Die NIS2-Richtlinie ist deutsches Recht. Gerald Eid, Regional Managing Director DACH bei Getronics, über die Konsequenzen. | The NIS2 directive is German law. Gerald Eid, Regional Managing Director DACH at Getronics, talks about the consequences. |
148 Milliarden Euro Schaden im vergangenen Jahr – und kein Ende in Sicht: Die Bedrohungslage ist und bleibt prekär. Zudem sorgen Digitalisierung, Cloud und AI für neue Angriffsflächen und eröffnen Hackern vielfältige Möglichkeiten. Das zeigt auch die aktuelle Lünendonk-Studie „Von Cyber Security zu Cyber Resilience“. Demnach hapert es vor allem bei der E-Mail-Sicherheit und beim Schwachstellenmanagement. Trotz anhaltend massiver Bedrohungen hat rund ein Drittel der Unternehmen keinen Überblick über den tatsächlichen Cyber-Sicherheitsstatus. Allerdings steigen laut Studie die Investitionen in Sicherheitsmaßnahmen – und das ist gut so. Denn nachdem das Bundeskabinett den vorgelegten Entwurf für ein Gesetz zur Stärkung der Cybersicherheit, das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, am 24. Juli 2024 beschlossen hat, drängt ohnehin die Zeit, die notwendigen Maßnahmen zur Stärkung der Cyberresilienz umzusetzen. Mit der Umsetzung der NIS-2-Richtlinie (NIS-2-RL) in nationales Recht wird das BSI durch eine Änderung des BSI-Gesetzes für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach dem Gesetz „besonders wichtige“ und „wichtige“ Einrichtungen ergeben sich erstmals Registrierungs-, Nachweis- und Meldepflichten. Zu den Anforderungen der Richtlinie gehören unter anderem Konzepte zur Risikoanalyse, Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs, Backup-Management und Konzepte zum Einsatz von Verschlüsselung. Strenge behördliche Kontrollen und strenge Meldepflichten unterstreichen die Dringlichkeit, sich schnellstmöglich mit dem Thema auseinanderzusetzen und sich auf die Anforderungen der Richtlinie vorzubereiten. Zunächst ist es wichtig, den Anwendungsbereich von NIS2 zu verstehen. Es ist wichtig zu wissen, dass die Vorschriften nicht nur für Unternehmen gelten, die gemäß der Richtlinie als „wesentlich“ oder „wichtig“ eingestuft werden, sondern auch für deren Auftragnehmer. Es folgt eine Selbstanalyse der Sicherheitslage, die die Cyberhygienepraktiken, die aktuellen Schwachstellen und die Existenz von falsch konfigurierten Konten beleuchtet. Eine Gap-Analyse, bei der die aktuelle Sicherheitspraxis dokumentiert wird, ermöglicht einen Vergleich der bestehenden Maßnahmen mit den Anforderungen von NIS2. Die identifizierten Lücken sollten dann nach ihren möglichen Auswirkungen priorisiert werden, um einen detaillierten Maßnahmenplan zu erstellen. Der Schutz privilegierter Accounts durch ein effektives Zugriffsmanagement ist einer der wichtigsten Punkte im Maßnahmenkatalog. Denn es ist in erster Linie dafür verantwortlich, dass Unterbrechungen des Geschäftsbetriebs so gering wie möglich gehalten werden. Darüber hinaus müssen sich Unternehmen mit Backup Management, Disaster Recovery, Krisenmanagement und Notfallplänen auseinandersetzen, um im Fall der Fälle handlungsfähig zu bleiben. Grundsätzlich empfiehlt sich eine Null-Toleranz-Strategie mit starken Authentifizierungsmethoden, um Angriffe bereits im Vorfeld vereiteln zu können. Um bestehende Lücken zu schließen und die Cyber-Resilienz zu optimieren, müssen jedoch die notwendigen Ressourcen seitens des Unternehmens bereitgestellt werden. Dies kann sowohl die Investition in neue Technologien und Werkzeuge als auch die Hinzuziehung externer Experten oder die Schulung der eigenen Mitarbeiter umfassen. Wie aus dem Folgenabschätzungsbericht der EU hervorgeht, könnten die durchschnittlichen Ausgaben für IT-Sicherheit um zwölf bis 22 Prozent steigen. Fakt ist: Die bloße Einhaltung von Standards reicht nicht mehr aus. Gefragt ist ein durchdachtes und ganzheitliches Risikomanagement, das alle kritischen Bereiche abdeckt. Und das nicht nur, weil die NIS2-Richtlinie explizit die Haftung der Leitungsorgane bei Nichteinhaltung von Anforderungen und Meldepflichten vorsieht. Erhebliche finanzielle Sanktionen sind nur eine unangenehme Konsequenz für diejenigen, die sich nicht proaktiv um die Sicherheit ihres Unternehmens bemühen – der Verlust sensibler Daten und, schlimmer noch, des Vertrauens der Kunden dürfte schwerer wiegen. | 148 billion euros in damages last year – and no end in sight: the threat situation is and will remain precarious. Digitization, the cloud and AI are also creating new areas of attack and opening up a wide range of opportunities for hackers. This is confirmed by the latest Lünendonk study. According to the study, email security and vulnerability management are particularly lacking. Despite the ongoing massive threats, around a third of companies do not have an overview of their actual cyber security status. According to the study, however, investment in security measures is on the rise-and that is a good thing. Now that the German Bundeskabinett has passed the bill to strengthen cybersecurity, the NIS2 Implementation and Cyber Security Strengthening Act, on July 24, 2024, time is of the essence to implement the necessary measures to strengthen cyber resilience. With the implementation of the NIS 2 Directive (NIS 2 Directive) into national law, the German BSI will become the supervisory authority for many more companies than before. While little is expected to change for existing critical infrastructure (KRITIS), some 29,000 „critical“ and „important“ organizations will be subject to registration, verification and reporting requirements for the first time. The Directive’s requirements include approaches to risk analysis, business continuity measures, backup management and approaches to the use of encryption. Strict regulatory controls and reporting requirements underscore the urgency of addressing the issue and preparing for the Directive’s requirements as soon as possible. First, it is important to understand the scope of NIS2. It is important to realize that the regulations apply not only to companies classified as „significant“ or „important“ under the directive, but also to their contractors. This is followed by a self-assessment of the security posture, highlighting cyber hygiene practices, current vulnerabilities and the existence of misconfigured accounts. A gap analysis, which documents current security practices, enables a comparison of existing measures with the requirements of NIS2. The identified gaps should then be prioritized according to their potential impact in order to create a detailed action plan. Protecting privileged accounts through effective access management is one of the most important items in the catalog of measures. This is because it is primarily responsible for minimizing business disruptions. In addition, organizations must address backup management, disaster recovery, crisis management, and contingency plans to remain operational in the event of an emergency. A zero-tolerance strategy with strong authentication methods is generally recommended to thwart attacks in advance. However, in order to address gaps and optimize cyber resilience, the organization must allocate the necessary resources. This can include investing in new technologies and tools, as well as bringing in external experts or training their own employees. According to the EU’s impact assessment report, average spending on IT security could increase by 12 to 22 percent. The fact is, compliance is no longer enough. What is needed is a thoughtful and holistic approach to risk management that covers all critical areas. And not just because the NIS2 directive explicitly provides for the liability of management bodies in the event of non-compliance with requirements and reporting obligations. Significant financial penalties are just one unpleasant consequence for those who do not take a proactive approach to security – the loss of sensitive data and, worse, customer confidence is likely to be more serious. |
Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. | Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de