Ein Blick zur\u00fcck kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft \u2013 genauer gesagt endete die 24-monatige \u00dcbergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen. Doch viele wurden erst wenige Tage vor Ablauf der Frist aktiv. Die einen versuchten in Eigenregie, die offensichtlichsten Schwachstellen zu beheben. Andere riefen externe Spezialisten an \u2013 mit dem verzweifelten Wunsch, sie im Eilverfahren DSGVO-tauglich zu machen.<\/p>\n
Man muss kein Hellseher sein, um zu wissen, dass sich die Geschichte mit NIS-2 wiederholen wird. Bis zum 17. Oktober 2024 m\u00fcssen die EU-Mitgliedstaaten die zweite Auflage der \u201eNetwork and Information Security Directive\u201c in nationales Recht umsetzen. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor. K\u00fcnftig sind die betroffenen Betriebe verpflichtet, die Einhaltung der Sicherheitsanforderungen zu gew\u00e4hrleisten und etwaige Vorf\u00e4lle zu melden. Unter die Richtlinie fallen ganz allgemein formuliert alle Unternehmen, die als Betreiber kritischer Infrastrukturen gelten. Dazu z\u00e4hlen beispielsweise Organisationen aus den Bereichen Energie, Verkehr und Gesundheit, aber auch Anbieter digitaler Dienste und das produzierende Gewerbe. Unterschieden wird zwischen den Kategorien \u201ewichtig\u201c und \u201ewesentlich\u201c \u2013 je nachdem wie essentiell die einzelne Organisation f\u00fcr die Gesellschaft, die Sicherheit des Landes und die Wirtschaft ist. Mit NIS-2 wird Cyber-Sicherheit und -Resilienz in Deutschland jedenfalls f\u00fcr eine deutlich gr\u00f6\u00dfere Anzahl von Firmen als bisher zum Top-Thema oder besser gesagt zur Pflicht. Direkt betroffen sind mindestens 30.000 Unternehmen. Indirekt kommen all jene hinzu, die im Rahmen der Sicherung von Lieferketten besondere Ma\u00dfnahmen umzusetzen m\u00fcssen.<\/p>\n
Zwar wird es je nach Einstufung eines Unternehmens als Betreiber kritischer Infrastrukturen oder wichtiger beziehungsweise wesentlicher Einrichtungen noch gewisse \u00dcbergangsfristen f\u00fcr die NIS-2-Umsetzung geben. Ab Inkrafttreten des Gesetzes kann das BSI allerdings von besonders relevanten Einrichtungen Nachweise \u00fcber die Umsetzung der Ma\u00dfnahmen oder Audits einfordern. Das Damoklesschwert NIS-2 kann daher schneller wirksam werden, als manchem lieb ist. Fakt ist: Die Anforderungen sind eine tickende Zeitbombe f\u00fcr alle, die ihre IT-Sicherheit bisher vernachl\u00e4ssigt haben. Erstens ist NIS-2-Konformit\u00e4t kein Produkt, das man einfach kaufen und tags darauf implementieren kann. Vielmehr m\u00fcssen sich die von der Regelung betroffenen Unternehmen dar\u00fcber im Klaren sein, dass die Umsetzung der neuen EU-Richtlinie ein wirklich umfangreiches, strategisches Projekt ist, das Auswirkungen in die unterschiedlichsten Bereiche hinein hat. Bedenkt man au\u00dferdem, dass viele Hardwarekomponenten derzeit immer noch lange Lieferfristen haben, ist der zeitliche Rahmen, um ein ad\u00e4quates Sicherheitspaket zu schn\u00fcren, knapp bemessen. Nicht zuletzt d\u00fcrften die wenigsten Betriebe in der Lage sein, die geforderten Auflagen mit der eigenen IT-Mannschaft zu erf\u00fcllen. Einen dedizierten Chief Information Security Officer (CISO) hat au\u00dferdem nur eine Minderheit implementiert. Auch externe Spezialisten werden auf den letzten Metern immer schwerer zu bekommen sein.<\/p>\n
Wer jetzt auf die Idee kommt, NIS-2 nach dem Motto \u201eWo kein Richter, da kein Henker\u201c auszusitzen \u2013 schlie\u00dflich werden nur die besonders relevanten Einrichtungen auditiert \u2013, handelt jedoch grob fahrl\u00e4ssig. Zum einen ist die neue EU-Richtlinie die Antwort auf die wachsenden Bedrohungen in der digitalen Welt. Cyber-Angriffe werden immer raffinierter und Unternehmen m\u00fcssen sich im eigenen Interesse darauf vorbereiten. Andererseits treffen die vorgesehenen Sanktionen bei Sicherheitsvorf\u00e4llen die Firmen und Organisationen hart. Betriebe, die als \u201ewesentlich\u201c eingestuft werden, drohen Bu\u00dfgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes \u2013 je nachdem, welcher Betrag h\u00f6her ist. Der Referentenentwurf des Bundesinnenministeriums sieht sogar vor, dass Gesch\u00e4ftsf\u00fchrer und andere Leitungsorgane mit ihrem Privatverm\u00f6gen f\u00fcr die Einhaltung der Risikomanagementma\u00dfnahmen haften. Ihnen droht ein Bu\u00dfgeld in gleicher H\u00f6he. NIS-2 ist also l\u00e4ngst zu einem Compliance-Risiko geworden, das die Verantwortlichen sehr ernst nehmen sollten.<\/p>\n
Die Uhr tickt jedenfalls. Jedes Unternehmen, das unter die NIS-2-Richtlinie f\u00e4llt, sollte sp\u00e4testens jetzt die Umsetzung angehen und alle Baustellen in seiner IT-Sicherheitsarchitektur schnellstm\u00f6glich beheben.<\/p>\n
Ein Kommentar von Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT Ltd.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ein Blick zur\u00fcck kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft \u2013 genauer gesagt endete die 24-monatige \u00dcbergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen. Doch viele wurden erst wenige Tage vor Ablauf der Frist aktiv. Die einen versuchten in […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,5,10],"tags":[],"class_list":["post-1004","post","type-post","status-publish","format-standard","hentry","category-firmen-news","category-networks","category-recht-gesetz"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1004","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1004"}],"version-history":[{"count":1,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1004\/revisions"}],"predecessor-version":[{"id":1005,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1004\/revisions\/1005"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1004"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1004"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1004"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}