[datensicherheit.de, 13.04.2025] Der eco – Verband der Internetwirtschaft e.V. weist in einer aktuellen Stellungnahme darauf hin, dass zwischen dem 14. und dem 28. April 2025 Finanzinstitute in der EU ihre IT-Dienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registriert haben müssen. Mit dem Inkrafttreten des „Digital Operational Resilience Act“ (DORA) geraten damit auch viele IT-Dienstleister ohne bisherige unmittelbare Regulierung in den Fokus von Aufsichtsbehörden. Gleichzeitig sorgt die bevorstehende Umsetzung der europäischen NIS-2-Richtlinie in weiteren Branchen für erhöhten Handlungsdruck, der sich auch auf die von DORA betroffenen Unternehmen beispielgebend auswirken könnte.

NIS-2-Rezeption am Markt könnte für Umgang mit DORA beispielgebend sein

„Etliche Dienstleister stehen aktuell vor der Aufgabe, Sicherheitsnachweise, Risikoanalysen und Vertragskonformität kurzfristig zu dokumentieren – oft, ohne dass sie bisher mit vergleichbaren Anforderungen konfrontiert waren“, berichtet Ulrich Plate, Leiter der eco-Kompetenzgruppe „Kritische Infrastrukturen“.

• Auch außerhalb des Finanzsektors zeige sich bereits eine zunehmende Dynamik: „Unternehmen, die künftig unter NIS-2 fallen, fordern schon heute von ihren Zulieferern konkrete Nachweise zur Cyber-Sicherheit.“ Diese Richtlinie verpflichtet Unternehmen unter anderem dazu, auch ihre IKT-Lieferkette auf ein Mindestmaß an Sicherheit zu verpflichten.

Plate: „Was wir beobachten, ist eine Art regulatorische Vorwirkung – viele Auftraggeber fordern vertraglich bereits heute de facto NIS-2-konforme Sicherheit, obwohl die Anforderungen noch nicht in nationales Recht überführt wurden.“

Vertragsdruck steigt – NIS-2 und künftig auch DORA als Treiber

Laut aktuellen Schätzungen werden rund 30.000 Unternehmen in Deutschland künftig direkt unter die NIS-2-Regelung fallen. Doch auch nicht unmittelbar betroffene Dienstleister könnten die Auswirkungen spüren: In der Praxis werden Verträge angepasst, Sicherheitsfragebögen verschickt und Anbieter nur bei entsprechender „Compliance“ beauftragt. „Zulieferer geraten häufig früher in die Pflicht als ihre Auftraggeber“, warnt Plate und betont: „Wer sich nicht vorbereitet, wird bei Ausschreibungen künftig nicht mehr berücksichtigt.“

• DORA konkretisiere diese Entwicklung im Finanzbereich mit einem klaren Stichtag. Die Registrierungspflicht umfasse nicht nur eine Meldung an die BaFin, sondern auch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit.

Die Aufsicht könne künftig auch IT-Dienstleister kontrollieren, die nicht direkt reguliert sind. „DORA bringt IT-Dienstleister in die direkte Sichtbarkeit der Aufsicht“, erläutert Plate. Die Marktgrenze für Cyber-Sicherheit verschiebe sich – „wer im Geschäft bleiben möchte, muss sich der Regulierung anpassen“.

NIS-2- bzw. DORA-Compliance als Wettbewerbsvorteil nutzen

Besonders mittelständische Dienstleister stehen laut Plate vor der Aufgabe, ihre internen Prozesse auf neue Anforderungen auszurichten – etwa mit Zertifizierungen, Notfallplänen oder strukturierten Nachweisverfahren.

• Dabei könne eine frühzeitige Positionierung zum Vorteil werden. IT-Dienstleister sollten daher jetzt prüfen, wie gut sie auf regulatorische Anforderungen vorbereitet sind – und mögliche Lücken zügig schließen.

„IT-Compliance ist ein Differenzierungsmerkmal“, so Plates Fazit. Er rät: „Wer heute in Sicherheitsstandards investiert, stärkt die eigene Resilienz und gewinnt Vertrauen – auch bei neuen Auftragnehmern.“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 11.04.2025
Informationsregister und Anzeigepflichten / Die BaFin informiert über Kapitel V, Abschnitt I, Artikel 28 Absatz 3 DORA

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

[datensicherheit.de, 03.04.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum nächsten „Awareness“-Web-Seminar ein: „Viele Anforderungen eine Lösung: NIS-2 als Teil eines integrierten Managementsystems“ findet am Vormittag des 10. April 2025 statt:

Abbildung: it’s.BB e.V.

Der it’s.BB e.V. lädt ein: Donnerstag, 10. April 2025, 10.00 bis 11.00 Uhr

Empfohlen wird die NIS2-Umsetzung unter dem Dach eines integrierten Managementsystems

„Viele Anforderungen eine Lösung: NIS-2 als Teil eines integrierten Managementsystems“
Donnerstag, 10. April 2025, 10.00 bis 11.00 Uhr
Diese Online-Veranstaltung wird in Zusammenarbeit mit den Netzwerkmitgliedern Digitalagentur Berlin GmbH und HiSolutions AG organisiert.
Teilnahme kostenlos – Online-Anmeldung erforderlich

Agenda (ohne Gewähr)

• 10.00-10.10 Uhr Begrüßung
  – Dr. Ortwin Wohlrab, Netzwerksprecher it’s.BB e.V.
  10.10-10.45 Uhr
  • „Was ist NIS-2 und wen betrifft sie?“
  • „Welche Anforderungen stellt die NIS-2 an Unternehmen?“
  • „Wie kann ich ein integriertes Managementsystem nutzen, um die Anforderungen angemessen umzusetzen?“
  • „Vorteile und Nachteile einer integrierten Umsetzung“
  • „Q&A“
  – Andre Windsch, „Senior Expert“ / Marius Wiersch, „Senior Manager“, HiSolutions AG
• 10.45-11.00 Uhr Fragen / Diskussion / Abschluss

NIS-2-Umsetzung im Kontext eines integrierten Managementsystems hilft, ressourcen-schonend eine höhere „Compliance“ zu erreichen

Die Umsetzung der NIS-2-Richtlinie erfordert Maßnahmen, welche klassisch verschiedenen Managementsystemen und Bereichen zuzuordnen sind. Parallele Managementsysteme verursachten in der Praxis häufig Probleme – wie beispielsweise einen inkonsistenten Umgang mit gleichartigen Themen, Doppelarbeiten oder Zuständigkeitsfragen.

„Um den entgegenzuwirken, empfiehlt es sich, die Umsetzung unter dem Dach eines integrierten Managementsystems zu adressieren und so ressourcen-schonend eine höhere ,Compliance’ zu erreichen.“

Zur Anmeldung:

eventbrite, it’s.BB-Webinarreihe zu NIS-2
Donnerstag, 10. April / Viele Anforderungen eine Lösung: NIS-2 als Teil eines integrierten Managementsystems

Weitere Informationen zum Thema:

datensicherheit.de, 19.03.2025
Amir Salkic rät österreichischen Unternehmen dringend, die NIS-2-Umsetzung nicht zu verschlafen / Betroffene Unternehmen und Organisationen sollten bereits jetzt handeln und nicht erst auf das nationale NIS-2-Umsetzungsgesetz warten

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

[datensicherheit.de, 19.03.2025] Seit dem 18. Oktober 2024 ist nun NIS-2 – die verbindliche Cyber-Sicherheits-Richtlinie der EU – in Kraft. Das entsprechende nationale Umsetzungsgesetz wurde in Österreich demnach zwar als Entwurf des „NISG 2024“ (Initiativantrag zum Netz- und Informationssicherheitsgesetz 2024) im Juni 2024 im Nationalrat behandelt, scheiterte aber an der notwendigen Zweidrittelmehrheit und wurde bislang nicht weiterverfolgt. Dennoch sollten die betroffenen Unternehmen und Organisationen bereits jetzt handeln und nicht erst auf die Gesetzgebung warten, betont Amir Salkic, „Head of CyberSecurity Consulting Austria“ der SEC Consult Group, in seiner aktuellen Stellungnahme.

Foto: SEC Consult Group

Amir Salkic zu NIS-2-Folgen: Neu ist, dass die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei Aktiengesellschaften nun persönlich haftbar sind!

Verantwortliche sollten so schnell wie möglich überprüfen, ob NIS-2 auch ihre Unternehmens-IT betrifft

„Auch wenn die Gesetzestexte noch nicht rechtskräftig vorliegen, bietet die NIS-2-Richtlinie doch die grundlegenden Vorgaben für Sicherheitsmaßnahmen, die spätestens jetzt in Angriff genommen werden sollten“, erläutert Salkic. Denn die Implementierung der Maßnahmen könne – abhängig vom Reifegrad der Cyber-Sicherheit – viele Monate in Anspruch nehmen.

Da im Vergleich zu NIS-1 nun auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie unter die NIS-2-Richtlinie fielen und die Einführung einer „size-cap“-Regel zusätzlich die Palette der betroffenen Unternehmen erweitere, könnten auch KMU unter diese Regelungen fallen. „Deshalb sollten die Verantwortlichen so schnell wie möglich überprüfen, ob NIS-2 auch ihre Unternehmens-IT betrifft!“

Salkic weist auch auf die neuen, strengeren Haftungsvorschriften hin: „Neu ist, dass die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei Aktiengesellschaften nun persönlich haftbar sind!“ Dies könne – je nach Art der Einrichtung – von bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes bis hin zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gehen.

Worauf das Management achten sollte – der NIS-2-Maßnahmenkatalog

Grundsätzlich müssten betroffene Unternehmen und Organisationen geeignete Sicherheitsmaßnahmen ergreifen, um die Vertraulichkeit, Verfügbarkeit und Integrität ihrer Netzwerke und IT-Systeme zu gewährleisten.

Salkic führt hierzu aus: „Dazu gehören die Entwicklung von Konzepten für Risikoanalysen und die Sicherheit von Informationssystemen sowie Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.“

Sollte es zu einem die Cyber-Sicherheit verletzenden Vorfall kommen, so müssten betroffene Organisationen das österreichische Innenministerium unverzüglich über signifikante Störungen, Vorfälle und Bedrohungen – und, wo möglich, auch die Kunden ihrer Dienstleistungen – unterrichten. „Das bedeutet: Es muss binnen 24 Stunden eine Frühwarnung erfolgen, bis spätestens 72 Stunden später eine Detailmeldung und binnen eines Monats ein Abschlussbericht.“

Deutsches NIS-2-Gesetz kann auch für österreichische Unternehmen relevant sein

Die engen wirtschaftlichen Verbindungen Österreichs zum Nachbarn Deutschland bedingen laut Salkic auch, dass viele österreichische Unternehmen dem deutschen NIS-2-Umsetzungsgesetz unterliegen: „Sei es, weil die deutsche Muttergesellschaft interne Richtlinien vorgibt, die auch für österreichische Tochtergesellschaften gelten, oder weil heimische Unternehmen deutsche NIS-2-Einrichtungen beliefern und diese Cyber-Sicherheitsanforderungen vertraglich festlegen.“

Auch in Deutschland habe das NIS-2-Umsetzungsgesetz zwar das Bundeskabinett passiert, sei aber noch nicht dem Bundestag zu Beschlussfassung vorgelegt worden. Dennoch rät Salkic auch hierbei, sich bereits jetzt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren und sicherzustellen, dass die Mindestvorgaben in Sachen Cyber-Sicherheit umgesetzt werden.

„Dies umfasst wie auch in Österreich organisatorische Auflagen wie etwa die Einführung von Risiko-Management, ,Information Security Management’, den Einsatz von Multi-Faktor-Authentisierung und SSO oder den Einsatz sicherer Sprach-, Video- und Text-Kommunikation. Im Fall eines Sicherheitsvorfalls muss das BSI innerhalb von 24 Stunden informiert werden“, so Salkic zum Abschluss seiner Stellungnahme.

Weitere Informationen zum Thema:

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

[datensicherheit.de, 17.02.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., wird sich auch 2025 mit dem Thema NIS-2 befassen: So wird aktuell zum ersten spezialisierten Web-Seminar einer Veranstaltungsreihe eingeladen: „Auf wen ist die neue NIS-2-Richtlinie anwendbar und welche Pflichten treffen Unternehmen und deren Geschäftsführer in Berlin und Brandenburg?“ – in dieser Online-Veranstaltung soll auf die Vorgaben der europäischen NIS-2-Richtlinie eingegangen und erörtert werden, welche Regelungen dazu in Deutschland (zukünftig) beachtet werden müssen.

Abbildung: it’s.BB e.V.

Einladung zum Web-Seminar am 20. Februar 2025 von 10 bis 11 Uhr

NIS-2-Richtlinie im Fokus: Einführung, Rechtsfragen, Pflichten und Empfehlungen

Zudem werde darauf eingegangen, auf welche Pflichten sich Unternehmen in der Region, aber auch spezifisch Geschäftsführer, einstellen müssten und wie man auf diesen geänderten Regelungsrahmen im Informations-Sicherheitsrecht reagieren könnte.

„Auf wen ist die neue NIS-2-Richtlinie anwendbar und welche Pflichten treffen Unternehmen und deren Geschäftsführer in Berlin und Brandenburg?“
Online-Veranstaltung in Zusammenarbeit mit dem Netzwerkpartner DAB Digitalagentur Berlin GmbH
Donnerstag, 20. Februar 2025, 10.00 bis 11.00 Uhr
Teilnahme kostenlos, Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

10.00-10.10 Begrüßung
– Alina Strybko, Netzwerkmanagerin it’s.BB e.V.

10.10-10.45 Uhr
• Einführung in das Thema NIS-2-Richtlinie
• Relevante europäische und deutsche Regelungen im Zusammenhang mit der NIS-2-Richtlinie und deren Anwendbarkeit
• Pflichten von Unternehmen nach der NIS-2-Richtlinie
• Pflichten von Geschäftsführern nach der NIS-2-Richtlinie
• Empfehlungen für die Umsetzung der Anforderungen aus der NIS-2-Richtlinie
• „Q&A“
– Johannes Zwerschke LL.M., Piltz Rechtsanwälte PartGmbB

10.45-11.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
Donnerstag, 20. Februar / it’s.BB-Webinarreihe zu NIS-2 / Auf wen ist die neue NIS 2-Richtlinie anwendbar und welche Pflichten treffen Unternehmen und deren Geschäftsführer in Berlin-Brandenburg?

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

[datensicherheit.de, 11.02.2025] „Der drastische Anstieg der Cyber-Sicherheitsvorfälle in deutschen KRITIS-Einrichtungen um 43 Prozent von 2023 auf 2024 ist ein deutliches Warnsignal für die gesamte Branche!“, kommentiert Frank Lange, „Technical Director“ bei Anomali, in seiner aktuellen Stellungnahme. Diese Entwicklung zeige eben, dass Kritische Infrastrukturen zunehmend ins Visier Cyber-Krimineller gerieten, während gleichzeitig die digitale Abhängigkeit dieser Einrichtungen weiter wachse. Die Zeit für einen strategischen Ansatz in der KRITIS-Cyber-Sicherheit sei jetzt: „Betreiber sollten ihre Sicherheitsprogramme langfristig ausrichten und dabei besonders die Bereiche Angriffserkennung, Supply-Chain-Security und Notfallmanagement in den Fokus nehmen!“

Foto: Anomali

Frank Lange: Betreiber sollten ihre Cyber-Sicherheitsprogramme langfristig ausrichten!

Cyber-Operationen zunehmend zur politischen Einflussnahme genutzt – KRITIS-Betreiber in der Pflicht

„Der jüngste Cyber-Angriff auf die CDU-Parteizentrale im Frühjahr 2024 und auch der Angriff der russischen Hacker-Gruppe ,APT 28‘ auf die SPD-Parteizentrale ab Dezember 2022 sind nur zwei Beispiele, die zeigen, wie gezielt staatlich gesteuerte Akteure demokratische Institutionen attackieren“, so Lange.

Während im Falle der CDU mutmaßlich chinesische Angreifer über zwei Wochen lang Zugriff auf sensible Daten gehabt hätten, habe „APT 28“ eine unbekannte Schwachstelle in „Microsoft Outlook“ ausgenutzt, um SPD-E-Mail-Konten zu kompromittieren. Lange unterstreicht: „Beide Angriffe verdeutlichen, dass Cyber-Operationen zunehmend zur politischen Einflussnahme genutzt werden – ein Risiko, das auch KRITIS-Betreiber verstärkt im Blick haben müssen!“

Cyber-Sicherheit auch für KRITIS-Betreiber keine einmalige Aufgabe, sondern ein fortlaufender Prozess

Besonders besorgniserregend sei der kontinuierliche Aufwärtstrend der letzten Jahre – von 385 Meldungen 2021 auf nun 769 im Vorjahr, 2024. „Dies verdeutlicht, dass Cyber-Sicherheit für KRITIS-Betreiber keine einmalige Aufgabe, sondern ein fortlaufender Prozess sein muss!“ Mit der bevorstehenden Umsetzung der NIS-2-Richtlinie Ende 2024 würden die Anforderungen an die IT-Sicherheit noch weiter steigen.

„Unsere Erfahrung zeigt, dass erfolgreiche Cyber-Angriffe oft durch eine Kombination aus technischen Schwachstellen und mangelnder Angriffserkennung ermöglicht werden.“ KRITIS-Betreiber müssten daher nicht nur in moderne Sicherheitstechnologien investieren, sondern auch ihre Fähigkeiten zur Früherkennung und Reaktion auf Bedrohungen kontinuierlich verbessern. „Ein effektives ,Security Information and Event Management’ (SIEM) ist dabei ebenso wichtig wie ein funktionierendes ,Incident Management’“, so Langes Empfehlung.

Weitere Informationen zum Thema:

Deutscher Bundestag, 21.01.2025
Drucksache 20/14595: Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Konstantin Kuhle, Renata Alt, Christine Aschenberg-Dugnus, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 20/14166 – Hybride Angriffe und Desinformation im Vorfeld der Bundestagswahl

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

[datensicherheit.de, 08.02.2025] In Expertenkreisen gilt das Gesetzgebungsverfahren zur NIS-2-Umsetzung in Deutschland vorerst als gescheitert: Volker Scholz, „Information Security Architect“ bei Axians, rät in seiner Stellungnahme den betroffenen Unternehmen indes, die somit gewonnene Zeit dringend zu nutzen anstatt abzuwarten. Diese EU-Richtlinie gelte nämlich bereits – und sobald das nationale Gesetz schließlich doch in Kraft tritt, seien dann die Anforderungen sofort umzusetzen, also ohne weitere Übergangsfrist. Cyber-Sicherheit sollte nicht als bürokratische Hürde, sondern als Chance verstanden werden, so auch Scholz’ Forderung. „Wer jetzt schon gezielt Maßnahmen ergreift, profitiert langfristig und kann sich einen Wettbewerbsvorteil sichern.“ Fünf Schritte seien jetzt für Unternehmen entscheidend und Entscheider sollten diese neue Verantwortung ernst nehmen.

Foto: Axians

Volker Scholz: Wer frühzeitig mit der NIS-2-Anpassung der internen Prozesse beginnt, hat später weniger Aufwand!

Insbesondere KMU sollten nicht auf das Wirksamwerden des NIS-2-Umsetzungsgesetzes warten

Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS-2-Umsetzungsgesetz in dieser Legislaturperiode sorge derzeit für Schlagzeilen und Verunsicherung. Für die meisten Unternehmen bestehe dazu jedoch kein Anlass: „Nur etwa ein Prozent der Unternehmen sind in Deutschland direkt betroffen, durch ihre Einbindung in die Lieferkette können es insgesamt bis zu sieben Prozent sein.“ Es handele sich dabei um Konzerne und KMU, „die Kritische Infrastrukturen betreiben oder in Kritischen Wirtschaftssektoren tätig sind, sowie um wichtige Zulieferer“.

Mittelständische und kleinere Unternehmen sollten jedoch nicht auf das Wirksamwerden des NIS-2-Umsetzungsgesetzes warten, denn die geforderten Risikomaßnahmen der Richtlinie seien bereits seit Jahren bekannt und nicht Gegenstand der aktuellen politischen Diskussionen. „Eine solide Sicherheitsstrategie ist auch unabhängig von regulatorischen Vorgaben sinnvoll, um wirtschaftliche Risiken zu minimieren!“

Die Gründe für das Scheitern des Gesetzgebungsverfahrens zum NIS-2-Umsetzungsgesetz seien vielfältig. Fest stehe jedoch: „Wegen der anstehenden Bundestagswahl kann ein neues nationales Gesetz erst von der neuen Regierung – also frühestens Ende 2025 – verabschiedet werden.“ Aber auch ohne ein neues Gesetz gelte die NIS-2-Richtlinie bereits in der EU. Scholz warnt: „Wer jetzt nicht handelt, verspielt wertvolle Zeit, die er für die Umsetzung der Vorgaben schon nutzen könnte. Denn mit Wirksamwerden des NIS-2-Umsetzungsgesetzes müssen die Maßnahmen bereits umgesetzt sein. Eine Übergangsfrist ist nicht vorgesehen.“

NIS-2-Anforderungen seit 2022 bekannt

Die zugrundeliegende EU-Richtlinie sei seit 2022 bekannt und ihre Risikomaßnahmen blieben bestehen. Die Verzögerung bis mindestens Ende 2025 biete nun eine gute Gelegenheit, sich angemessen vorzubereiten. Geforderte Maßnahmen wie Risikomanagement, „Incident Response“ und „Business Continuity“ entsprächen bereits seit Jahren dem sogenannten Stand der Technik und seien keine neuen Konzepte, sondern bewährte Praktiken. Die entscheidende Neuerung sei die ausdrückliche gesetzliche Verantwortung der Geschäftsleitung für die Umsetzung der Maßnahmen.

Scholz betont: „Führungskräfte sollten sich bewusst sein, dass ,Cyber Security’ nicht mehr nur eine technische Herausforderung ist, sondern eine strategische Aufgabe auf Managementebene. Unternehmen, die bereits mit Standards wie ISO 27001 oder dem BSI-Grundschutz arbeiten, werden feststellen, dass sie viele der Anforderungen schon heute erfüllen.“ Jetzt gehe es darum, diese Standards im Hinblick auf NIS-2 zu schärfen und die gesamte Organisation für Cyber-Security-Risiken zu sensibilisieren.

„Wer schon heute Prozesse etabliert, kann sich einen Wettbewerbsvorteil verschaffen – denn Cyber-Sicherheit ist nicht nur eine gesetzliche Pflicht, sondern auch ein Qualitätsmerkmal.“ Zudem falle es Betroffenen leichter, sich auf zukünftige Anforderungen einzustellen, „wenn sie sich bereits mit den Grundlagen von NIS-2 vertraut gemacht haben“.

5 Tipps zur Vorbereitung betroffener Unternehmen auf NIS-2-Umsetzung in Deutschland

Scholz empfiehlt Unternehmen, mit diesen fünf Schritten zu beginnen:

1. Durchführung einer Betroffenheitsanalyse
Falls nicht längst geschehen, sollten Unternehmen abklären, ob sie direkt oder indirekt betroffen sind, um gezielte Maßnahmen zu ergreifen.

2. Etablierung einer Sicherheitsorganisation
Verantwortlichkeiten für Cyber-Sicherheit gelte es zu definieren und sicherzustellen, dass die Geschäftsleitung involviert ist.

3. Entwicklung von Meldeprozessen
Klare Strukturen für „Incident Response“ und Meldungen an das BSI müssen festgelegt werden, um auf Vorfälle vorbereitet zu sein.

4. Identifizierung der IT-Risiken
Ein strukturiertes „Asset Management“ sei aufzubauen und Sicherheitsrisiken sollten systematisch bewertet werden.

5. Vorbereitung von Notfallplänen und der „Business Continuity“
Strategien sollten entwickelt werden, um geschäftskritische Prozesse auch bei IT-Ausfällen aufrechtzuerhalten und die Resilienz zu stärken.

„Implementation Acts“ bringen bereits exemplarisch Klarheit – so z.B. die Anforderungen zu NIS-2 für IT-Dienstleister

Aktuell lägen bereits zwei „Implementation Acts“ der EU und der Mitgliedsstaaten vor, welche die Anforderungen zu NIS-2 für IT-Dienstleister und zur Meldung von schwerwiegenden Sicherheitsvorfällen konkretisierten. Es sei davon auszugehen, dass auch weitere branchenspezifische Anforderungen in neuen „Implementation Acts“ spezifiziert würden.

Das sollte Unternehmen aber nicht davon abhalten, bereits jetzt grundlegende Maßnahmen umzusetzen. Sie seien gut beraten, die Verzögerung als Chance zu nutzen, anstatt in Unsicherheit und Stillstand zu verfallen.

Abschließend gibt Scholz zu bedenken: „Externe Dienstleister wie Axians helfen Ihnen gerne, sich NIS-2-konform aufzustellen. Wer frühzeitig mit der Anpassung der internen Prozesse beginnt, hat später weniger Aufwand.“

Weitere Informationen zum Thema:

NIS2-Navigator
Aktueller Stand: NIS2-Umsetzungsgesetz (NIS2UmsuCG)

OpenKRITIS
NIS2 Umsetzungsgesetz

Bundesamt für Sicherheit in der Informationstechnik
Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft / Erste Informationen für voraussichtlich betroffene Unternehmen

bitkom
Nationale Umsetzung der NIS-2-Richtlinie / Handlungsempfehlungen aus Sicht der Digitalwirtschaft

axians DEUTSCHLAND
NIS2 in der Praxis: Schutz vor Cyberbedrohungen / NIS2 ist seit Anfang 2023 in Kraft. Bis Oktober 2024 muss sie in nationales Recht umgesetzt werden. Sind Sie betroffen? Axians unterstützt Sie bei der Umsetzung.

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

[datensicherheit.de, 07.02.2025] Die Verantwortung für die Cyber-Sicherheit der Unternehmen ist häufig beim IT-Management ansiedelt, selten indes im Vorstand oder bei der Geschäftsführung – dies ist demnach eine Erkenntnis aus dem aktuellen „Cyber Security Report DACH“ des Sicherheits­­unternehmens Horizon3.ai. Dennis Weyel, dessen „International Technical Director“ mit Zuständigkeit für Europa, zeigt sich verwundert: „Den meisten Vorständen oder Geschäftsführern scheint gar nicht klar zu sein, dass sie ohne Wenn und Aber persönlich in der Haftung stehen, wenn es durch einen ernsthaften Cyber-Angriff etwa zu einer Betriebsunterbrechung kommt, personenbezogene Daten entwendet werden oder schlimmstenfalls sogar Insolvenz angemeldet werden muss!“

Oberste Leitungsebene über alle Branchen hinweg sollte regelmäßig die Cyber-Resilienz ihrer Einrichtungen überprüfen

Angesichts von täglich mehr als 4.000 Attacken allein auf deutsche Unternehmen, wie es aus dem letzten Lagebericht des Bundesamtes für Informations­sicherheit (BSI) hervorgehe, sei diese „Blindheit gegenüber der Verantwortung“ als „grob fahrlässig“ einzustufen.

Er empfiehlt daher der Obersten Leitungsebene über alle Branchen hinweg Weisung zu geben, mindestens einmal im Monat oder sogar wöchentlich durch sogenannte Penetrationstests („Pentest“) – im Finanzsektor von der EZB als „Stresstest“ bezeichnet – die Cyber-Resilienz ihrer Firmen überprüfen zu lassen.

Laut „Cyber Security Report DACH“ liege die Verantwortung für die IT-Sicherheit in den Unternehmen beim – in dieser Reihenfolge – „Chief Technology Officer“ (CTO, 24% der Firmen), „Chief Information Officer“ (CIO, 18%) bzw. IT-Einkaufsleiter (18%), Leiter der Abteilung „Digitales“ (15%), „Chief Information Security Officer“ (CISO, 13%) oder Manager für „Risiko und Compliance“ (7%). Ein knappes Zehntel (9%) habe den Verantwortungsbereich „IT-Sicherheit“ an eine externe Beratungsfirma gegeben. „In Wahrheit liegt die Verantwortung im Fall der Fälle aber bei allen Vorständen oder allen Geschäfts­führern!“, unterstreicht Weyel nachdrücklich.

2024 über 200 Milliarden Euro Schaden durch Cyber-Kriminalität

„In der Umfrage erklärte beinahe die Hälfte (48%), dass sie sich der persönlichen Haftung auf Top-Managementebene bewusst seien. Ein Drittel gab sich von dieser Rechtsposition überrascht, zwölf Prozent behaupteten, von dieser Haftung ,noch nie gehört’ zu haben“, berichtet Weyel. Den mit Cyber-Kriminalität verbundenen Schaden habe ein gutes Drittel (34%) auf 100 bis 200 Milliarden Euro allein in Deutschland geschätzt – 28 Prozent seien von 200 bis 300 Milliarden Euro Schadenshöhe ausgegangen, 22 Prozent von 50 bis 100 Milliarden Euro, und 15 Prozent von weniger als 50 Milliarden Euro. Damit lägen knapp zwei Drittel der Befragten in der Größenordnung richtig: „Der IT-Branchen­verband geht von etwas über 200 Milliarden Euro Schadenssumme im letzten Jahr aus.“

„Obgleich dem Gros der Führungskräfte das Gefahrenpotenzial und ihre persönliche Haftung bewusst sind, gehen sie vergleichsweise lax damit um“, kommentiert Weyel und spekuliert: „Möglicherweise gehen viele Top-Manager davon aus, dass ihre ,D&O’-Versicherung zusammen mit einer Cybercrime-Versicherung schon für alle eventuellen Schäden aufkommen werden. Doch wenngleich beide Versicherungen sinnvoll sind, ist eine Schadens­regulierung im Fall der Fälle mitnichten per se gegeben!“

Eine ausreichende Absicherung vor Hacker-Angriffen und der Nachweis, dass Cyber-Attacken tatsächlich ins Leere laufen, stellten in der Regel eine wesentliche Grundlage für derartige Versicherungen dar. Spätestens bei möglichen Compliance-Verstößen etwa gegen die Netzwerk- und Informationssicherheitsrichtlinie der Europäischen Union (NIS-2) sei die Assekuranzfrage sicherlich alles Andere als geklärt.

NIS-2 betrifft Cyber-Sicherheit der gesamten Lieferkette

Rund 30.000 Unternehmen in Deutschland seien nun von den NIS-2-Bestimmungen betroffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe eigens eine Website eingerichtet, auf der Firmen prüfen könnten, ob sie darunter fallen. Weyel gibt zu bedenken: „Daher umfasst NIS-2 die gesamte Lieferkette. Fällt nur ein einziges Unternehmen in einer solchen Kette unter die NIS-2-Regelungen, dann gelten diese im Grunde für alle Firmen innerhalb der Kette.“ Er gibt hierzu ein Beispiel: „Wenn eine Firma ein Krankenhaus auf der Kundenliste stehen hat, dann ist sie betroffen, weil die Klinik als Kritische Infrastruktur eingestuft wird.“

Das deutsche Gesetz zur Umsetzung der Revision der Netzwerk- und Informationssicherheits­richtlinie („NIS-2UmsuCG“) unterscheide zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Zur ersten Kategorie gehörten die Betreiber versorgungskritischer Anlagen ab einer bestimmten Versorgungsgröße wie beispielsweise große Telekommunikationsnetzbetreiber und Teile der Bundesverwaltung. Unter die zweite Kategorie fielen Firmen ab einer gewissen Mindestgröße aus den Sektoren Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, digitale Infra­struktur und Weltraum sowie zusätzlich Unternehmen der Abfallwirtschaft, der Chemieindustrie, der Lebensmittelwirtschaft, bestimmte Produkthersteller wie für Medizinprodukte oder IT-Geräte, Maschinen- und Fahrzeugbauer sowie Forschungseinrichtungen.

Weyel warnt: „Wer meint, dass nur die jeweils betriebskritischen IT-Systeme betroffen sind, irrt gewaltig!“ Er verweist abschließend darauf, dass in der Gesetzesbegründung ausdrücklich festgelegt sei, dass darunter „sämtliche Aktivitäten der Einrichtung, für die IT-Systeme eingesetzt werden“ fielen, also beispielsweise auch der übliche Bürobetrieb oder die Buchhaltung.

Weitere Informationen zum Thema:

statista in Kooperation mit bitkom
Schäden durch Datendiebstahl, Industriespionage oder Sabotage in Deutschland im Jahr 2024

Bundesamt für Sicherheit in der Informationstechnik
NIS-2-Betroffenheitsprüfung

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 29.11.2024
NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein / Inzwischen ist mit einer NIS-2-Umsetzung nicht vor Herbst 2025 zu rechnen

datensicherheit.de, 25.11.2024
Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an / Ende der „Ampel“-Koalition darf nicht zur weiteren Verzögerung führen

[datensicherheit.de, 20.01.2025] Laut einer aktuellen Veeam-Studie zur NIS-2-Richtlinie zeichnet sich „ein ernüchterndes Bild der IT-Sicherheitslage in deutschen Unternehmen“ ab: Während sich 70 Prozent der befragten Firmen gut auf die neue EU-Richtlinie vorbereitet fühlten, seien nur 37 Prozent von ihnen nach eigener Angabe tatsächlich konform zur NIS-2. Diese eklatante Diskrepanz zwischen Selbstwahrnehmung und Realität sei bezeichnend für den oftmals leider noch zu laxen Umgang vieler Organisationen mit Cyber-Sicherheit und vor allem im KRITIS-Bereich bedenklich.

Foto: Veeam

Matthias Frühauf adressiert angesichts NIS-2 die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz

87 Prozent hatten in den vergangenen zwölf Monaten mindestens einen durch NIS-2-Maßnahmen vermeidbaren Vorfall

Matthias Frühauf, „Regional Vice President EMEA Central“ bei Veeam, kommentiert: „Auch die Zahlen zu Sicherheitsvorfällen sind alarmierend: 87 Prozent der Teilnehmer räumen ein, dass sie in den vergangenen zwölf Monaten mindestens einen Vorfall erlebt haben, der durch NIS-2-Maßnahmen vermeidbar gewesen wäre.“ Mehr als ein Drittel – konkret 38 Prozent – berichte sogar von drei bis vier solcher Vorfälle. Wenn zudem 57 Prozent dieser Vorfälle als „hochgradig kritisch“ eingestuft würden, verdeutliche dies die dramatische Bedrohungslage für deutsche Unternehmen.

Geradezu fahrlässig erscheine vor diesem Hintergrund die aktuelle Budget-Entwicklung: „44 Prozent der IT-Sicherheitsverantwortlichen berichten von Kürzungen, weitere 22 Prozent von stagnierenden Budgets seit der NIS2-Ankündigung im Januar 2023.“ Diese Zahlen offenbarten ein gefährliches Missverständnis auf Führungsebene: „Datenresilienz und damit Cyber-Sicherheit werden noch immer als optionaler Kostenfaktor statt als geschäftskritische Investition in die Wettbewerbsfähigkeit des Unternehmens gewertet.“

Veraltete Technologien als Haupthindernis auf dem Weg zur NIS-2-Compliance

Die technischen Herausforderungen seien dabei zahlreich: „26 Prozent der Befragten nennen veraltete Technologien als Haupthindernis auf dem Weg zur NIS-2-Compliance, gefolgt von fehlendem Budget (24%) und organisatorischen Silos (23%).“

Am meisten beunruhigen sollte es Führungskräfte jedoch, wenn das eigene Unternehmen nicht über die sogenannte „letzte Verteidigungslinie“ verfüge: Nur 23 Prozent der befragten Sicherheitsexperten hätten fortgeschrittene Backup-Verfahren implementiert, die multiple, unveränderliche und offline gespeicherte Sicherungen anlegten und im Notfall so das Tagesgeschäft aufrechterhielten. In Zeiten zunehmender Ransomware-Attacken und Betriebsausfälle durch Malware-Infektionen sei es schlicht existenzgefährdend, „wenn Backup- und Recovery-Maßnahmen fehlen“.

Mit der NIS-2-Richtlinie wird Cyber-Sicherheit zwangsläufig zum heißen Thema auf C-Level

Die verhaltenen Erwartungen an NIS-2 spiegelten außerdem eine besorgniserregende Grundhaltung wider: Nur 51 Prozent der deutschen Befragten glaubten, dass die Richtlinie Unternehmen in ihrer Widerstandsfähigkeit gegen Ransomware stärken werde – der niedrigste Wert im internationalen Vergleich. 14 Prozent befürchteten sogar eine Verschlechterung ihrer Cyber-Sicherheit. Diese Skepsis sei jedoch keine Legitimation, notwendige Investitionen aufzuschieben. Mit der NIS-2-Richtlinie werde Cyber-Sicherheit zwangsläufig zum heißen Thema auf C-Level, denn sie mache Geschäftsführer und Vorstände bei Datenschutzverletzungen persönlich haftbar.

Die Konsequenzen mangelnder Sicherheit seien weitreichend: Neben empfindlichen Geldbußen drohten massive Reputationsschäden, Vertrauensverlust bei Kunden und verheerende Geschäftsausfälle. „Die Tatsache, dass 88 Prozent der IT-Verantwortlichen bereits externe Hilfe in Form von Audits, Beratern oder IT-Dienstleistern in Anspruch genommen haben, unterstreicht die enorme Komplexität der Anforderungen.“

Verbleibende Zeit bis zur NIS-2-Deadline zwingend für grundlegende Überprüfung und Neuausrichtung der Datenresilienz-Strategie nutzen!

„Unternehmen stehen dabei vor multiplen Herausforderungen: Neben NIS-2 nennen sie Profitabilität (29%), Fachkräftemangel (22%) und weitere Compliance-Anforderungen wie DSGVO, den ,Cyber Resilience Act’ (CRA) oder DORA (22%) als wesentliche Druckfaktoren.“ Dies verdeutliche die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz, der sowohl technische als auch organisatorische und regulatorische Anforderungen vereine.

„Die verbleibende Zeit bis zur NIS-2-Deadline muss zwingend für eine grundlegende Überprüfung und Neuausrichtung der Datenresilienz-Strategie genutzt werden!“, betont Frühauf. Er führt hierzu weiter aus: „Die Implementierung moderner Backup- und Recovery-Lösungen, die Schulung von Mitarbeitern, die Auflösung organisatorischer Silos und eine Infrastruktur, die flexible Datenportabilität ermöglicht, sind dabei nicht verhandelbar!“ Die Investitionen in präventive Maßnahmen verblassten gegenüber den potenziellen Schäden eines erfolgreichen Cyber-Angriffs. Datenresilienz sei nun ein Grundpfeiler unternehmerischer Existenzsicherung im Digitalen Zeitalter. Abschließend gibt Frühauf zu bedenken: „Der Handlungsbedarf ist dringend, die Risiken sind real, doch robuste Lösungen sind verfügbar. Jetzt sind mutige Entscheidungen und konsequentes Handeln auf Führungsebene gefragt. ,Data Intelligence’ sollte das Leitmotiv sein, die eigene Ausfallsicherheit deutlich zu verbessern.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2024
Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an / Ende der „Ampel“-Koalition darf nicht zur weiteren Verzögerung führen

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

[datensicherheit.de, 04.12.2024] Der eco – Verband der Internetwirtschaft e.V. hat sich in einer aktuellen Stellungnahme abermals der Vorratsdatenspeicherung gewidmet, denn die aktuelle Bundestags-Tagesordnung zeigt demnach, dass zahlreiche dringende digitalpolitische Themen noch vor Ende der Legislaturperiode entschieden werden sollen. Darunter fällt laut eco auch die erneut aufkeimende Diskussion zur IP-Adress-Speicherung – ein Thema, welches aus eco-Sicht jetzt „endgültig beseitigt“ werden müsse.

Bild: eco

eco-Vorstandsvorsitzender Oliver Süme: Bundesregierung sollte die verbleibende Zeit nutzen, um endlich eine rechtskonforme und bürgerrechtsfreundliche Alternative zur Vorratsdatenspeicherung zu schaffen!

eco fordert von der Bundesregierung, die grundrechtlich problematische Speicherung von IP-Adressen nicht weiterzuverfolgen

„Die Bundesregierung sollte die verbleibende Zeit nutzen, um endlich eine rechtskonforme und bürgerrechtsfreundliche Alternative zur Vorratsdatenspeicherung zu schaffen“, fordert der eco-Vorstandsvorsitzende, Oliver Süme. Er führt hierzu aus: „So kann die Sicherheit im Internet auch durch alternative und rechtsstaatliche Maßnahmen gewährleistet werden, ohne die Privatsphäre der Bürgerinnen und Bürger zu gefährden.”

Süme appelliert an den Bundestag, die grundrechtlich problematische Speicherung von IP-Adressen nicht weiterzuverfolgen: „Das ,Quick Freeze’-Verfahren, auf das sich die Koalition verständigt hat, ist der einzig rechtskonforme Weg. Es ist unverzichtbar, dass alle Beteiligten diese Linie einhalten und die EU-rechtlichen Vorgaben konsequent umsetzen!“

Das „Quick Freeze“-Verfahren sehe vor, dass Verkehrsdaten anlassbezogen „eingefroren“ und nur bei einem konkreten Verdacht auf richterliche Anordnung hin ausgewertet würden. Dies biete aus Sicht der Internetwirtschaft einen stärkeren Ausgleich zwischen effektiver Strafverfolgung und dem Schutz der Vertraulichkeit der Kommunikation. „Wir fordern zudem die vollständige Aufhebung der bestehenden Regelungen zur Vorratsdatenspeicherung“, unterstreicht Süme. Dies wäre endlich ein klares Signal für den Schutz der Bürgerrechte im Digitalen Raum.

eco sieht dringenden Handlungsbedarf bei zentralen Gesetzesvorhaben

Neben der Debatte um die Vorratsdatenspeicherung drängt der eco nach eigenen Angaben darauf, weitere zentrale Vorhaben für die digitale Sicherheit und Wettbewerbsfähigkeit Deutschlands voranzutreiben. Dazu gehörten insbesondere das KRITIS-Dachgesetz, das Mobilitätsdatengesetz und die Umsetzung der NIS-2-Richtlinie.

Deutschland steht hierbei besonders unter Druck: Wegen der verspäteten Umsetzung der NIS-2-Richtlinie habe die Europäische Kommission bereits ein Vertragsverletzungsverfahren eingeleitet.

„Der Bundestag hat jetzt noch die letzte Chance, wichtige Weichen für die digitale Zukunft Deutschlands zu stellen“, so Süme und rät abschließend: „Die Bundesregierung muss jetzt die NIS-2-Richtlinie in Deutschland umsetzen!“ Die bereits verstrichene Frist zur Umsetzung sorge nämlich für „große Unsicherheit bei zigtausenden Unternehmen“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.11.2024
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen / Der DAV kritisiert erneuten Vorstoß des Bundesrates zur Massenüberwachung

datensicherheit.de, 11.04.2024
Quick-Freeze statt Vorratsdatenspeicherung: Einigung scheint möglich / Das Quick-Freeze-Verfahren würde nun endlich einen bürgerrechtskonformen Rechtsrahmen setzen

datensicherheit.de, 10.09.2023
Bundesverwaltungsgericht: Anlasslose und flächendeckende Vorratsdatenspeicherung vollständig europarechtswidrig / eco-Verband fordert Bundesregierung zur endgültigen Aufhebung der Vorratsdatenspeicherung auf

datensicherheit.de, 27.10.2022
Vorratsdatenspeicherung noch lange nicht vom Tisch, warnt Patrycja Schrenk nach EuGH-Urteil / Schrenk begrüßt Urteil und Vorschlag zu Quick Freeze

datensicherheit.de, 26.10.2022
Statt Vorratsdatenspeicherung: Bundesjustizminister macht Quick-Freeze-Vorschlag – eco-Vorstandsvorsitzender kommentiert / Der eco hat stets die vom EuGH kürzlich als europarechtswidrig eingestufte Vorratsdatenspeicherung kritisiert

[datensicherheit.de, 03.12.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V. lädt zum Abschluss des Veranstaltungsjahres 2024 zu einem Präsenz-Treffen mit dem Thema „NIS-2 kompakt: Was ist zu tun? Status, Recht und Technik“ in Berlin ein: „Mit der nationalen Umsetzung der NIS-2-Richtlinie kommen auf viele Unternehmen gesetzliche Anforderungen zur Informationssicherheit zu. In einem kompakten Format nähern wir uns diesem großen Thema aus drei Richtungen:

• mit Berichten aus der noch nicht abgeschlossenen Gesetzgebung,
• mit der Frage, wer betroffen ist und wer möglicherweise indirekt über Lieferketten betroffen ist,
• mit Überlegungen, welche bestehenden Aktivitäten in der Informationssicherheit Unternehmen für NIS-2 wiederverwerten können“

Abbildung: it’s.BB e.V.

„NIS-2 kompakt…“ – Teilnehmerzahl begrenzt, Anmeldung erforderlich bis 13.12.2024, 14 Uhr (s.u.)

„NIS-2 kompakt: Was ist zu tun? Status, Recht und Technik“

Mittwoch, 18. Dezember 2024, 15.30 bis 18.00 Uhr (Einlass ab 15 Uhr)
Internationaler Club im Auswärtigen Amt (im Restaurant des ICAA)
Kurstraße 36 in 10117 Berlin

Die Veranstaltung wird aufgezeichnet: Wer nicht im Video nicht erscheinen möchte, sendet dem Veranstalter eine kurze Nachricht.

Agenda (ohne Gewähr)

15.00-15.30 Uhr Einlass und Begrüßung
– Christian Köhler, NKMG mbH & Vorstandsvorsitzender it’s.BB e.V.

15.30-16.00 Uhr „NIS-2 – Ein Blick auf den Stand des Gesetzgebungsprozesses“
– Prof. Timo Kob, Vorstand HiSolutions AG

16.15-16.45 Uhr „NIS-2-konforme Lieferkette: Vereinbarungen mit Kunden und Zulieferern treffen und managen“
– Karsten U. Bartels LL.M., Rechtsanwalt, Partner HK2 Rechtsanwälte

17.00-17.30 Uhr „Alles neu für NIS-2? Was sich aus bestehenden Managementsystemen und Zertifizierungen übernehmen lässt“
– Dr. Jörg Schneider, Senior Expert HiSolutions AG

17.30-18.00 Uhr Fragen / Diskussion / Abschluss

Zur Anmeldung:

eventbrite
it’s.BB-Awareness-Veranstaltung / Mittwoch, 18. Dezember / NIS-2 kompakt: Was ist zu tun? Status, Recht und Technik