Die Umsetzung von NIS-2 in Deutschland ist vorerst gescheitert. Florian Korhammer, CISO von Retarus, sieht Handlungsbedarf. |
The implementation of NIS-2 in Germany has failed for the time being. Florian Korhammer, CISO at Retarus, sees a need for action. |
Es dauert länger als erwartet. Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und zur Stärkung der Cybersicherheit noch vor der Bundestagswahl ist vorerst gescheitert. SPD, Grüne und FDP konnten sich in zentralen Punkten nicht einigen. Damit bleibt die dringend notwendige gesetzliche Verschärfung auch mehr als zwei Jahre nach Verabschiedung der EU-Richtlinie aus.
Die Umsetzungsfrist wird weiter überschritten. Nach der Bundestagswahl wird die neue Bundesregierung einen völlig neuen, zweiten Anlauf nehmen müssen. Während die Politik scheitert, machen die steigenden Bedrohungen durch Cyber-Angriffe mehr denn je deutlich, warum Unternehmen mit der Umsetzung nicht auf klare Vorgaben aus Berlin warten sollten. Denn auch ohne neues nationales Gesetz gilt in der EU bereits die NIS-2-Richtlinie. Wer jetzt nicht handelt, riskiert neben Strafzahlungen massive Sicherheitslücken. Die aktuelle Lage Besseres Schwachstellen- und Risikomanagement, ein verschärftes Meldewesen, State-of-the-Art-Bedrohungserkennung – NIS-2 ist ein hochkomplexes Werk mit einem wichtigen Ziel: die Cyber-Resilienz des europäischen Gemeinwesens zu fördern. Angesichts der sich international verschärfenden Bedrohungslage ist die Richtlinie überfällig. Jetzt kommt es darauf an, dass die betroffenen Unternehmen und Institutionen die Anforderungen zügig und gewissenhaft umsetzen – ohne zu schludern. Bisher sieht es bei der Umsetzung der NIS-2-Richtlinie eher durchwachsen aus. Kaum einer der 27 Mitgliedstaaten konnte die neue Richtlinie bisher vollständig implementieren, auch wenn einige Länder mittlerweile einen durchaus respektablen Reifegrad erreicht haben. Für die Säumer auf der anderen Seite gibt es zwar noch einen zweimonatigen Gnadenaufschub. Der sollte die Mitglieder jedoch nicht dazu verleiten, ihre Hausaufgaben diesbezüglich zu vernachlässigen und jetzt nachzulassen. Immerhin geht es hier um das Wohl und die Sicherheit der europäischen Gemeinschaft, weshalb nicht nur die Drohung durch etwaige Compliance-Strafen, die Streichung von Fördergeldern oder der eigene finanzielle Schaden ein Motivator sein sollte, sondern auch das Bestreben, diese Güter zu schützen. Kritische Infrastruktur verlangt im Anbetracht der stetig steigenden Bedrohungslage eine höhere Cyber-Resilienz. Die NIS-2-Verordnung ist dafür ein geeignetes Instrument – solange die Umsetzung nicht weiter lahmt und gewissenhaft erfolgt. Die gescheiterten Gespräche in Deutschland verdeutlichen, dass sich Unternehmen nicht auf eine schnelle politische Lösung verlassen können. Umso wichtiger ist es, dass sie selbst aktiv werden und sich auf die Umsetzung von NIS-2 konzentrieren. Doch woran scheitert die erfolgreiche Umsetzung der neuen Verordnung? Ist NIS-2 zu anspruchsvoll? Die Anforderungen von NIS-2 sind sinnvoll und realistisch umsetzbar, darin sind sich fast alle Sicherheitsexperten einig. Auch das Ziel, die allgemeine Cyber-Resilienz europäischer Institutionen und Lieferketten durch ein verbessertes Risiko- und Schwachstellenmanagement sowie Meldewesen zu stärken, ist lobenswert. Angesichts der aktuellen Bedrohungslage reichen punktuelle Cybersicherheitsmaßnahmen nicht aus, vielmehr ist ein ganzheitlicher Ansatz erforderlich. Idealerweise gäbe es dazu globale Initiativen, aber eine EU-weit einheitliche Strategie für mehr Cyber-Resilienz ist zumindest ein guter Anfang. Die meisten Unternehmen sind durchaus bereit, ihren Teil dazu beizutragen. Leider sind die Anforderungen naturgemäß sehr komplex. Sich durch den Dschungel der Vorschriften zu wühlen, sie zu verstehen und umzusetzen, erfordert Geduld. Hinzu kommt, dass sich viele Institutionen vor NIS-2 nur wenig mit den Themen auseinandergesetzt haben. Das verschärfte Meldewesen erfordert beispielsweise, dass nun ein Dienstleisterregister geführt und konkrete Prozesse für die Meldepflicht definiert werden müssen – beides wurde vor NIS-2 vielerorts viel zu wenig beachtet. Hinzu kommt das Aufkommen von KI-gestützten Cyberangriffsmethoden, die zusätzliche Komplexität verursachen. Partner unterstützen bei der Compliance Sollten Unternehmen verständlicherweise von der Komplexität und dem Aufwand und vielleicht auch dem Mangel an Inhouse-Expertise überfordert sein, bietet sich die Zusammenarbeit mit einem externen Dienstleister an. Mit einem breiten Dienstleistungsportfolio – von Kryptografie über Backup-Services bis zur Absicherung wichtiger Kommunikationskanäle – helfen sie Unternehmen, sich punktuell NIS-2-konform aufzustellen und geschäftskritische Prozesse wie Kommunikation und Wertschriftenhandel abzusichern. Die Verantwortung kann durch eine solche Zusammenarbeit jedoch nicht abgeschoben werden. Die Unternehmen bleiben für das Management ihrer Sicherheitsinfrastruktur, die Sicherstellung der eigenen Cyber-Resilienz und die funktionierende Zusammenarbeit mit ihren Partnern verantwortlich. NIS-2 sorgt für einheitliche Sicherheitsstandards und höhere Cyber-Resilienz Viele wollen von NIS-2 nichts mehr hören, scheint das Thema doch in den letzten Jahren ausreichend in die Öffentlichkeit getragen worden zu sein. Umso wichtiger ist es jetzt zu betonen, dass es sich bei der Richtlinie nicht um eine ineffiziente EU-Bürokratie handelt, wie manche Schwarzmaler behaupten. Sie enthält sinnvolle Mindeststandards, die zu einer EU-weiten Angleichung der Cyber-Resilienz führen. Um kritische Infrastrukturen und ihre Bürger zu schützen, müssen die Mitgliedstaaten an einem Strang ziehen und vergleichbare Standards einführen. Nur so lässt sich garantieren, dass geschäftskritische Prozesse auch in Krisenzeiten funktionieren, was in vielen Branchen nicht nur eine unternehmerische, sondern auch eine moralische Verpflichtung darstellt. Ein Kommunikationsausfall während einer wichtigen Operation beispielsweise hätte im wahrsten Sinne des Wortes fatale Folgen. Der Bundestag wird die Umsetzung von NIS-2 vor der Bundestagswahl nicht mehr beschließen. Unternehmen sollten nicht weiter abwarten und die Umsetzung von NIS-2 nicht als Pflichtübung, sondern als strategische Notwendigkeit betrachten. Um in Zukunft nicht unvorbereitet zu sein, sollten sich alle Verantwortlichen in Unternehmen und Institutionen noch einmal vor Augen führen, dass eine effektive Cyber-Resilienz nur durch gemeinsame Anstrengungen erreicht werden kann. |
It’s taking longer than expected. Political agreement on a law to implement EU Directive NIS-2 and strengthen cybersecurity before the German parliamentary elections has failed for the time being. The governing parties SPD, Greens and FDP could not agree on key points. This means that more than two years after the adoption of the EU directive, the urgently needed tightening of the law has not been implemented.
The deadline for implementation has even been missed. After the Bundestag elections at the end of February, the new federal government will have to start all over again. While politicians fail, the growing threat of cyber-attacks makes it clearer than ever why companies should not wait for clear guidelines from Berlin before implementing the directive. Even without a new national law, the NIS 2 Directive already applies in the EU. Those who fail to act now risk massive security breaches and fines. The current situation Better vulnerability and risk management, a stricter reporting system, state-of-the-art threat detection – NIS-2 is a highly complex piece of work with one important goal: to promote the cyber resilience of the European community. The directive is long overdue in light of the worsening international threat landscape. It is now important that affected companies and institutions implement the requirements quickly and diligently – without any slip-ups. So far, implementation of the NIS 2 Directive has been mixed. Hardly any of the 27 member states has been able to fully implement the new directive, although some countries have now reached a respectable level of maturity. On the other hand, there is still a two-month grace period for latecomers. However, this should not tempt members to neglect their homework and slack off now. After all, the welfare and security of the European community is at stake, and it is not only the threat of possible compliance penalties, the withdrawal of funding, or one’s own financial loss that should be the motivating factor, but also the desire to protect these assets. As the threat landscape continues to evolve, critical infrastructure requires a higher level of cyber resilience. The NIS 2 Regulation is a suitable instrument for this – as long as its implementation does not continue to be sluggish and is carried out conscientiously. The failed talks in Germany show that companies cannot rely on a quick political solution. This makes it all the more important for them to take action themselves and focus on implementing NIS-2. But why is the successful implementation of the new regulation failing? Is NIS-2 too demanding? Almost all security experts agree that the requirements of NIS-2 are reasonable and realistic to implement. The goal of strengthening the overall cyber resilience of European institutions and supply chains through improved risk and vulnerability management and reporting is also laudable. Given the current threat landscape, selective cybersecurity measures are not enough; a holistic approach is required. Ideally, there would be global initiatives, but a unified EU-wide strategy for greater cyber resilience is at least a good start. Most companies are certainly willing to play their part. Unfortunately, the requirements are, of course, very complex. It takes patience to wade through the jungle of regulations, understand them, and implement them. What’s more, many institutions did little to address the issues before NIS-2. For example, stricter reporting requirements mean that there is now a need to maintain a register of service providers and to define specific processes for reporting obligations – both of which were given far too little attention in many places before NIS-2. Add to this the emergence of AI-based cyber-attack methods, and you have a recipe for complexity. Partnering to help with compliance When companies are understandably overwhelmed by the complexity and effort involved, and perhaps by a lack of in-house expertise, working with an external service provider is a good option. With a broad portfolio of services ranging from cryptography and backup services to securing key communication channels, they can help companies become NIS 2 compliant in specific areas and secure business-critical processes such as communications and securities trading. However, such collaboration does not shift responsibility. Companies remain responsible for managing their security infrastructure, ensuring their own cyber resilience, and working with their partners. NIS-2 Ensures Uniform Security Standards and Greater Cyber Resilience Many people do not want to hear about NIS-2 anymore, as the topic seems to have been well publicized in recent years. This makes it all the more important to emphasize that the directive is not an inefficient EU bureaucracy, as some naysayers claim. It contains sensible minimum standards that will lead to EU-wide harmonization of cyber resilience. In order to protect critical infrastructure and citizens, Member States need to pull together and adopt comparable standards. This is the only way to ensure that business-critical processes continue to function in times of crisis, which in many industries is not only a corporate obligation but also a moral one. A communication failure during an important operation, for example, would literally have fatal consequences. The Bundestag will no longer decide on the implementation of NIS-2 before the parliamentary elections. The implementation of NIS-2 should not be seen as a compulsory exercise, but as a strategic necessity. In order not to be caught unprepared in the future, all responsible persons in companies and institutions should remember once again that effective cyber resilience can only be achieved through joint efforts. |
Der neue Senior Director Partner Sales bei NetApp, Henning Rahe, erklärt im SSCG-Podcast mit Carolina Heyder, wie das Mittelstandsgeschäft gemeinsam mit Partnern gestärkt werden soll. | NetApp’s new Senior Director Partner Sales, Henning Rahe, explains in the SSCG Podcast with Carolina Heyder how the company plans to strengthen its midmarket business with partners. |

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de