Sie sind hier: Home » Markt » Hinweise & Tipps

Cybersicherheit & NIS2-Compliance


Irrtum mit Folgen: Diese Fehleinschätzungen kursieren rund um NIS2
NIS betrifft nur Großunternehmen: Diese Aussage war bisher korrekt. Mit NIS2 ändert sich auch hier etwas



Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt – und verunsichert. Die wichtigsten Fakten und Fehleinschätzungen hat Deskcenter, Hersteller von IT-Management-Software, zusammengetragen.

Das Risiko, Opfer einer Cyberattacke zu werden, ist derzeit höher denn je – und Unternehmen sind dafür nur selten ausreichend gerüstet. Daher hat die EU 2022 eine zweite, verschärfte Direktive zum Schutz von Netzwerken und Informationssystemen, kurz NIS2, auf den Weg gebracht. Derzeit wird sie in Deutschland in geltendes Recht umgesetzt. Der IT-Softwarehersteller Deskcenter warnt in diesem Zusammenhang jedoch vor sieben Fehleinschätzungen:

1. NIS betrifft ja nur KRITIS-Unternehmen. Der typische deutsche Zulieferer ist nicht betroffen.
Betreiber kritischer Infrastrukturen und digitaler Dienste, kurz KRITIS, müssen in Deutschland schon seit 2017 besondere Vorgaben für die IT-Sicherheit erfüllen. Mit NIS2 nimmt die EU jetzt neben diesen "besonders wichtigen" Betrieben noch viele weitere "wichtige Einrichtungen" aus anderen Branchen in die Pflicht. Darunter fällt praktisch die gesamte deutsche Fertigungsindustrie. Denn wer gewerblich Waren herstellt oder weiterverarbeitet, muss sich an die neuen Vorschriften halten – vorausgesetzt sein Unternehmen ist groß genug. Gleiches gilt zum Beispiel auch für Hersteller und Händler chemischer Stoffe.

2. Als kleinerer Mittelständler sind wir außen vor. NIS betrifft nur Großunternehmen.
Diese Aussage war bisher korrekt. Mit NIS2 ändert sich auch hier etwas. Der Geltungsbereich wurde auf "mittlere Unternehmen" ausgeweitet. Und die sind laut EU-Definition ganz schön klein. Firmen, die als "wichtige Einrichtungen" gelten und mindestens 50 Mitarbeiter haben, fallen bereits unter die verschärften Regelungen. Genauso wie Unternehmen aus diesen Sektoren mit einem Jahresumsatz und einer Bilanzsumme von 10 Millionen Euro. Die Industrie- und Handelskammer München schätzt die Zahl der betroffenen Unternehmen auf 30.000: Das sind 28.000 mehr als bisher.

3. Eile mit Weile. Nach der Verabschiedung des Gesetzes durch den Bundestag gibt es wie immer eine Übergangsfrist.
Eine Übergangsfrist ist nicht vorgesehen. Die Bundesregierung hat bis zum 17. Oktober 2024 Zeit, die EU-Vorgaben in nationales Recht zu überführen. Der aktuelle Referentenentwurf wurde Ende Juli 2024 im Bundeskabinett verabschiedet. Jetzt muss er noch das Gesetzgebungsverfahren durchlaufen. Ein Inkrafttreten ab dem 18. Oktober 2024 liegt damit im Bereich des Möglichen. Der jeweils aktuelle Stand lässt sich auf der Webseite des Bundesinnenministeriums abrufen.

4. Mit Backup, Firewall und Virenscan erfüllen Unternehmen ihre Pflicht zur Risikovorsorge.
Diese Maßnahmen sind wesentliche Elemente der vorgeschriebenen Risikomanagementmaßnahmen. Sie sind aber bei weitem nicht ausreichend, um sich heute vor Angriffen zu schützen. Fundament einer modernen Sicherheitsstrategie ist das Wissen, welche Geräte sich zu jedem Zeitpunkt im Netz befinden, ob es sich dabei um zulässige Devices handelt und welche Software-Versionen installiert sind. An einer laufenden, vollständigen Inventarisierung kommt daher niemand mehr vorbei.

5. Wann wir unsere Systeme patchen, ist unsere Sache. Das hat nichts mit NIS2 zu tun.
Unter dem Schlagwort "Cyberhygiene" führt der deutsche Gesetzesentwurf exemplarisch konkrete Maßnahmen auf. Neben Regelungen für sichere Passwörter oder Backup-Konzepten für Daten findet sich hier auch explizit das Patchmanagement. Wer nach Bekanntwerden einer Schwachstelle wertvolle Zeit verstreichen lässt und damit einen Sicherheitsvorfall verursacht (Stichwort Ransomware), hat nicht nur ein internes Problem. Betroffene müssen auch nachweisen können, dass kein Versäumnis zu einem Sicherheitsvorfall geführt hat. Denn wer fahrlässig oder vorsätzlich nicht rechtzeitig aktiv wird oder definierte Maßnahmen nicht korrekt ausführt, handelt ordnungswidrig und riskiert empfindliche Bußgelder.

6. IT gut, alles gut: Wer technisch sauber aufgestellt ist, hat seine NIS-Pflichten erfüllt.
Zusätzlich zur Analyse und Sicherung von Systemen umfasst das nach NIS erforderliche Risikomanagement auch organisatorische und personelle Aspekte. Das beginnt bei entsprechenden Zugriffskontrollen und endet bei der regelmäßigen Schulung aller Mitarbeitenden. Denn ein falscher Klick kann bereits einer zu viel sein.

7. Die IT-Abteilung trägt die volle Verantwortung für die Umsetzung.
Natürlich liegen strategische Planung und taktische Umsetzung in der Hand der IT-Abteilung oder eines damit beauftragten Dienstleisters. Die alleinige Verantwortung dafür tragen sie gemäß NIS2 jedoch nicht. Die Richtlinie nimmt speziell die Geschäftsleitung in die Pflicht, und das in mehrfacher Hinsicht. So müssen die "leitenden Organe" einer Organisation zum einen die zu ergreifenden Risikomanagementmaßnahmen umsetzen und deren Umsetzung überwachen. Des Weiteren müssen sie durch regelmäßige Schulungen nachweisen, Risiken und deren Auswirkungen erkennen und bewerten zu können.

Fazit
Gerade bei kleineren und mittleren Betrieben besteht im Bereich Cybersicherheit und NIS2-Compliance noch Nachholbedarf. Da 28.000 Betriebe erstmals unter die NIS2-Regelung fallen, drängt die Zeit. "Für Mittelständler ist es höchste Eisenbahn, aktiv zu werden. Sie brauchen jetzt bis Oktober einfach umsetzbare Lösungen", unterstreicht Martin Schaletzky, Vorstand von Deskcenter. "Cybersicherheit beginnt mit der tagesaktuellen Inventarisierung der eigenen Infrastruktur und deren Absicherung durch automatisiertes Patching. Damit lassen sich einige zentrale Anforderungen der NIS2-Richtlinie schnell abdecken." Denn selbst wenn der deutsche Gesetzentwurf noch nicht final verabschiedet ist: Die EU-Regeln sind bekannt. (Deskcenter: ra)

eingetragen: 12.09.24
Newsletterlauf: 09.12.24

DeskCenter Solutions: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

  • Cybersicherheit & NIS2-Compliance

    Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt - und verunsichert.

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

KI, Datenschutz & Datensicherheit Investitionen in nachhaltige Rechenzentren

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen