesse in Marketing, Vertrieb und Kundenservice zu automatisieren, ist keine Kür mehr, sondern wird zur dringlichen Pflicht. Dabei kommt digitalen KI-Assistenten eine zentrale Rolle zu. Je besser die Ergebnisse von Tools wie ChatGPT, Google Gemini, Bing Chat und anderen, desto größer der Druck auf Unternehmen, sie einzusetzen. Zu groß ist die Gefahr, den Anschluss…

Ransomware in Echtzeit erkennen minimiert RTO und RPO

Frühwarnsystem: Real-Time-Detection schließt die Erkennungslücke beim Kampf gegen Ransomware.   Ransomware-Angriffe erfolgen schnell: Im Durchschnitt verschlüsseln Angreifer einen Datensatz innerhalb von nur einer Stunde. Im Gegensatz zu den agilen Ransomware-Angreifern sind Unternehmen eher träge. Sie brauchen in der Regel eine ganze Woche, um platzierte Ransomware überhaupt erst zu entdecken. Demzufolge sind Lösungen gewünscht, die bei…