[datensicherheit.de, 06.08.2025] Derweil noch viele mittelständische Unternehmen auf der Suche nach der passenden IT-Sicherheitsstrategie sind, wird das Umfeld offenkundig immer komplexer: Neue Regulierungen wie NIS-2 oder DORA erhöhten den Druck – gleichzeitig fehlten intern häufig die nötigen Ressourcen, Strukturen oder klaren Zuständigkeiten. Im Ergebnis bleibe die IT-Sicherheit Stückwerk – und dies in zunehmend digitalisierten Geschäftsmodellen. Maurice Kemmann, Geschäftsführer der Cosanta GmbH, Teil der plusserver-Gruppe, betont in seiner aktuellen Stellungnahme, dass es dabei funktionierende Vorbilder gebe. Unternehmen aus dem KRITIS-Sektor seien seit Jahren dazu verpflichtet, hohe Sicherheitsstandards umzusetzen: Dies umfasse klare Rollen, durchdachte Prozesse und ein gelebtes Notfallmanagement. Fünf dieser Prinzipien lassen sich demnach direkt auf mittelständische Strukturen übertragen – und zwar ganz ohne Konzernbudgets.

Foto: plusserver

KRITIS-Betriebe als funktionierende Vorbilder für IT-Sicherheit – auch für den Mittelstand

In vielen mittelständischen Unternehmen läuft IT-Sicherheit noch zu sehr unter dem Radar

Kemmann führt aus: „In vielen mittelständischen Unternehmen läuft das Thema IT-Sicherheit noch zu sehr unter dem Radar. Es fehlen zum Beispiel klare Rollenverteilungen, die nötige Transparenz sowie definierte Notfallpläne. Es gibt jedoch funktionierende Vorbilder aus dem KRITIS-Bereich und fünf Prinzipien, die sich sofort übernehmen lassen.“

• In puncto Cybersicherheit navigierten viele mittelständische Unternehmen im „Blindflug“. Laut einer Deloitte-Studie vom April 2025 fehlten 45 Prozent der befragten Unternehmen einheitliche Standards und konkrete Leitlinien für ihre Sicherheitsstrategie. Trotz wachsender Bedrohungslage mangele es oft an einem strategischen Kompass – und das in zunehmend digitalisierten Geschäftsmodellen.

Der Mittelstand stehe vor einer doppelten Herausforderung: „Einerseits wächst der Druck durch neue Vorgaben wie NIS-2 oder DORA, andererseits fehlen intern Zeit, Ressourcen und Fachwissen für eine tragfähige Sicherheitsarchitektur.“ Umso wichtiger sei es, sich an funktionierenden Vorbildern zu orientieren, statt das „Security-Rad“ neu zu erfinden.

5 entscheidende Prinzipien für IT-Sicherheit in der Praxis von KRITIS-Unternehmen als Vorbild

Eine solche Orientierung biete der KRITIS-Sektor. „Dort ist professionelles Sicherheitsmanagement bereits gelebte Praxis“, unterstreicht Kemmann. Die Prozesse gingen oft über die gesetzlichen Mindestanforderungen hinaus.

• Sie seien keine Konzern-Spezifika, sondern vielfach modular übertragbar. „Das gilt gerade für mittelständische Unternehmen mit begrenzten Ressourcen.“

Nachfolgend ausgeführte fünf Prinzipien haben sich laut Kemmann in der Praxis von KRITIS-Unternehmen als entscheidend erwiesen und könnten auch im Mittelstand den Unterschied in IT-Sicherheitsfragen machen:

1. KRITIS-Prinzip: IT-Sicherheit keine IT-, sondern Führungsaufgabe!

Was in jedem Unternehmen Standard sein sollte, sei im KRITIS-Sektor bereits gang und gäbe: IT-Sicherheit sei kein untergeordnetes Thema der IT-Abteilung, sondern fest in die Gesamtstrategie integriert. Es gebe einen guten Grund dafür, „denn wenn Ausfälle das Leben gefährden oder staatliche Versorgung beeinträchtigt werden könnte, müssendie Rollen klar verteilt sein“.

• „,Governance‘, Verantwortlichkeiten und Budgets sind auf C-Level verankert.“ Der Mittelstand könne genau dort ansetzen. Laut Deloitte sähen zwar 73 Prozent der Unternehmen IT-Sicherheit als zentrale Aufgabe, doch nur ein kleiner Teil verankere sie operativ im Management.

Ein umfassender organisatorischer Umbau sei dafür oft gar nicht nötig: „Es reicht, Verantwortung sichtbar darzustellen, Entscheidungswege zu klären und das Thema ins Reporting zu holen. Ganz wie es KRITIS-Betriebe vormachen.“

2. KRITIS-Prinzip: Monitoring mehr als eine Alarmglocke – nämlich „Business Intelligence“!

KRITIS-Unternehmen verließen sich nicht mehr auf einfache Schwellenwert-Warnsysteme, sondern auf intelligentes Monitoring mit Korrelationen, Heuristiken und Anomalieerkennung.

• „Dieses Monitoring ist nicht reaktiv, sondern lernend. Es beobachtet, klassifiziert und bewertet kontinuierlich. Sie setzen automatisierte Systeme ein, die kontinuierlich große Mengen an Log- und Netzwerkdaten auswerten.“

Laut Deloitte seien im Mittelstand hingegen nur 26 Prozent der Unternehmen in der Lage, verdächtige Aktivitäten zeitnah zu erkennen. Erprobte Monitoring-Konzepte aus dem KRITIS-Bereich ließen sich modular übernehmen und böten auch Mittelständlern Sichtbarkeit.

3. KRITIS-Prinzip: Partnerschaftliche Sicherheit bindet Dienstleister ein!

In der KRITIS-Welt hätten externe Sicherheitsanbieter einen festen Platz in der Sicherheitsarchitektur – als Sparringspartner, Systemarchitekten und Krisenmanager. Dieses partnerschaftliche Modell sei auch für den Mittelstand essenziell.

• Statt reiner Produktlieferung unterstützten viele Dienstleister Unternehmen ganzheitlich – von der Architekturplanung über die Auswahl und Integration bis hin zu Betrieb und Weiterentwicklung.

„Solche Kooperationen eröffnen nicht nur Zugang zu aktuellem Know-how, sondern entlasten interne Ressourcen gezielt und fördern eine strategische Weiterentwicklung der Sicherheitsorganisation.“ Ein entscheidender Vorteil – gerade angesichts des Fachkräftemangels.

4. KRITIS-Prinzip: SOC Rückgrat moderner Sicherheitsarchitektur!

Viele Unternehmen assoziierten ein „Security Operations Center“ (SOC) mit Komplexität und hohen Kosten. Im KRITIS-Bereich sei das SOC – intern oder als „Managed Service“ – hingegen bereits etabliert.

• Es bilde das Rückgrat für Frühwarnung, Ereignisanalyse und orchestrierte Reaktion auf Angriffe.

Nicht die Größe, sondern die Wirksamkeit zähle. Bewährte Dienstleistungsmodelle machten SOCs auch für kleinere Unternehmen realisierbar und erschwinglich.

5. KRITIS-Prinzip: Notfallpläne als gelebte Betriebspraxis!

„Unternehmen in der KRITIS-Kategorie verfügen im Ernstfall über klare Notfallpläne, die regelmäßig getestet, trainiert und aktualisiert werden.“

• Solche Pläne definierten „Recovery“-Ziele (RTO/RPO), Eskalationswege, Rollen und Replikationsmechanismen. Durch praxisnahe Übungen und regelmäßige Audits werde sichergestellt, „dass das Notfallmanagement gelebte Praxis wird“.

Ein IT-Ausfall betreffe schließlich auch andere Bereiche – wie Logistik, Kommunikation, Personal und Kunden.

Vom IT-Nachzügler zum -Vorreiter in Sicherheitsfragen

KRITIS-Unternehmen zeigten, wie IT-Sicherheit als strategisches Fundament funktioniert:

• mit klaren Zuständigkeiten, durchdachten Prozessen und starken Partnern.

Der Mittelstand müsse nicht bei null beginnen. „Wer bewährte Methoden übernimmt und anpasst, kann Sicherheitsdruck in Zukunftsfähigkeit umwandeln“, gibt Kemmann abschließend zu bedenken.

Weitere Informationen zum Thema:

Cosanta
Über Cosanta – Ihr Managed Security Service Provider

Deloitte, Research, 15.04.2025
Cybersecurity im Mittelstand / Steigende Cyber-Bedrohung, erhöhtes Risikobewusstsein, verbleibende Lücken: Die Einschätzungen deutscher Mittelständler

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 01.08.2025] Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie werde das deutsche IT-Sicherheitsrecht umfassend modernisiert und der angespannten Bedrohungslage im Cyberraum Rechnung getragen – dem Bundesamt für Sicherheit in der Informationstechnik (BSI) fällt dabei nach eigenen Angaben „eine Schlüsselrolle“ zu.

Foto: BMI, Hennig Schacht

Claudia Plattner: Das BSI unterstützt Unternehmen mit Beratungsangeboten und wird die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten

Im Zuge der NIS-2-Umsetzung wird das BSI künftig rund 29.500 Einrichtungen beaufsichtigen

Der Gesetzesentwurf sieht demnach unter anderem vor, das BSI-Gesetz (BSIG) zu novellieren und den Kreis der regulierten Organisationen um die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ zu erweitern.

• Bislang waren laut BSI ca. 4.500 Einrichtungen vom BSIG erfasst: Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit der Erweiterung werde das BSI künftig rund 29.500 Einrichtungen beaufsichtigen, für die neue gesetzliche Pflichten in der IT-Sicherheit greifen.

So müssten sich etwa „besonders wichtige“ und „wichtige“ Einrichtungen registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren. Dazu zählten unter anderem Risikoanalysen, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation.

NIS-2-Richtlinie macht Cybersicherheit zur „Chefsache“

Zudem mache die NIS-2-Richtlinie Cybersicherheit zur „Chefsache“: Geschäftsführungen betroffener Einrichtungen seien dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen.

• Von Einrichtungen der Bundesverwaltung verlange der vorliegende Gesetzesentwurf, Mindestanforderungen der Informationssicherheit zu erfüllen, „die sich u.a. aus dem IT-Grundschutz-Kompendium des BSI und Mindeststandards für die Sicherheit in der Informationstechnik des Bundes ergeben“.

Die BSI-Präsidentin, Claudia Plattner, kommentiert: Mit dem Regierungsentwurf gehe Deutschland einen „wichtigen Schritt in Richtung einer resilienten Cybernation“. Um Wohlstand und Stabilität weiterhin sichern zu können, müssten Wirtschaft und Staat sich besser gegen Cybergefahren wappnen. Die Wirtschaft brauche dabei Planungssicherheit: „Unternehmen müssen schnell und rechtssicher feststellen können, ob sie von der NIS-2-Richtline betroffen sind.“

BSI-Webseite stellt interaktive NIS-2-Betroffenheitsprüfung online zur Verfügung

Plattner erläutert: „Das BSI unterstützt sie dabei mit Beratungsangeboten schon heute und wird die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten. Für den Cyberschutz des Staates ist der Regierungsentwurf ebenfalls ein wichtiger Meilenstein: Dass Einrichtungen der Bundesverwaltung BSI-Standards wie den IT-Grundschutz umsetzen, ist dafür wesentliche Voraussetzung.“

• Der stetig wachsenden Bedrohungslage im Cyberraum müsse besonders in der Bundesverwaltung zudem eine wirkungsvolle Antwort in Form einer robusten IT-Governance-Struktur entgegengesetzt werden. Diese Struktur sollte sich über alle Ressorts, Behörden und Institutionen der Bundesverwaltung erstrecken und dem Ziel dienen, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern.

Um Einrichtungen zu informieren, die potenziell von neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf einer BSI-Webseite veröffentlichten interaktiven NIS-2-Betroffenheitsprüfung.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
NIS-2-regulierte Unternehmen / Informationen für „besonders wichtige“ und „wichtige“ Einrichtungen

Bundesamt für Sicherheit in der Informationstechnik
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)

Bundesministerium des Innern, 30.07.2025
Stärkerer Schutz vor Cyberangriffen: Bundesregierung bringt neues IT-Sicherheitsgesetz auf den Weg / Rund 29.500 Unternehmen sollen aktiv zur Cybersicherheit beitragen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält mehr Möglichkeiten zur Unterstützung und Kontrolle.

datensicherheit.de, 31.07.2025
Bitkom-Forderung, das NIS-2-Umsetzungsgesetz nach der Sommerpause endgültig im Bundestag zu verabschieden / Das Bundeskabinett hat am 30. Juli 2025 das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung beschlossen

datensicherheit.de, 31.07.2025
NIS-2: eco begrüßt Kabinettsbeschluss – und moniert noch offene Fragen / Damit kehrt das Thema Cybersicherheit endlich auf die politische Bühne zurück – überfällig angesichts der sicherheitspolitischen Lage, so Ulrich Plate, Leiter der eco-Kompetenzgruppe „KRITIS“

datensicherheit.de, 30.07.2025
NIS-2: Nationales Umsetzungsgesetz soll Cybersicherheit der deutschen Wirtschaft stärken / Der TÜV-Verband begrüßt NIS-2-Umsetzung und fordert Nachbesserungen: Ausnahmeregelungen seien zu schärfen oder zu streichen, damit Unternehmen klare Vorgaben erhalten, wie Nachweise für die Umsetzung zu erbringen sind

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 10.02.2025
Cyber-Nation: TeleTrusT veröffentlicht Forderungskatalog zur Umsetzung des Konzeptes / Insbesondere Kommunikation, Kooperation und Koordination auf Basis gemeinsamer Grundwerte berührt – der TeleTrusT richtet zentrale Forderungen an die Stakeholder

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

[datensicherheit.de, 30.09.2024] Ein erstes Gesetz zur CyberSecurity innerhalb der Europäischen Union (EU), die sogenannte NIS Directive, wurde im Jahr 2016 in Kraft gesetzt und sollte für ein höheres und ausgeweitetes Niveau von Cyber-Sicherheit in Netzwerken und Informationssystemen sorgen. „Die NIS-Direktive sollte zunächst für die Bereiche Gesundheitssystem, Transport, Banken und Finanzmarkt, digitale Infrastruktur, Wasserversorgung, Energie sowie Anbieter von digitalen Dienstleistungen gelten“, erläutert Holger Fischer, „Director EMEA Central“ bei OPSWAT, in seiner aktuellen Stellungnahme und beschreibt die oft noch „holprige Realisierung der NIS2-Vorgaben“ und die dahinterstehenden Ziele. Diese NIS-Direktive habe insbesondere darauf abgezielt, ein hohes gemeinsames Niveau an CyberSecurity in allen Mitgliedstaaten der EU zu erreichen. Während sie zunächst die Fähigkeiten der Mitgliedsstaaten in Fragen der Cyber-Sicherheit habe verbessern können, habe sich jedoch ihre Umsetzung „insgesamt als schwierig“ erwiesen. Anstatt zu der angestrebten Vereinheitlichung sei es in der Praxis zu einer Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes gekommen.

Foto: OPSWAT

Holger Fischer: NIS-2 soll Art und Weise, wie die EU groß angelegte Sicherheitsvorfälle und -krisen verhindert, bewältigt und darauf reagiert, verbessern

Ersatz der alten NIS-Richtlinie, um damit Cyber-Sicherheitsanforderungen zu verstärken

Fischer führt weiter aus: „Im Dezember 2020 reagierte die EU-Kommission auf diese Situation mit einem neuen Vorschlag, der dann zur NIS-2-Richtlinie führte. Um auf die wachsenden Bedrohungen durch die Digitalisierung und die Zunahme von Cyber-Angriffen entschiedener reagieren zu können, wurde dann ein Entwurf vorgelegt, der die alte NIS-Richtlinie ersetzen und damit die Sicherheitsanforderungen verstärken sollte.“

NIS-2 ziele insbesondere darauf ab, die Sicherheit der Lieferketten zu verbessern, die Meldepflichten zu vereinfachen und strengere Aufsichtsmaßnahmen und Anforderungen zur Durchsetzung in der EU einzuführen, einschließlich EU-weit harmonisierter Sanktionen. Der erweiterte Geltungsbereichs von NIS-2, durch welchen nun mehr Unternehmen und Sektoren effektiv verpflichtet würden, entsprechende Maßnahmen zu ergreifen, sollte dazu beitragen, das Niveau der CyberSecurity im europäischen Geltungsbereich effektiv zu erhöhen.

Mit NIS-2 seien folgende Geltungsbereiche hinzugekommen: Provider von Netzwerken und Rechenzentren, Abfallkontrolle und -vernichtung, Raumfahrt, Produktion von Medikamenten und chemischen Stoffen, Dienstleistungen im Post- und Kurierbereich, Ernährungssysteme sowie öffentliche Verwaltung.

NIS-2-Richtlinie: Aspekte der praktischen Umsetzung

Mit ihren ausgeweiteten und strengeren Anforderungen verfolge die NIS-2-Richtlinie einen besonderen Ansatz zum Risikomanagement. Unternehmen müssten nun Kritische Systeme identifizieren, bei denen Cyber-Attacken einen besonderen Schaden anrichten könnten. „Sie sollen sich insbesondere darauf konzentrieren, in solchen Bereichen zusätzliche Sicherheitsmaßnahmen zu ergreifen, um Risiken zu reduzieren und die Möglichkeiten für angemessene Reaktionen zu erhöhen“, so Fischer.

Die NIS-2-Richtlinie betone ferner die Bedeutung von Maßnahmen zum Schutz der Sicherheit in der gesamten Lieferkette von Unternehmen: „Sie sollen zum Beispiel solche Sicherheitskontrollen in Betracht ziehen, die den externen Zugriff auf sensible Systeme und Informationen durch Dritte einschränken beziehungsweise verhindern. Außerdem soll sichergestellt werden, dass alle erforderlichen Sicherheitsstandards erfüllt werden, bevor man digitale Verbindungen mit anderen Unternehmen und Personen einrichtet.“

Zu den Maßnahmen, auf die größeres Gewicht gelegt werden sollte, gehörten zum Beispiel strengere Zugriffskontrollen, Multi-Faktor-Authentifizierung (MFA) und ausgeweitete Richtlinien für Passwörter. Organisationen müssten außerdem über strenge Patch-Prozesse verfügen, um sicherzustellen, „dass regelmäßige Scans auf Schwachstellen durchgeführt und neue Patches umgehend angewendet werden“.

OT-Betreiber durch NIS-2 besonders herausgefordert

Betreiber von Infrastrukturen für sogenannte Operational Technology (OT), wie zum Beispiel Hersteller, Energieerzeuger und -verteiler, sollten sicherstellen, „dass intelligente Fertigungs- und Steuergeräte angemessen segmentiert und vor unbefugtem Zugriff geschützt sind“. Darüber hinaus müssten sie sich vor dem Risiko schützen, dass eingebetteter Code in diesen Geräten durch gezielte Malware kompromittiert wird, welche zum Beispiel über kompromittierte Firmware-Updates in ihre OT-Netzwerke eindringen könnte.

Fischer betont: „Sobald der Zugang, die Systeme und die Infrastruktur abgesichert sind, sollte die Aufmerksamkeit auf die Sicherung der Daten ausgerichtet werden, die in die Organisation ein- und aus ihr herausfließen. Viele Organisationen übersehen diesen Sicherheitsschritt oder setzen ihn nicht effektiv um.“

Das Scannen der zwischen Mitgliedern der digitalen Lieferkette und Kunden übertragenen Dateien könne dann versteckte bösartige Nutzlasten aufdecken. Techniken wie „Content Disarm and Reconstruction“ (CDR) seien in der Lage, besondere Bedrohungen zu erkennen und sie zu entfernen. Dateien müssten untersucht und bereinigt werden, „bevor sie verarbeitet und gespeichert werden“.

NIS-2 verfolgt drei prinzipielle Ziele:

• 1. NIS-2-Ziel: Erhöhung der Cyber-Resilienz einer umfassenden Gruppe von Unternehmen, welche in der EU in allen relevanten Sektoren tätig sind
  „Dazu werden neue Regeln eingeführt, die sicherstellen sollen, dass alle öffentlichen und privaten Einrichtungen im gesamten Binnenmarkt, die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen, angemessene Maßnahmen zur CyberSecurity ergreifen.“
  Dies geschiehe auch dadurch, dass der Anwendungsbereich der Richtlinie auf weitere Sektoren wie zum Beispiel Telekommunikation, Social-Media-Plattformen und die öffentliche Verwaltung erweitert werde. So werde festgelegt, dass alle mittleren und großen in den von NIS-2 abgedeckten Sektoren tätigen Unternehmen die Sicherheitsvorschriften einhalten müssten. Die Möglichkeit für die Mitgliedsstaaten der EU, Anforderungen in bestimmten Fällen an staatliche Besonderheiten anzupassen, werde abgeschafft. „Dies hatte bei der Umsetzung von NIS-1 zu einer starken Fragmentierung zwischen den verschiedenen Mitgliedsstaaten geführt.“

• 2. NIS-2-Ziel: Die Verringerung der Inkonsistenzen zwischen den Staaten im gesamten EU-Binnenmarkt wird stärker betont
  „Dazu werden der De-facto-Geltungsbereich, die Anforderungen an die Sicherheits- und Schadensberichterstattung sowie die Bestimmungen über die nationale Aufsicht und Durchsetzung der Regeln aneinander angeglichen.“ Außerdem seien die grundsätzlichen Fähigkeiten der zuständigen Behörden der Mitgliedsstaaten weiter vereinheitlicht worden. NIS-2 enthalte eine Liste von sieben Schlüsselelementen, welche alle Unternehmen im Rahmen der von ihnen ergriffenen Maßnahmen berücksichtigen und umsetzen müssten:
  Dazu gehörten zum Beispiel die Reaktion auf Vorfälle, die Sicherheit von Lieferketten sowie die Offenlegung von Schwachstellen. Darüber hinaus sei eine Mindestliste von Verwaltungssanktionen festgelegt worden, welche immer dann verhängt werden sollten, „wenn Unternehmen gegen die Vorschriften zum Risikomanagement im Bereich der CyberSecurity oder gegen ihre in der NIS-2-Richtlinie festgelegten Meldepflichten verstoßen“.

• 3. NIS-2-Ziel: Die Fähigkeiten zur Vorbereitung und Reaktion der zuständigen Behörden sollen durch Maßnahmen zur Stärkung des Vertrauens zwischen den verschiedenen Instanzen erhöht werden
  Außerdem solle der Austausch von Informationen und die Festlegung von Regeln und Verfahren für den Fall von besonderen Ereignissen verbessert werden. Die neuen Regelungen sollten die Art und Weise, „wie die EU groß angelegte Sicherheitsvorfälle und -krisen verhindert, bewältigt und darauf reagiert“, verbessern.
  Dazu sollten klare Verantwortlichkeiten, eine angemessene Planung und eine verstärkte Zusammenarbeit in der EU eingeführt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

datensicherheit.de, 12.09.2024
NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden / NIS-2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur

[datensicherheit.de, 23.03.2024] Die Bedeutung des sogenannten „Internet der Dinge (und Dienste)“ (im Englischen als IoT abgekürzt) wächst erkennbar. In der Entwicklung von IoT-Geräten hat sich laut Ellen Böhm, „SVP, IoT Strategie & Betrieb“ bei Keyfactor, seit der Einführung des ersten netzwerkverbundenen Verkaufsautomaten im Jahr 1982 einiges getan. Die Anbindung von Geräten an das Internet und andere Netzwerke habe eine transformative Ära eingeläutet und Innovationen in vielen Bereichen angetrieben. Doch mit dem enormen Potenzial dieser Technologien gingen auch „signifikante Risiken“ einher.

Foto: Keyfactor

Ellen Böhm, SVP, IoT Strategie & Betrieb“ bei Keyfactor: Sicherheit von IoT-Geräten erfordert umfassendes Verständnis, strategische Planung und Umsetzung effektiver Sicherheitsmaßnahmen!

Keyfactor empfiehlt grundsätzlich robuste IT-Sicherheitsstrategien

„Durch die zunehmende Vernetzung und Integration von IoT in die Geschäftsprozesse von Unternehmen entstehen Sicherheitsbedrohungen, die proaktiv angegangen werden müssen“, erläutert Böhm. Jedes Gerät berge die potenzielle Gefahr, zu einem Ausfall zugehöriger Abläufe zu führen.

Insbesondere bei geschäftskritischen Prozessen sei das Risiko groß, da beispielsweise Ausfälle in der Produktion hohe finanzielle Schäden und Gewinnverluste zur Folge haben könnten. Sie führt aus: „Um die von IoT-Umgebungen ausgehenden Nachteile und Risiken zu mitigieren, bedarf es robuster Sicherheitsstrategien, die im Folgenden aufgezählt und erläutert werden.“

1. Keyfactor-Tipp: Verhindern von Zertifikatsausfällen

Digitale Zertifikate bildeten das Rückgrat der Sicherheit und Funktionsfähigkeit von IoT-Geräten. Sie ermöglichten es den Geräten, die Authentizität von Netzwerksignalen zu verifizieren und sichere Verbindungen aufzubauen. Die große Mehrheit der Unternehmen scheine jedoch mit dem Management dieser Zertifikate überfordert zu sein:

„Laut einer Studie von Keyfactor haben 98 Prozent der befragten Organisationen in den letzten zwölf Monaten mindestens einen zertifikatsbezogenen Ausfall erlebt, der durchschnittlich zu Verlusten von über zwei Millionen Euro führte.“ Die Lösung liege in einer zentralisierten und automatisierten Verwaltung von Zertifikaten, um deren gesamten Lebenszyklus effektiv zu managen und Ausfallzeiten zu minimieren.

2. Keyfactor-Tipp: Definieren von Sicherheitsstandards für IoT

Eine der größten Herausforderungen für Organisationen sei das Fehlen eines klaren Verständnisses darüber, „was IoT-Sicherheit für ihre spezifische Umgebung erfordert“. Der Bericht zeige, dass 56 Prozent der Organisationen von sich selbst behaupteten, nicht über das notwendige Bewusstsein und die Expertise zu verfügen, um sich effektiv gegen IoT-Angriffe zu schützen.

Um diese Lücke zu schließen, müssten Unternehmen eine tiefgreifende Analyse ihrer IoT-Landschaft vornehmen. „Dazu gehört das Verständnis darüber, wie viele und welche Arten von Geräten verwendet werden, wie sie vernetzt sind und welche Sicherheitsrisiken damit verbunden sein könnten.“ Auf dieser Basis könnten dann spezifische Sicherheitsrichtlinien entwickelt und implementiert werden, welche sowohl die einzigartigen Anforderungen des Unternehmens als auch die Besonderheiten der eingesetzten IoT-Geräte berücksichtigten.

3. Keyfactor-Tipp: Proaktiver Umgang mit Regulatorien

„Sowohl in der Europäischen Union als auch in den Vereinigten Staaten werden gesetzliche Rahmenbedingungen geschaffen, um die Sicherheit digitaler und vernetzter Geräte zu erhöhen.“ Richtlinien wie NIS-2 sollten künftig von Grund auf sicher gestaltete Technologien fördern.

Angesichts der Entwicklungen im legislativen Bereich sei es für Organisationen unerlässlich, die aktuelle Gesetzgebung aktiv zu verfolgen und die eigenen Sicherheitsstrategien entsprechend anzupassen. Nur so könne die Sicherheit von IoT-Umgebungen gestärkt und die Einhaltung von Compliance-Kriterien gewährleistet werden.

Fazit zu Keyfactor-Handlungsempfehlungen für effektiven Schutz der IoT-Geräte

Die Sicherheit von IoT-Geräten stelle eine komplexe Herausforderung dar, welche ein umfassendes Verständnis, strategische Planung und die Umsetzung effektiver Sicherheitsmaßnahmen erfordere. Organisationen seien darauf angewiesen, ihre IoT-Sicherheitsstrategien zu optimieren.

Böhm gibt abschließend zu bedenken: „Zu den wichtigsten Handlungsempfehlungen gehören die Optimierung des Zertifikatsmanagements, die Definition klarer Sicherheitsrichtlinien und die Einhaltung der relevanten gesetzlichen Rahmenbedingungen. In einer Welt, die zunehmend vernetzt ist, müssen nachhaltige Security-Strategien im Fokus stehen, um eine sichere und von digitalem Vertrauen geprägte Zukunft zu gewährleisten.“

Weitere Informationen zum Thema:

KEYFACTOR
Digital Trust in a Connected World: Navigating the State of IT Security

[datensicherheit.de, 23.03.2024] Eine nach eigenen Angaben repräsentative Umfrage der G DATA CyberDefense AG offenbart „große Lücken in den IT-Sicherheitsstrategien deutscher Unternehmen“, denn demnach hält fast die Hälfte der deutschen Geschäftsführungen „Security Awareness“-Schulungen für überflüssig. Die Notwendigkeit, Angestellte für das Thema IT-Sicherheit zu sensibilisieren, sei indes akuter denn je.

Foto: G DATA CyberDefense AG

Andreas Lüning, Vorstand und Mitgründer G DATA: Durch den gezielten Einsatz von Social Engineering nutzen Angreifer menschliche Schwachstellen in der IT-Sicherheitskette aus!

Laut G DATA herrscht in vielen Unternehmen noch immer dringender Handlungsbedarf

Es herrsche in vielen Unternehmen noch immer dringender Handlungsbedarf, denn laut der aktuellen Studie „Cybersicherheit in Zahlen“ (eine Kooperation der G DATA CyberDefense AG mit Statista und „brand eins“) finden rund 46 Prozent der Befragten, „dass technische Sicherheitslösungen allein ausreichen, um Cyber-Bedrohungen abzuwehren“.

Dies berge nicht nur ein erhöhtes Risiko für Cyber-Angriffe wie „Social Engineering“, sondern verstoße künftig gegen kommende gesetzliche Vorgaben wie die NIS-2-Direktive (NIS: „Network and Information Security“ – mit der NIS-2-Richtlinie gelten zukünftig für viele Unternehmen und Organisationen in 18 Sektoren verpflichtende, bei Verstößen mit hohen Geldbußen bewehrte Sicherheitsmaßnahmen und Meldepflichten). Diese Regelung mache die Durchführung von „Security Awareness“-Schulungen für alle Mitarbeiter verpflichtend.

Erkenntnisse aus der Studie beurteilt G DATA als alarmierend

Ein falscher Klick auf einen Phishing-Link genüge, um Cyber-Kriminellen Zugriff auf Unternehmensnetzwerke zu gewähren. Daher sei es alarmierend, dass laut der aktuellen Studie fast die Hälfte der Befragten findet, dass technische Sicherheitslösungen wie Firewalls und Antivirensoftware zum Schutz vor Cyber-Bedrohungen ausreichten. Zusätzlich gäben mehr als ein Drittel der Befragten an, „Security Awareness“-Schulungen ausschließlich auf IT-Mitarbeiter in ihrem Unternehmen zu beschränken. Diese Einschränkung berge jedoch ein erhebliches Risiko, denn die gesamte Belegschaft müsse in der Lage sein, potenzielle Bedrohungen zu erkennen und zu melden.

Ein Beispiel hierfür sei etwa der Buchhalter, der bei unzureichender Sensibilisierung eine gefälschte Rechnung akzeptiert oder das HR-Team, welches in einer gefälschten Bewerbung versehentlich einen Phishing-Link anklickt. Des Weiteren zögerten rund 33 Prozent aufgrund hoher Kosten, IT-Sicherheitsschulungen durchzuführen. Während aber die Ausgaben für Schulungen als hoch angesehen würden, seien die Kosten eines Cyber-Angriffs oft um ein Vielfaches höher. Daher sei die Investition in die Sensibilisierung der Angestellten langfristig kosteneffizienter als die Bewältigung der Folgen eines erfolgreichen Angriffs.

Plädoyer von G DATA: Umdenken unerlässlich, insbesondere angesichts der NIS-2-Direktive

Andreas Lüning, Vorstand und Mitgründer der G DATA CyberDefense AG, kommentiert: „Die Studienergebnisse verdeutlichen ein grundlegendes Missverständnis darüber, wie Cyber-Kriminelle bei ihren Angriffen agieren und wie sich Unternehmen wirksam vor ihnen schützen. Durch den gezielten Einsatz von ,Social Engineering’ nutzen Angreifer menschliche Schwachstellen in der IT-Sicherheitskette aus, was alle Mitarbeitenden unabhängig von ihrer Position zu potenziellen Einfallstoren macht.“

Vor diesem Hintergrund sei ein Umdenken unerlässlich, insbesondere angesichts der bevorstehenden NIS-2-Direktive, welche ein erhöhtes gemeinsames Cyber-Sicherheitsniveau in der EU anstrebe und verpflichtende IT-Sicherheitsmaßnahmen in wichtigen und wesentlichen Sektoren vorschreibe.

G DATA unterstreicht entscheidende Rolle von IT-Sicherheitsschulungen

In der heutigen Unternehmenslandschaft sei die Rolle von „Security Awareness“-Schulungen entscheidend, denn mit ihnen würden Mitarbeiter zu einem integralen Bestandteil der Abwehrstrategie gegen Cyber-Bedrohungen. Darüber hinaus dienten IT-Sicherheitsschulungen der zukünftigen Einhaltung gesetzlicher Vorschriften wie der NIS-2-Direktive.

Die kontinuierliche Weiterbildung der Mitarbeiter ermöglicht es Unternehmen, sich proaktiv auf neue Bedrohungen vorzubereiten und schnell darauf zu reagieren. Letztendlich sollten IT-Sicherheitsschulungen als Teil einer umfassenden IT-Sicherheitsstrategie betrachtet werden, „die sowohl die technische als auch menschliche Komponente umfasst und darauf abzielt, die Resilienz des Unternehmens gegenüber Cyber-Angriffen zu stärken“.

G DATA stellt Studie zur Cyber-Sicherheit zum Download bereit

„Cybersicherheit in Zahlen“ zeichne sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: „Die Researcher und Marktforscher von Statista haben Zahlen, Daten und Fakten aus mehr als 300 Statistiken zu einem einzigartigen Gesamtwerk zusammengeführt.“

Mehr als 5.000 Arbeitnehmer in Deutschland seien im Rahmen einer repräsentativen Online-Studie zur Cyber-Sicherheit im beruflichen und privaten Kontext befragt worden. Die Fachleute von Statista hätten die Befragung eng begleitet und könnten dank einer Stichprobengröße, welche weit über dem branchenüblichen Standard liege, belastbare und valide Marktforschungsergebnisse im Heft „Cybersicherheit in Zahlen“ präsentieren.

Weitere Informationen zum Thema:

G DATA CyberDefense
Cybersicherheit in Zahlen

[datensicherheit.de, 10.12.2020] Der Verband der Internetwirtschaft (eco) appelliert an die Politik, die Beratungen des sogenannten IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten. Das Bundesinnenministerium (BMI) hat demnach nach fast zwei Jahren einen Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vorgelegt. Der eco kritisiert nach eigenen Angaben „scharf“, dass das BMI für das knapp 100 Seiten umfassende Dokument lediglich eine Frist von 26 Stunden eingeräumt habe.

Stellvertretender eco-Vorstandsvorsitzender sieht Ausdruck gesetzgeberischer und politischer Hilflosigkeit

„Es geht nur noch darum, die Entwürfe noch in diesem Jahr ins Kabinett zu bringen“, so Klaus Landefeld, der stellvertretende eco-Vorstandsvorsitzende. Dies sei Ausdruck „bloßer gesetzgeberischer und politischer Hilflosigkeit“, wie hier vor dem Ende dieser Legislaturperiode agiert werde.
Die Debatte um das IT-Sicherheitsgesetz finde auch vor dem Hintergrund einer umfassenden Novellierung des Telekommunikationsgesetzes statt. Hierzu hatte das Bundeswirtschaftsministerium (BMWi) laut eco am 9. Dezember 2020 einen neuen Gesetzentwurf mit 465 Seiten versendet und eine Frist bis Freitag, den 11. Dezember 2020, angesetzt.

eco rät, Beratungen zum IT-Sicherheitsgesetz 2.0 zurückzustellen

Der eco appelliert nun an die Politik, „in Anerkennung der Konsequenzen für den weiteren Gesetzgebungsvorgang, die Beratungen des IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten“. Dies betreffe insbesondere die angestrebte Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene, die ebenfalls unmittelbar bevorstehe.
„Eine vorschnelle nationale Regulierung birgt das Risiko, anschließend noch einmal gesetzgeberisch tätig werden zu müssen“, warnt Landefeld vor voreiligen Schritten. Für Unternehmen seien diese Nachbesserungen oft mit zusätzlichen Kosten verbunden, um bereits implementierte Systeme und Lösungen nochmals für den neuen Regulierungsrahmen anzupassen. Eine Überarbeitung der NIS-Richtlinie sei für das Jahr 2021 in Aussicht gestellt worden.

eco befürchtet Aushöhlung des Grundrechtschutzes

Auch sollten die im IT-Sicherheitsgesetz angestrebten Regelungen für den Einsatz von sogenannten kritischen Komponenten beziehungsweise deren Untersagung möglichst europäisch adressiert und behandelt werden. „Nationale Sonderregelungen sollten ausschließlich für eng umgrenzte Bereiche mit klaren gesetzlichen Definitionen vorgesehen sein“, betont Landefeld. Andernfalls drohe Unternehmen erhebliche Rechtsunsicherheit. „Damit IT-Sicherheit in Deutschland effektiv reguliert wird und sich in im europäischen digitalen Binnenmarkt sinnvoll weiterentwickeln und gestärkt werden kann, müssen diese Probleme nun möglichst zügig adressiert und gelöst werden.“
„Die neuen Befugnisse für das BSI werfen ein Schlaglicht auf eine zentrale Debatte um das IT-Sicherheitsgesetz 2.0“, so der eco. Dies betreffe den Umgang mit Informationen über Sicherheitslücken und die Daten, welche das BSI im Rahmen seiner neuen Befugnisse erhebe. Das Gesetz sehe unter anderem vor, dass das BSI Informationen über Sicherheitslücken zurückzuhalten solle, sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet sei. Auch könne das BSI nun Datenverkehr an von ihm benannte Server umleiten lassen und selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen. „Die Maßnahmen, die das BSI hier ergreifen und anordnen kann, werfen Zweifel daran auf, dass der Grundrechtschutz hier gewahrt ist“, sagt Landefeld.

eco zum Hintergrund:

Der erste Entwurf zum IT-Sicherheitsgesetz 2.0 sei 2019 inoffiziell an die Öffentlichkeit gelangt und vom eco „scharf kritisiert“ worden. Nachdem das BMI am 1. Dezember 2020 zunächst einen nicht abgestimmten Diskussionsentwurf veröffentlicht habe, auf den der eco sich in einer Stellungnahme beziehe, sei ein aktualisierter Referentenentwurf am 9. Dezember 2020 gefolgt.
Obwohl darin weitere Aspekte zur IT-Sicherheit grundlegend überarbeitet worden seien, habe das Bundesinnenministerium lediglich eine Rückmeldefrist bis Freitag, den 11. Dezember 2020, 14 Uhr, eingeräumt. Auch zu dieser Version habe der eco fristgerecht eine Stellungnahme eingereicht.

Weitere Informationen zum Thema:

datensicherheit.de, 04.12.2020
BND-Gesetz: eco kritisiert aktuellen Entwurf

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 10.12.2020
Ergänzende Anmerkungen und Stellungnahme zum Referentenentwurf des Bundesministeriums des Innern für Bau und Heimat eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz –IT-SiG 2.0)(Stand 9.12.2020)

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 09.12.2020
Stellungnahme zum Diskussionsentwurf des Bundesministeriums des Innern für Bau und Heimat eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz –IT-SiG 2.0)(Stand 1.12.2020)

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 26.06.2019
Eckpunkte zum Referentenentwurf des “Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“(IT-SiG 2.0)

[datensicherheit.de, 02.09.2016] In Europa stehen derzeit zwei wichtige neue Gesetze für IT-Sicherheit und Privatsphäre im Rampenlicht – die Richtlinie zur Netz- und Informationssicherheit (NIS) und die Datenschutz-Grundverordnung (GDPR). Mit diesen Gesetzen verschärfe die EU die Sicherheitsanforderungen für potenziell jedes Unternehmen, das sein Geschäft in Europa betreibt, und lege auch den Grundstein für eine verstärkte Durchsetzung der Benachrichtigungspflicht bei sicherheitsrelevanten Vorfällen. Palo Alto Networks stellt einen Leitfaden zur Verfügung, wie sich Unternehmen auf die beschlossenen Regelungen und Vorschriften vorbereiten können.

Herausforderung für Unternehmen

Die GDPR gelte für Unternehmen, auch wenn diese außerhalb Europas ansässig sind, und beinhalte erhöhte mögliche Strafen von bis zu vier Prozent des jährlichen weltweiten Umsatzes. Insbesondere forderten beide Gesetze von den Unternehmen „angemessene Sicherheitsmaßnahmen“ auf dem „Stand der Technik“ im Hinblick auf ihre Risiken, persönliche Daten sowie den Schutz von Netzen und Informationssystemen.
Im Rahmen der NIS-Richtlinie müssten Unternehmen den Behörden Cyber-Sicherheitsvorfälle melden, wenn diese einen signifikanten oder wesentlichen Einfluss auf die Bereitstellung oder Kontinuität ihrer Dienste haben. Entsprechend der GDPR müssten Unternehmen den zuständigen Behörden alle Verletzungen der persönlichen Daten mitteilen, es sei denn, es sei unwahrscheinlich, dass die Verletzung in einem Risiko für die Rechte und Freiheiten des Einzelnen resultiere.

Gültigkeit der NIS-Richtlinie

Die NIS-Richtlinie müsse bis zum 10. Mai 2018 von den EU-Mitgliedstaaten in ihre nationale Gesetzen übernommen und angewandt werden. Bis zu diesem Zeitpunkt würden die Unternehmen über die spezifischen Anforderungen unterrichtet sein, die in ihrem Mitgliedstaat angewandt und durchgesetzt werden.
Die NIS-Richtlinie gelte für bestimmte Unternehmen, nämlich die Betreiber von grundlegenden Diensten und für digitale Dienstleister:

• Zu Betreibern von grundlegenden Diensten zählten Unternehmen in den Bereichen Transport, Energie und Gesundheitswesen. Die Mitgliedstaaten seien dafür verantwortlich, die Unternehmen in diesen Kategorien zu identifizieren.
• Digitale Serviceprovider seien Unternehmen, die eine der drei Leistungen erbringen: Cloud-Computing-Services, Online-Marktplätze oder Online-Suchmaschinen.

Relevanz der GDPR

Die GDPR gelte für Unternehmen, die eines der folgenden Kriterien erfüllen:

• Ansässigkeit in der EU,
• Angebot an Waren oder Dienstleistungen richtet sich an EU-Bürger,
• Erfassung des Verhaltens der EU-Bürger innerhalb der Europäischen Union.

Die GDPR sei eine Verordnung, und als solche müssten die Mitgliedstaaten
nationale Gesetze hierzu verabschieden, um sie umzusetzen. Die
Unternehmen müssten der Regelung bis zum 25. Mai 2018 nachkommen.

Identifizierungsprozess starten!

Angesichts der Tiefe der Gesetze werde das Etablieren oder Verfeinern der Cyber-Sicherheitspraktiken in Übereinstimmung mit der NIS-Richtlinie und der GDPR einen funktionsübergreifenden Prozess notwendig machen, der sich über viele Monate erstrecken könne. Führungskräfte sollten daher proaktiv handeln und einen Identifizierungsprozess starten, wie sich die Praxis unverzüglich mit den Gesetzen in Einklang bringen lasse.

Herausforderungen als Chance nutzen!

Die NIS-Richtlinie und die GDPR könnten Unternehmen als Chance nutzen, um Cyber- und Datenschutzrisiken mit einem neuen Ansatz zu verwalten, indem sie den Fokus auf Prävention verlagerten und globale Quellen von Bedrohungsdaten nutzten, um ihre kritischen Informationsbestände zu schützen.
Um diesen Prozess zu beginnen, sollten sich die Verantwortlichen für Informationssicherheit und Datenschutz im Unternehmen die folgenden Fragen stellen:

a) Gelten die NIS-Richtlinie und die GDPR für unser Unternehmen?
b) Wurden bereits Verantwortliche für die Einhaltung dieser Gesetze identifiziert?
c) Wie bestimmen wir, was der Stand der Technik („State-of-the-Art“) für unser Unternehmen ist?
d) Haben wir bereits das Risiko für unsere Daten oder unsere Systeme beurteilt?

Handlungsdruck für die Entscheiderebene

Die Entscheiderebene in den Unternehmen wird aufgerufen, mit dem Datenschutzbeauftragten, dem CISO und dem CIO über zeitgemäße Maßnahmen zu sprechen, um die persönlichen Daten der EU-Bürger sowie sensible Geschäftsdaten zu schützen.
Ferner sei die Rechtsabteilung zu konsultieren, um festzustellen, ob das Unternehmen entweder von der NIS-Richtlinie oder der GDPR bzw. von beiden betroffen ist.
Zudem sollte die eigene Fähigkeit bestimmt werden, diesen Gesetzen nachzukommen und die Umsetzung der Gesetze in den EU-Ländern, in denen Geschäfte gemacht werden, zu verfolgen.

[datensicherheit.de, 08.08.2016] Nach Angaben des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz tritt die EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen am 8. August 2016 in Kraft.

Mindestanforderungen festgelegt

Die EU wolle Cyber-Kriminalität bekämpfen und nehme dazu die Anbieter und Betreiber von Diensten in die Pflicht.
Lange sei im Rahmen der „Trilog“-Verhandlungen zwischen Kommission, Rat und Parlament der Europäischen Union darum gerungen worden, ob und in welcher Form eine europäische Regelung zur Eindämmung wirtschaftlicher Schäden durch Cyber-Kriminalität und zum Schutz von Internetnutzern vor Gefahren aus dem Cyberspace getroffen werden könnte. Am Ende der Verhandlungen stehe nun die „EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ (NIS-Richtlinie), die am 8. August 2016 in Kraft trete.
Diese Richtlinie lege gemeinsame Mindestanforderungen für Kapazitätsaufbau und -planung, Informationsaustausch, Zusammenarbeit sowie gemeinsame Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste fest.

Meldepflicht für Sicherheitsverletzungen

Die sogenannte „NIS-Richtlinie“ verpflichte die „Betreiber wesentlicher Dienste“ dazu, sich besser vor Cyber-Attacken zu schützen, Sicherheitsvorfälle zu melden und sich über Sicherheitslücken auszutauschen. Wesentliche, von dieser Richtlinie umfasste Dienste seien die sogenannten „Kritischen Infrastrukturen“ (KRITIS), wie Energiekonzerne, Flughäfen, Kliniken und Wasserversorger, Banken und Finanzdienstleister. Damit seien z.B. auch Versorgungsunternehmen oder Krankenhäuser mit Sitz in Rheinland-Pfalz betroffen.
Die Anbieter digitaler Dienste seien etwas schwächer reguliert, die an sie gestellten Sicherheitsanforderungen sollten grundsätzlich geringer sein. Sie müssten allerdings ebenfalls Angriffe auf ihre Systeme melden und Sicherheitsvorsorge treffen.
Ein Netzwerk von IT-Sicherheitsbehörden aus den Mitgliedstaaten solle grenzüberschreitende Vorfälle untersuchen und auf diese reagieren.

Datenschutz dient auch dem Schutz Kritischer Infrastrukturen

Prof. Dr. Dieter Kugelmann, der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit, begrüßt nach eigenen Angaben diese Richtlinie und die darin vorgesehene Einbindung der
Datenschutzbehörden: Datenschutz heiße auch Schutz Kritischer Infrastrukturen, die ohne die Verarbeitung gerade auch sensibler Daten nicht vernünftig arbeiten könnten. Die Initiative der EU sei daher sehr zu begrüßen. Es stehe außer Frage, „dass der Datenschutzbeauftragte Rheinland-Pfalz seinen Beitrag dazu leisten wird, die Sicherheit und den Datenschutz im Netz für Verbraucherinnen und Verbraucher zu erhöhen.“
Bereits im Sommer 2015 habe der Bundesgesetzgeber mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) Maßnahmen ergriffen, die die Verbesserung der IT-Sicherheit von Unternehmen, den verstärkten Schutz der im Internet und in diesem Zusammenhang auch die Stärkung des Bundesamts für Sicherheit in der Informationstechnik und des Bundeskriminalamts gewährleisten sollten. Es bleibe abzuwarten, inwieweit die Umsetzung der NIS-Richtlinie zu Modifikationen des IT-Sicherheitsgesetzes führen werde, so Kugelmann.

[datensicherheit.de, 08.07.2016] Da Informationssysteme, „grundlegende Netze und Dienste“ wie die Luftverkehrskontrolle und Stromversorgung durch Cyber-Angriffe beschädigt werden können, hat sich die Europäische Union nun auf die ersten EU-weiten Vorschriften zur Cyber-Sicherheit geeinigt, um die Widerstandsfähigkeit eben gegen solche Attacken verbessern. Hierzu hat das Parlament am 6. Juli 2016 die EU-NIS-Richtlinie angenommen.

Meilenstein für Cyber-Sicherheit, dem weitere Schritt folgen müssen!

In einer aktuellen Stellungnahme bekundet Palo Alto Networks, mit diesem Schritt „auf dem richtigen Weg“ zu sein: Die Verabschiedung der EU-NIS-Richtlinie sei ein „Meilenstein für die Cyber-Sicherheit“, aber die nächsten Schritte seien noch wichtiger, so Thorsten Henning, „Senior Systems Engineering Manager“ bei Palo Alto Networks.
Mit der Plenarabstimmung des Europäischen Parlaments am 6. Juli 2016 habe die EU den nahezu finalen Schritt für ihre neuen Rechtsvorschriften bezüglich Cyber-Sicherheit vollzogen. Diese Richtlinie zur Netz- und Informationssicherheit (NIS) sei das Ergebnis von mehr als drei Jahren Engagement seitens der Europäischen Kommission, des Rats und des Parlaments sowie der Zusammenarbeit mit Akteuren aus Europa und der ganzen Welt.

Leidensdruck als Impulsgeber

Initiiert worden seien die Aktivitäten in Reaktion auf zunehmende Cyber-Bedrohungen. Ziel sei es, die Cyber-Sicherheit und Stabilität von Netzen und Informationssystemen in den EU-Mitgliedsstaaten zu erhöhen. Dies sei das erste Mal, dass die EU eigene Rechtsvorschriften speziell für Cyber-Sicherheit erlassen habe.
Insbesondere widme sich die Richtlinie der Sicherheit im Internet in einem wirtschaftlichen und gesellschaftlichen Kontext. So solle das Vertrauen der Nutzer in Online-Aktivitäten gefestigt und damit auch der Austausch im EU-Binnenmarkt erleichtert werden.

21 Monate Zeit zur Umsetzung in nationales Recht

Die NIS-Richtlinie solle in Kürze im Amtsblatt der Europäischen Union veröffentlicht werden und werde 20 Tage danach in Kraft treten. Den EU-Mitgliedstaaten blieben dann 21 Monate, um die Richtlinie in nationales Recht umzusetzen.
Die NIS-Richtlinie habe Auswirkungen sowohl auf wirtschaftlicher als auch auf staatlicher Seite. So seien Meldepflichten bezüglich Sicherheitsstatus und Vorfällen für „Betreiber von wesentlichen Diensten“ (z.B. Energieversorger, Verkehrsbetriebe, Gesundheitsdienstleistungen) vorgesehen. Gleiches gelte – etwas weniger streng – für „Anbieter digitaler Dienste“ (Web-Marktplätze, Web-Suchmaschinen und Cloud-Service-Provider).
Die Mitgliedstaaten müssten nationale NIS-Strategien verabschieden und zuständige nationale Behörden benennen. Zudem sollten sie „gut funktionierende“ CSIRTs (Computer Security Incident Response Teams) im Einsatz haben – für die Erkennung, Prävention und Reaktion auf Sicherheitsvorfälle und -risiken.

Koordination zwischen EU-Mitgliedstaaten gewinnt an Bedeutung

Einen großen Stellenwert habe auch die Koordination zwischen den Mitgliedstaaten. Durch die Einrichtung eines CSIRT-Netzwerks – einschließlich des bisherigen CERT-EU (Computer Emergency Response Team) – solle die operative Zusammenarbeit gefördert und der Informationsaustausch erleichtert werden.
Obwohl die Abstimmung ein Meilenstein sei, seien die nächsten Schritte noch wichtiger: Die Betreiber von grundlegenden Dienstleistungen und digitale Dienstleister müssten einen Sinn dafür entwickeln, wie sich die Regulierung auswirken werde. Gemäß der Richtlinie bestimmten die Mitgliedstaaten zunächst, welche Unternehmen die Kriterien als „Betreiber von grundlegenden Dienstleistungen“ erfüllen. Hierbei sei Zusammenarbeit gefragt, um eine Fehlleitung von Sicherheitsressourcen zu verhindern. Das Gleiche gelte für die Behörden der Mitgliedstaaten, die die Meldepflicht für die Betreiber von wesentlichen Dienstleistungen weiter definieren sollten: Trotz der vorgesehenen Flexibilität bei der Umsetzung der Richtlinie sollte Konsistenz das Ziel sein. Harmonisierte Ansätze seien ein wesentlicher Bestandteil, um die Cyber-Sicherheit weltweit zu verbessern.
Ressourcen für Cyber-Sicherheit seien knapp in Regierungsbehörden und in der Wirtschaft. Jegliche redundanten oder inkonsistenten Aktivitäten oder Anforderungen sollten daher von vornherein vermieden werden, betont Henning. Koordination sei also notwendig – und das nicht nur innerhalb der EU. Palo Alto Networks fordert daher die Mitgliedstaaten, die Kommission, das Parlament und die EU-Agentur für Netz- und Informationssicherheit (ENISA) auf, weiterhin mit Regierungen und der Industrie außerhalb der EU und Europas zusammenzuarbeiten. „Ziel muss es sein, weltweit an einem Strang zu ziehen, wenn die NIS-Richtlinie konkret realisiert wird“, erläutert Henning.

Globale Bedrohung erfordert weltweite Kooperation zur Abwehr

Viele der erforderlichen EU-weiten Aktivitäten hätten – optimal umgesetzt – ein großes Potenzial, um das globale Sicherheitsniveau zu erhöhen. Zum Beispiel sei das CSIRT-Netzwerk eine wichtige Ergänzung zur internationalen CSIRT (CERT) Community. Palo Alto Networks arbeitet nach eigenen Angaben mit vielen CSIRTs in der EU und der NATO zusammen.
Die NIS-Richtlinie fordere die CSIRTs der Mitgliedstaaten aus gutem Grund zur internationalen Zusammenarbeit auf, denn Cyber-Bedrohungen seien global und die Zusammenarbeit zwischen den CSIRTs auf der ganzen Welt helfe, Wissen und Ressourcen zu sammeln, um diesen Bedrohungen zu begegnen.

Gut ausgestattete Behörden gefordert

Die Richtlinie fordert laut Henning von den EU-Mitgliedstaaten auch die Umsetzung nationaler NIS-Strategien für Bildung und Sensibilisierung, damit sich Benutzer besser schützen, wenn sie online sind.
Die Richtlinie weise die Mitgliedstaaten an, zuständige, mit ausreichenden technischen, finanziellen und personellen Ressourcen ausgestattete Behörden zu benennen, um ihre Aufgaben effektiv und
effizient erfüllen zu können. Entsprechende Ressourcen seien überall knapp, so Henning, aber man hoffe, dass die EU-Staaten ihr Möglichstes tun könnten. Hierbei seien Partnerschaften der richtige Weg. Die Richtlinie übertrage der ENISA eine Vielzahl von Rollen, wie zum Beispiel bei Bedarf die Staaten dabei zu unterstützen, ihre Strategien zu entwickeln und CSIRTs zu etablieren. Wenn die Mitgliedstaaten zudem die vorhandene Expertise der Sicherheitsbranche in Anspruch nähmen, könne die Cyber-Sicherheit für alle schneller verbessert werden.

EU-Mitgliedstaaten als Schrittmacher für globale digitale Infrastruktur

Palo Alto Networks würdigt nach eigenen Angaben das Engagement der europäischen Politik, die richtigen Schritte an der Cyber-Sicherheitsfront voranzutreiben. Die Umsetzung der Richtlinie in den einzelnen Staaten dürfte variieren. Einige EU-Staaten, vor allem Deutschland, Frankreich und die Niederlande, arbeiteten bereits seit Jahren an der Cyber-Sicherheit und hätten bereits ihre eigenen Gesetze im Vorfeld der NIS-Richtlinie umgesetzt. Sie müssten wohl nur noch kleine Anpassungen vornehmen, um den Mindestanforderungen der Richtlinie zu entsprechen, wenn überhaupt.
Andere Mitgliedstaaten würden mehr substanziell von der Umsetzung der Richtlinie profitieren. Henning: „Je mehr alle EU-Mitgliedstaaten das kollektive Sicherheitsniveau erhöhen, desto stärker wird letztlich die globale digitale Infrastruktur davon profitieren.“

Weitere Informationen zum Thema:

Europäisches Parlament / Aktuelles, 05.07.2016
EU-weite Vorschriften zur Stärkung der Cyber-Sicherheit