Dreimal so viele Firmen müssen sich durch NIS2 intensiver mit ihren Security-Maßnahmen auseinandersetzen. Oftmals muss die komplette Security-Strategie überdacht beziehungsweise neu aufgebaut werden. Welche Herausforderungen und Anforderungen noch auf die Unternehmen zukommen erklärt Kerstin Hampl, Head of Security Consulting Germany, BT.
Warum ist die NIS2-Richtlinie aus Ihrer Perspektive so wichtig für Europa? Wo liegt der Mehrwert für Deutschland?
Die NIS2-Richtlinie (Network & Information Security Directive) dient dem Schutz von kritischen Infrastrukturen und damit der Versorgungssicherheit von Gesellschaft und Wirtschaft.
Betrachten wir zum einen die aktuelle Cyberbedrohungslage und zum anderen die Berichte über erfolgreiche Cyberangriffe – etwa durch Ransomware oder DDoS-Attacken –, wird klar, dass die bisher umgesetzten Schutzmaßnahmen zur Absicherung nicht ausreichend sind. Security sollte in Unternehmen und Verwaltung als Schwerpunktthema betrachtet werden.
Die NIS2-Richtlinie – eine Aktualisierung der NIS1-Richtlinie – legt auf europäischer Ebene ein gewisses Sicherheitsniveau für derartige Infrastrukturen fest und verpflichtet die Betreiber, sich mit Cyberbedrohung und Cybersicherheit zu befassen. Mit dieser Forderung werden sie somit auch ihrer Verantwortung für die Gesellschaft gerecht, weil zum Beispiel die Versorgung der Bevölkerung mit essenziell wichtigen Waren und Dienstleistungen gesichert wird.
Kerstin Hampl,
Head of Security Consulting Germany, BT
Welche Veränderungen wird die neue EU-Richtlinie NIS2 aus Ihrem Blickwinkel mit sich bringen?
Neben dem Hauptziel, der Reduzierung von Ausfallrisiken, bringen neue Richtlinien und Gesetze einen erhöhten Aufwand für Compliance mit sich und bedingen dadurch auch einen erhöhten Bedarf an Security-Beratungsleistungen.
Alle EU-Länder sind verpflichtet, solche europäischen Richtlinien in landesspezifische Gesetze zu übertragen. So wurde die NIS1-Richtline mit dem deutschen IT-Sicherheitsgesetz 2.0 in nationales Recht umgesetzt. Die Umsetzung der NIS2-Richtlinie erfolgt aktuell durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), für das es bereits Referentenentwürfe gibt.
Voraussichtlich werden sich im Vergleich zur aktuellen Regelung zukünftig etwa dreimal so viele Firmen – dies entspricht in Deutschland ungefähr 30.000 Unternehmen – intensiver mit ihren Security-Maßnahmen auseinandersetzen müssen. Themen wie Informationssicherheits-Managementsysteme (ISMS), Risikoanalysen, Resilienzmaßnahmen, Angriffsüberwachung und -reaktion sollen dann auch teilweise verpflichtend durch externe Auditoren bezüglich ihrer Umsetzung überprüft werden.
Sind sich die deutschen Unternehmen bewusst, was diese Veränderungen mit sich bringen?
Nach meiner Erfahrung hat sich die Mehrheit der Unternehmen bisher noch nicht mit der Umsetzung befasst. Viele Unternehmen fühlen sich zudem bei der Begrifflichkeit »Kritische Infrastruktur« nicht angesprochen.
Bisher zählten vor allem große Unternehmen aus Bereichen wie Energieversorgung, Trinkwasser, Gesundheitswesen oder Telekommunikation zur kritischen Infrastruktur. Mit NIS2 wird zum einen das Branchenspektrum erweitert, außerdem werden auch kleinere Unternehmen (voraussichtlich ab 50 Mitarbeitern oder 10 Millionen Umsatz) erfasst. Anders gesagt: Schon ein größerer Supermarkt könnte künftig unter die Richtline fallen.
Fühlen sich deutsche Unternehmen aus Ihrer Sicht mit NIS2 überfordert?
Im Moment würde ich eher sagen: Der Ernst der Lage wird unterschätzt. Und, ja, definitiv wird eine Vielzahl der betroffenen Unternehmen Unterstützung bei der Umsetzung benötigen. Es geht hier nicht nur um die zusätzliche Implementierung von weiteren technischen Security-Maßnahmen oder Lösungen. Idealerweise sollte die komplette Security-Strategie überdacht beziehungsweise neu aufgebaut werden. Ganzheitliche Security-Frameworks schließen auch die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter ein. Security-Richtlinien und -Prozesse müssen definiert und in die relevanten Geschäftsabläufe eingebettet werden. Darüber hinaus kommen zusätzliche Anforderungen bezüglich Meldepflichten und Dokumentation hinzu.
Wie vorbereitet sind sie tatsächlich?
Die Ausgangslage der einzelnen Unternehmen ist sicherlich unterschiedlich. Bei unseren Kunden stoßen wir in der Regel auf großes Interesse, wenn wir das Thema NIS2 ansprechen. Viele kleinere Unternehmen haben allerdings gar keine Security- oder Compliance-Abteilung, die sich darum kümmern könnte. Andere befinden sich bereits im Aufbau eines ISMS oder eines Security-Frameworks.
Wo wird die Verantwortung für die Umsetzung und Einhaltung in den Unternehmen liegen?
Auch wenn die Umsetzung in der Regel durch Fachabteilungen oder externe Beratungsunternehmen erfolgt, liegt die Verantwortung bei der Geschäftsführung und kann nicht delegiert werden.
Versäumnisse können zu erheblichen Strafzahlungen führen, wenn etwa Maßnahmen für die Cybersicherheit nicht ausreichend implementiert oder Meldepflichten nicht eingehalten werden.
Welche Herausforderungen sehen Sie für Unternehmen bei der Umsetzung?
Eine große Herausforderung ist zum einen die Feststellung des derzeitigen Reifegrades und davon abhängig die Wahl des für das jeweilige Unternehmen bestmöglichen Ansatzes.
Prozesse wie Risikomanagement, Incident Management, Business Continuity Management sind zu etablieren beziehungsweise bei Bedarf zu verbessern.
Auf Basis der definierten Prozesse und des angestrebten Schutzniveaus sollten dann die technischen Lösungen ausgewählt werden. Eine sinnvolle Kombination unterstützt die Erfüllung der NIS2-Anforderungen, vermeidet Kostenfallen oder unnötige Aufwände und ermöglicht Transparenz über den Reifegrad der Implementierung.
Eine angemessene Security-Strategie, risikoabhängige Priorisierung und die intelligente Auswahl der technischen Lösungen respektive Hersteller erleichtern es, die Herausforderungen erfolgreich zu meistern. Hier kann sich die Investition in Unterstützung durch Beratungsunternehmen enorm auszahlen.
Wird NIS2 den Fachkräftemangel im Security- und IT-Bereich weiter verschärfen? Wie können Unternehmen hier weiterhin handlungsfähig bleiben?
Der Markt ist durch die kontinuierlich steigende Cyberbedrohungslage ohnehin angespannt, und neue Regulierungen verstärken unvermeidlich den Fachkräftemangel. Für die Unternehmen bietet sich allerdings auch die Möglichkeit der internen Aus- und Weiterbildung. Je nach Bedarf bietet sich auch Unterstützung durch Managed Security Service Provider oder Beratungsunternehmen an.
Wie müssen Unternehmen ihre Mitarbeiter schulen, um sie hinsichtlich NIS2 zu sensibilisieren?
Für NIS2 speziell benötigt es Schulungen zu spezifischen Prozessen wie etwa im zeitkritischen Meldewesen. Unabhängig von NIS2 ist Security Awareness für alle Mitarbeiter eine absolut notwendige Komponente von ganzheitlichen Security-Programmen. Die besten technischen Lösungen sind nicht in der Lage, manche menschlichen Fehler abzufangen und so ein Unternehmen ausreichend zu schützen.