Inzwischen ist mit einer NIS-2-Umsetzung nicht vor Herbst 2025 zu rechnen

[datensicherheit.de, 29.11.2024] Laut einer Meldung von „heise online“ hat die EU wegen der bisher nicht erfolgten Umsetzung der NIS-2-Richtlinie sowie der Richtlinie über die Resilienz Kritischer Infrastrukturen ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet. „Angesichts der Verzögerungen im Gesetzgebungsprozess in den vergangenen Jahren kommt das nicht wirklich überraschend – ist doch inzwischen mit einer NIS-2-Umsetzung nicht vor Herbst nächsten Jahres zu rechnen“, kommentiert Dirk Arendt, „Director Government & Public Sector DACH“ bei Trend Micro. Er führt hierzu aus: „Unabhängig von den nun einsetzenden – und ebenfalls erwartbaren – parteipolitischen Fingerzeigen halte ich die aktuelle Lage für äußerst bedenklich, sendet sie noch verheerende Signale nach innen wie nach außen.“

Foto: Trend Micro

Dirk Arendt fordert Planungssicherheit, um Investitionen in NIS-2-Konformität zielgerichtet einzusetzen

Die NIS-2-Richtlinie wird große Teile der deutschen Wirtschaft betreffen

Die deutsche Wirtschaft befinde sich in einer tiefen Krise. Um diese erfolgreich zu überwinden, bedürfe es einer umfassenden Transformation und zukunftsfähiger Aufstellung. „Digitale Technologien sind dafür der Schlüssel zum Erfolg!“, betont Arendt und gibt zu bedenken: „Gleichzeitig stehen gerade diese Technologien immer stärker im Fokus von Cyber-Angriffen, die eine wachsende Bedrohung für die gesamte deutsche Wirtschaft darstellen.“ Die bitkom-Studie zum Wirtschaftsschutz spreche eine klare Sprache:

„Die Zahl der digitalen Angriffe auf Unternehmen hierzulande stieg auch 2024 erneut an. 74 Prozent von ihnen waren von Datendiebstahl betroffen.“ Der jährliche Gesamtschaden durch Cybercrime betrage 178,6 Milliarden Euro. Die Unternehmen hätten das erkannt und seien bereit, verstärkt in Cyber-Sicherheit zu investieren, so die Studie weiter. Doch benötigten sie Planungssicherheit, um diese Investitionen zielgerichtet einzusetzen – immerhin werde die NIS-2-Richtlinie große Teile der deutschen Wirtschaft betreffen (voraussichtlich etwa 30.000 Unternehmen).

NIS-2 zeigt auch, wie wichtig Cyber-Sicherheit für unser gesamtes Gemeinwesen ist

Der Umfang dieser Regulierung zeige auch, wie wichtig Cyber-Sicherheit nicht mehr „nur“ für die Wirtschaft, sondern für unser gesamtes Gemeinwesen sei. Cyber-Angriffe auf sogenannte Kritische Infrastrukturen (bzw. „wichtige“ und „besonders wichtige“ Einrichtungen) seien geeignet, massive Störungen zu verursachen und das Vertrauen in die Leistungsfähigkeit von Staat und Infrastruktur zu schädigen. Dabei handele es sich nicht nur um abstrakte Überlegungen:

„Deutschland und Europa stehen im Fokus hybrider Bedrohungen. Die Zeitenwende konsequent zu denken, bedeutet deshalb auch, eine effektivere Cyber-Sicherheitsarchitektur für Staat, Wirtschaft und Bevölkerung zu errichten.“ So sei es zu begrüßen, dass die EU gerade diesen Bereich verstärkt reguliere, um das Schutzniveau in der gesamten Union zu erhöhen. In diesen Zeiten müsse Europa wieder enger zusammenstehen – auch im Cyberspace.

Appell an zukünftige Bundesregierung, NIS-2 endlich den gebotenen Stellenwert einzuräumen

„Vermutlich ist es für die Verabschiedung der genannten Gesetze in dieser Legislaturperiode schon zu spät“, moniert Arendt. Bleibe nur der Appell an die zukünftige Bundesregierung, dem Thema endlich den Stellenwert einzuräumen, den es verdiene:

„Mit genügend Ressourcen, einer starken und effizienten Sicherheitsarchitektur und unter Berücksichtigung der vielen berechtigten Einwände und Vorschläge von Experten aus Wirtschaft und Verbänden.“ Laut Arendt ist es an der Zeit, den Weg zur „Cyber-Nation“ in einem starken Europa konsequent zu gehen.

Weitere Informationen zum Thema:

heise online, Stefan Krempl, 28.11.2024
EU leitet Vertragsverletzungsverfahren gegen Deutschland wegen NIS2 ein / Die EU-Kommission hat Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil es die NIS2-Richtlinie und andere Kritis-Vorgaben nicht umgesetzt hat

bitkom
Studie / Wirtschaftsschutz 2024

datensicherheit.de, 25.11.2024
Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an / Ende der „Ampel“-Koalition darf nicht zur weiteren Verzögerung führen

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

datensicherheit.de, 04.11.2024
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung / Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

[datensicherheit.de, 19.11.2024] Die NIS-2-Richtlinie soll in Deutschland nun voraussichtlich ab dem Frühjahr 2025 im nationalen Recht verankert sein – sie zielt darauf ab, ein höheres Sicherheitsniveau in der EU zu etablieren und Unternehmen in wichtigen Infrastrukturbereichen besser vor Cyber-Angriffen zu schützen. Studien zufolge sei jedoch nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf diese Richtlinie vorbereitet. Simona Foldesova, „Product Manager GP HSM“ von Utimaco, geht in ihrer aktuellen Stellungnahme auf die wesentlichen Anforderungen von NIS-2 sowie ihre Auswirkungen auf Unternehmen ein und erörtert, wie IT-Security-Partner dabei unterstützen könnten, die Herausforderungen zu bewältigen und Chancen der NIS-2-Richtlinie erfolgreich zu nutzen.

Foto: Utimaco

Simona Foldesova rät Unternehmen angesichts der NIS-2-Richtlinie u.a.zum Einsatz von Verschlüsselungs- und Schlüsselmanagement-Lösungen

Zentrale Anforderungen und Neuerungen der NIS-2-Richtlinie

Die NIS-2-Richtlinie bringe einige weitreichende Neuerungen mit sich, welche über die bisherigen Vorgaben hinausgingen:

Erweiterte Pflicht zur Cyber-Sicherheits-Governance
Unternehmen müssten ein Cyber-Sicherheits-Management etablieren, welches auf alle Ebenen der Organisation ausgerichtet sei. Dies umfasse sowohl die Führungsebene als auch die Einbindung operativer Mitarbeiter.

Erhöhte Transparenz und erweiterte Berichterstattung
Die NIS-2-Richtlinie verpflichte Unternehmen, schwerwiegende Sicherheitsvorfälle umgehend zu melden. Eine rasche Kommunikation solcher Vorfälle an die zuständigen Behörden sowie betroffene Partner solle die Transparenz erhöhen und Reaktionen beschleunigen.

Risiko- und Vorfallsbewertung
Eine proaktive Risikobewertung sowie regelmäßige Analysen potenzieller Bedrohungen seien essenziell. Dazu gehöre die Erstellung eines Notfallplans, um auf sicherheitsrelevante Zwischenfälle schnell und effektiv reagieren zu können.

Absicherung der Lieferkette
Ein wesentlicher Schwerpunkt der NIS-2-Richtlinie liege auf der Sicherheit in der Lieferkette. Unternehmen müssten sicherstellen, „dass auch Partner und Dienstleister die geforderten Sicherheitsstandards erfüllen“. Dazu gehöre die Überprüfung externer Partner sowie die Implementierung klarer Kontrollmechanismen.

Höhere Anforderungen an technische Sicherheitsmaßnahmen
Die technische Sicherheit von Netzwerken und Systemen sei ein zentrales Thema der NIS-2-Richtlinie. Organisationen müssten Maßnahmen wie die Verschlüsselung sensibler Daten und Zugangskontrollen implementieren, um Cyber-Angriffe zu verhindern.

Bußgelder bei Nichteinhaltung
Verstöße gegen die Vorgaben der NIS-2-Richtlinie würden mit hohen Geldbußen sanktioniert. „Diese Maßnahme soll sicherstellen, dass Unternehmen die Anforderungen ernst nehmen und die notwendigen Schritte zur Risikominimierung unternehmen.“

NIS-2 hat erhebliche Auswirkungen auf Unternehmen der Kritischen Infrastruktur

NIS-2 habe damit erhebliche Auswirkungen auf Unternehmen der Kritischen Infrastruktur (KRITIS). Dazu zählten beispielsweise Versorgungsunternehmen, Krankenhäuser, Finanzdienstleister und IT-Unternehmen. „Diese Firmen stehen vor der Herausforderung, ihre Sicherheitsmaßnahmen umfassend zu überprüfen und an die neuen Standards anzupassen. Das bedeutet oft erhebliche Investitionen in Sicherheitslösungen, neue Prozesse und Mitarbeiterfortbildungen.“

Unternehmen müssten die NIS-2-Compliance priorisieren, da sie sonst rechtliche und finanzielle Risiken eingingen. Der Aufwand für die Umsetzung könne insbesondere für kleinere Unternehmen eine Herausforderung darstellen. Dennoch biete die Einhaltung der NIS2-Richtlinie auch Chancen: „Unternehmen, die frühzeitig auf eine starke Cyber-Sicherheitsstrategie setzen, gewinnen nicht nur an Vertrauen bei Kunden und Partnern, sondern können auch effizienter und widerstandsfähiger gegenüber Angriffen werden.“

Zusammenarbeit entscheidend zur Erfüllung der vielfältigen Anforderungen der NIS-2-Richtlinie

Spezialisierte Software-Anbieter unterstützten Unternehmen bei der Erfüllung der vielfältigen Anforderungen der NIS-2-Richtlinie mit verschiedenen Produkten und Dienstleistungen – auch „as a Service“. Zu diesen schnell einsetzbaren Lösungen gehörten beispielsweise Datenverschlüsselung und Schlüsselmanagement. Moderne Verschlüsselungstechniken sorgten dafür, dass sensible Daten im Fall eines Lecks geschützt blieben. Solche Lösungen ermöglichten zudem die sichere Verwaltung kryptographischer Schlüssel, was für die Integrität der Daten entscheidend sei.

Verifizierung und Authentifizierung spielten im KRITIS-Bereich eine besondere Rolle. Moderne Sicherheitsprodukte sollten daher robuste Authentifizierungsmechanismen bieten, um unbefugten Zugriff auf Systeme zu verhindern. „Diese Maßnahmen sind ein wichtiger Teil der NIS-2-Anforderungen.“ Hinzu kämen regelmäßige Sicherheitsanalysen und Monitoring. Unternehmen sollten Monitoring-Tools einsetzen, „die kontinuierlich potenzielle Sicherheitsbedrohungen erkennen und sofortige Gegenmaßnahmen ermöglichen“. Regelmäßige Prüfungen und Berichte könnten IT-Sicherheitsteams helfen, auf dem neuesten Stand der Cyber-Abwehr zu bleiben. Nicht zuletzt müssten Unternehmen auch für die Sicherheit entlang der Lieferkette Rechnung tragen. Daher sollten sie darauf achten, mit zertifizierten, ebenfalls nach EU-Recht regulierten Partnern zu kooperieren.

NIS-2-Richtlinie große Herausforderung und zugleich Chance für Unternehmen

Die NIS-2-Richtlinie stelle eine große Herausforderung dar, biete jedoch zugleich eine Chance für Unternehmen, ihre Cyber-Sicherheitsstrategie zu verbessern und sich gegen zukünftige Bedrohungen abzusichern. Foldesova unterstreicht: „Die Etablierung eines umfassenden Sicherheitsmanagements, das nicht nur die eigenen Systeme, sondern auch die gesamte Lieferkette absichert, stärkt die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen und verbessert das Vertrauen von Kunden und Partnern.“

Durch den Einsatz von Verschlüsselungs- und Schlüsselmanagement-Lösungen (von Cybersecurity-Unternehmen wie z.B. Utimaco) sowie die Unterstützung durch deren Compliance-Experten könnten Unternehmen die Anforderungen der NIS-2-Richtlinie effektiv und effizient erfüllen.

Weitere Informationen zum Thema:

heise online, Dr. Oliver Diedrich, 26.09.2024
NIS2 für mehr IT-Sicherheit: Viele Unternehmen sind noch nicht gut vorbereitet / Lediglich ein Drittel der betroffenen rund 30.000 Unternehmen in Deutschland ist bereits gut auf das Inkrafttreten der NIS2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

datensicherheit.de, 04.11.2024]
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung / Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

[datensicherheit.de, 07.11.2024] Laut einer aktuellen Bitkom-Meldung hat das Bundeskabinett hat am 6. November 2024 das sogenannte KRITIS-Dachgesetz ( KRITIS-DachG) beschlossen. Mit diesem soll demnach der Schutz Kritischer Infrastrukturen etwa in den Bereichen Energie, Verkehr oder Gesundheitswesen verbessert und die bereits im Januar 2023 in Kraft getretene europäische „Critical Entities Resilience Directive“ umgesetzt werden. Das KRITIS-Dachgesetz definiere „Kritische Anlagen“ und lege Mindeststandards sowie Meldepflichten fest. Grundlage der in der Meldung gemachten Angaben ist laut Bitkom eine Umfrage, welche „Bitkom Research“ im Auftrag des Digitalverbands durchgeführt hat: Dabei seien 1.003 Unternehmen ab zehn Beschäftigten und einem Jahresumsatz von mindestens einer Million Euro in Deutschland, darunter 556 Unternehmen aus KRITIS-Sektoren, telefonisch befragt worden. Diese Befragung habe im Zeitraum von KW 16 bis KW 24 2024 stattgefunden und sei als Gesamtumfrage repräsentativ.

Bitkom-Präsident begrüßt, dass KRITIS-Dachgesetz nach Verzögerungen nun endlich kommt

Der Bitkom-Präsident, Dr. Ralf Wintergerst. kommentiert: „Bitkom begrüßt, dass das KRITIS-Dachgesetz nach monatelangen Verzögerungen nun endlich kommt. Deutschland muss seine Kritischen Infrastrukturen besser schützen, dafür stellt das KRITIS-Dachgesetz die Weichen.“

Die Zahl der Angriffe auf deutsche Unternehmen habe zuletzt erneut zugenommen – und nichts spreche für eine Trendwende: „86 Prozent der KRITIS-Unternehmen waren in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen wie Sabotage, Industriespionage oder Datendiebstahl betroffen.“

Laut Bitkom muss das KRITIS-Dachgesetz aber unbedingt nachgebessert werden

80 Prozent bezeichneten die Bedrohungslage für das eigene Unternehmen durch diese Attacken als „sehr groß“ oder „eher groß“. Neben den Unternehmen gerieten zunehmend aber auch Verwaltungen und öffentliche Einrichtungen in das Visier Cyber-Krimineller und hierzu müsse das KRITIS-Dachgesetz unbedingt nachgebessert werden:

„Wir dürfen nicht nur die Unternehmen in den Blick nehmen, auch alle Einrichtungen der Bundesverwaltung müssen als Kritische Infrastruktur gelten.“ Beim Schutzniveau dürften die Verwaltungen keine Kompromisse machen.

Bitkom betont Notwendigkeit einheitlicher, praxistauglich ausgestalteter Meldewege und -fristen

Wichtig sei jetzt, „dass das Gesetz zügig das parlamentarische Verfahren durchläuft und noch in dieser Legislatur in Kraft treten kann“. Die von der EU vorgegebene Umsetzungsfrist zum 17. Oktober 2024 sei bereits abgelaufen. Die Unternehmen brauchten und wollten Klarheit und Rechtssicherheit. „Dazu gehört auch, dass es zwischen KRITIS-Dachgesetz und dem NIS-2-Umsetzungsgesetz keine Widersprüche geben darf!“, fordert Dr. Wintergerst.

Abschließend betont der Bitkom-Präsident: „Wir brauchen einheitliche Meldewege und Meldefristen, die praxistauglich ausgestaltet sind!“ Bereits heute sagten drei Viertel der KRITIS-Unternehmen, dass der bürokratische Aufwand bei der Meldung von Cyber-Angriffen zu hoch sei.

Weitere Informationen zum Thema:

datensicherheit.de, 06.11.2024]
eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz / Unsicherheiten bei Unternehmen gilt es laut eco zu vermeiden, um den KRITIS-Schutz in Deutschland nachhaltig zu stärken

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

Unsicherheiten bei Unternehmen gilt es laut eco zu vermeiden, um den KRITIS-Schutz in Deutschland nachhaltig zu stärken

[datensicherheit.de, 06.11.2024] Für den eco – Verband der Internetwirtschaft e.V. stellt der Beschluss der Bundesregierung vom 6. November 2024 zum „KRITIS-Dachgesetz“ (KRITISDachG) einen wichtigen Schritt dar, um eben den Schutz Kritischer Infrastrukturen in Deutschland weiter zu stärken. Das Gesetz habe das Bundeskabinett passiert und schaffe damit neue Vorgaben für den physischen Schutz bedeutender und Kritischer Einrichtungen. „Da das „NIS-2-Umsetzungsgesetz“ (NIS2UmsuCG) bereits im Juli 2024 verabschiedet wurde und sich aktuell im parlamentarischen Verfahren befindet, betont die Internetwirtschaft jedoch die Notwendigkeit klarer Abgrenzungen und fordert eine Regulierung ohne Überschneidungen, um Doppelstrukturen zu vermeiden.“

Foto: eco e.V.

eco-Vorstand Klaus Landefeld: Internetwirtschaft braucht klar definierten und kohärenten Ordnungsrahmen, um Dienste effizient anbieten zu können!

eco drängt auf Gewährleistung, dass für bereits regulierte Anbieter keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen

eco-Vorstand Klaus Landefeld kommentiert: „Es muss gewährleistet sein, dass Anbietern, die bereits durch andere Gesetze reguliert sind, durch das KRITIS-DachG keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen!“ Der aktuelle Gesetzentwurf beseitige dieses Risiko jedoch nicht vollständig, da der Telekommunikations- und IT-Sektor nach wie vor teilweise vom Gesetz erfasst werde.

Für die Internetwirtschaft, darunter Rechenzentrumsbetreiber und Anbieter von „Cloud“-Diensten, bestünden mit dem NIS2UmsuCG bereits umfassende gesetzliche Vorgaben, ebenso wie für den Telekommunikationssektor unter dem TKG.

Unternehmen der Branche befürchteten nun, dass die im Gesetz festgelegten Zuständigkeiten wie zum gemeinsamen Betrieb eines Meldeportals nicht klar genug verteilt seien und zu Überschneidungen zwischen dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur führen könnten.

eco setzt sich weiterhin für klare Regulierungsstrategie ein

„Die Internetwirtschaft braucht einen klar definierten und kohärenten Ordnungsrahmen, um ihre Dienste effizient anzubieten“, unterstreicht Landefeld und führt weiter aus: „Wir begrüßen ausdrücklich, dass es zwischen dem NIS-2-Umsetzungsgesetz zur Cyber-Sicherheitsstärkung und dem KRITIS-Dachgesetz klare Übereinstimmungen für die Schaffung branchenspezifischer Sicherheitsstandards gibt.“

Aber einheitliche und transparente Aufsichtsstrukturen seien auch dabei von essenzieller Bedeutung – das ist immerhin ein erklärtes Ziel der europäischen Harmonisierung, welche in der NIS-2-Richtlinie angestrebt und durch den kürzlich veröffentlichten Durchführungsrechtsakt zumindest für die digitalen Diensteanbieter auch verwirklicht werde.

Der eco setzt sich demnach daher weiterhin für eine Regulierungsstrategie ein, welche klare Grenzen zwischen bestehenden und neuen Vorschriften zieht, um Unsicherheiten bei Unternehmen zu vermeiden und den Schutz Kritischer Infrastrukturen in Deutschland nachhaltig zu stärken.

Weitere Informationen zum Thema:

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

[datensicherheit.de, 01.11.2024] Die Check Point® Software Technologies Ltd. warnt in einer aktuellen Stellungnahme, dass die Digitale Transformation – also die zunehmende Digitalisierung und Vernetzung – von Städten ein zunehmend attraktives Ziel für Cyber-Kriminelle darstellt, welche Kritische Infrastrukturen (KRITIS) bedrohen könnten. Da sich Städte weltweit zu „Smart Cities“ entwickelten und fortschrittliche Technologien wie IoT, KI und „5G“ integrierten, um das städtische Leben zu verbessern, entstünden neue Cyber-Sicherheitsrisiken. „Diese Technologien bieten verbesserte Dienstleistungen wie effizientes Verkehrsmanagement und Wasserversorgung, setzen Kritische Infrastrukturen aber auch Cyber-Bedrohungen aus.“ Mit einem prognostizierten globalen Marktwert von 72,52 Milliarden US-Dollar bis 2024 stehen „Smart Cities“ demnach an der Spitze von Innovation, Nachhaltigkeit und digitalem Wachstum. Regierungen und Organisationen müssten jedoch wachsam bleiben, um die wachsende, mit vernetzten städtischen Infrastrukturen einhergehen Angriffsfläche zu minimieren. Die Check Point® Software Technologies Ltd. wirft daher einen Blick auf beide Seiten der Medaille: „Welche Bedrohungen durch Cyber-Kriminelle bestehen für ,Smart Cities’ und wie kann man diesen über moderne IT-Sicherheitskonzepte Einhalt gebieten?“

Ausbreitung von „Smart Cities“ erwartet

Studien zeigten, „dass die Investitionen in Smart-City-Technologien bis 2025 exponentiell auf 327 Milliarden US-Dollar ansteigen werden“. „Smart Cities“ vereinten fortschrittliche Technologien wie das sogenannte Internet der Dinge (IoT), Künstliche Intelligenz (KI) und „5G“, um Verkehrsmanagement, Wasserversorgung und Notfallsysteme effizienter zu gestalten.

Intelligente Verkehrssysteme reduzierten beispielsweise Staus, und intelligente Wasserzähler sparten Ressourcen, indem sie Lecks aufspürten. Die Vernetzung dieser Systeme mache sie jedoch auch zu attraktiven Zielen für Cyber-Angriffe, welche zu Unterbrechungen wichtiger Dienstleistungen wie Gesundheitsfürsorge, Verkehr und Energieversorgung führen könnten. „Doch leider sind das nicht alle Gefahrenquellen, denen ,Smart Cities’ ausgesetzt sein werden.“

Wichtigste Bedrohungen der Cyber-Sicherheit in „Smart Cities“ laut Check Point:

Ransomware-Angriffe auf Kritische Infrastrukturen
Ransomware-Angriffe nähmen zu, zielten auf Kommunen ab und bedrohten die Betriebskontinuität. Sie legten wichtige Dienste lahm und zwängen Städte dazu, entweder Lösegeld für die Freigabe ihrer Daten zu zahlen oder längere Ausfälle in Kauf zu nehmen, was schwerwiegende wirtschaftliche und soziale Schäden bedeute.

Angriffe auf öffentliche Sicherheitssysteme
Cyber-Kriminelle hätten es zunehmend auf Notfallsysteme wie Videoüberwachung und Schusswaffen-Erkennungstechnologien abgesehen. Eine Lücke in diesen Systemen könne zu Fehlalarmen führen, Panik auslösen oder wichtige Notfallmaßnahmen verzögern, was die Verwundbarkeit einer Stadt in Krisenzeiten erhöhe.

„Data Breaches“
„Smart Cities“ sammelten über IoT-Geräte große Mengen personenbezogener Daten, was ein erhebliches Risiko hinsichtlich Datenschutzverletzungen mit sich bringe. Erfolgreiche Cyber-Angriffe könnten sensible Informationen preisgeben, was zu Identitätsdiebstahl, Finanzbetrug und einem Verlust des Vertrauens in die digitale städtische Infrastruktur führen könne.

Schwachstellen in der Wasserversorgung
Cyber-Angriffe auf Wasseraufbereitungsanlagen stellten ein großes Risiko dar. Ein erschreckendes Beispiel komme aus den USA: „Im Jahr 2021 versuchten Hacker, die Wasserversorgung von Oldsmar, Florida, zu vergiften, indem sie die Chemikalienwerte im Aufbereitungsprozess manipulierten.“ In „Smart Cities“ könnten solche Schwachstellen also nicht nur wichtige Dienste unterbrechen sowie die Wasserqualität und -versorgung beeinträchtigen: „Für die Bewohner bestehen erhebliche, womöglich lebensbedrohliche Gesundheitsrisiken, wenn es zu böswilligem Fremdzugriff kommt.“

Globale Auswirkungen von Cyber-Angriffen auf „Smart Cities“

Mit der zunehmenden Vernetzung von „Smart Cities“ würden die Auswirkungen von Cyber-Angriffen über die Landesgrenzen hinausgehen – also quasi globalisiert werden. Ein erfolgreicher Cyber-Angriff auf das Energienetz einer Stadt könnte Krankenhäuser, Unternehmen und Schulen in Mitleidenschaft ziehen, während Unterbrechungen der Verkehrsnetze internationale Lieferungen verzögerten und den Welthandel beeinträchtigen könnten.

Darüber hinaus würden die finanziellen Kosten von Cyber-Kriminalität bis 2025 auf 10,5 Billionen US-Dollar pro Jahr geschätzt – eine erhebliche Belastung für die städtische Wirtschaft und ein gewaltiges Risiko für die Daten aller Einwohner.

„Smart Cities“ dringend auf Cyber-Sicherheit der Zukunft vorbereiten!

Um die Städte der Zukunft zu schützen, müssten Regierungen, Unternehmen und Bürger zusammenarbeiten, um robuste Cyber-Sicherheitsmaßnahmen umzusetzen. Ein vielschichtiger Ansatz sei erforderlich, um Kritische Infrastrukturen zu schützen, personenbezogene Daten zu sichern und die Widerstandsfähigkeit gegen wachsende Cyber-Bedrohungen aufrechtzuerhalten:

Secure-by-Design-Prinzipien
Cyber-Sicherheit müsse von Anfang an in Smart-City-Technologien integriert werden, „indem Verschlüsselung, Multi-Faktor-Authentifizierung und kontinuierliche Software-Updates zur Standardpraxis werden“.

Sektorübergreifende Zusammenarbeit
Wirksame Rahmenbedingungen für Cyber-Sicherheit erforderten die Zusammenarbeit zwischen öffentlichem und privatem Sektor mit Informationsaustausch und klaren Protokollen für die Reaktion auf die Sicherheit betreffende Vorfälle.

Investitionen in Cyber-Sicherheitsfachkräfte
Städte müssten in die Ausbildung von Cyber-Sicherheitsfachkräften investieren, „die in der Lage sind, die einzigartigen Herausforderungen von Smart-City-Infrastrukturen zu bewältigen“.

Sensibilisierung der Öffentlichkeit
Auch die Bürger müssten eine Rolle beim Schutz sogenannter intelligenter Städte spielen, indem sie sorgfältig Cyber-Hygiene praktizierten. Durch Kampagnen zur Sensibilisierung der Öffentlichkeit könnten Einzelpersonen darüber aufgeklärt werden, „wie sie ihre persönlichen Geräte schützen, Phishing-Versuche erkennen und verdächtige Aktivitäten den örtlichen Behörden melden können“. Wenn die Bürger dazu ermutigt würden, eine aktive Rolle im Bereich der Cyber-Sicherheit zu übernehmen, könne ein sichereres digitales Umfeld für alle geschaffen werden.

Entwicklung von Plänen für „Incident Response“
Robuste Pläne für Sicherheitsvorfälle sorgten dafür, dass sich „smarte Städte“ schnell von Cyber-Angriffen erholen könnten. Diese Pläne sollten Verfahren zur Isolierung betroffener Systeme, zur Kommunikation mit der Öffentlichkeit und zur Koordination mit Strafverfolgungsbehörden und Cyber-Sicherheitsexperten enthalten, um die Auswirkungen des Angriffs zu mildern.

„Smart Cities“ aufbauen, die sowohl innovativ als auch sicher sind!

„,Intelligente Städte’ haben das Potenzial, das städtische Leben durch Innovation und Nachhaltigkeit zu verändern.“ Ohne die Bewältigung der Herausforderungen im Bereich der Cyber-Sicherheit könnten diese Fortschritte jedoch durch erhebliche Risiken untergraben werden.

„Durch die Einführung von Grundsätzen für eine sichere Gestaltung, die Förderung der Zusammenarbeit und die Investition in Talente können wir ,Smart Cities’ aufbauen, die sowohl innovativ als auch sicher sind und eine sichere urbane Zukunft gewährleisten.“

Weitere Informationen zum Thema:

statista
Smart Cities – Worldwide

UC BERKELEY, CENTER FOR LONG-TERM CYBERSECURITY, Februar 2021
CLTC WHITEPAPER SERIES / The Cybersecurity Risks of Smart City Technologies / What Do The Experts Think?

WIRED, Andy Greenberg, 08.02.2021
A Hacker Tried to Poison a Florida City’s Water Supply, Officials Say / The attacker upped sodium hydroxide levels in the Oldsmar, Florida, water supply to extremely dangerous levels

FROST & SULLIVAN, 29.10.2020
Smart Cities to Create Business Opportunities Worth $2.46 Trillion by 2025, says Frost & Sullivan / More than 70% of global smart city spending by 2030 will be from the United States, Western Europe, and China

datensicherheit.de, 22.07.2021
Deutscher Smart-City-Markt: eco sieht Cyber-Sicherheit als zentralen Treiber / Erkenntnisse der Studie „Der Smart-City-Markt in Deutschland, 2021-2026“ vom eco – Verband der Internetwirtschaft e.V. und Arthur D. Little

Technische Anforderungen der NIS-2-Richtlinie alles Andere als eine leichte Übung zum Abhaken

[datensicherheit.de, 16.10.2024] Die NIS-2-Richtlinie der EU bringe nicht nur einen breiteren Anwendungsbereich und strengere Sicherheitsanforderungen mit sich, sondern zeuge auch von der Einführung einer neuen Denkweise in der Cyber-Sicherheit. „Während die NIS einen reaktiven Ansatz verfolgte, bei dem Unternehmen nach einem Sicherheitsvorfall bestraft wurden, geht die NIS-2 zu einem proaktiven Ansatz über“, erläutert Andy Norton, „European Cyber Risk Officer“ bei Armis, in seiner aktuellen Stellungnahme. Er unterstreicht: „Unternehmen werden für unzureichende Sicherheit bestraft, bevor es zu einer Sicherheitsverletzung kommt.“

Foto: Armis

Andy Norton gibt angesichts der NIS-2-Einführung zu bedenken: KRITIS-Betreiber können nicht absichern, was sie nicht sehen…

NIS-2 sollte eben nicht zum reinen Abhaken von Checklisten verkommen

Die technischen Anforderungen der NIS-2-Richtlinie seien alles Andere als eine leichte Übung zum Abhaken, aber sie müssten für KRITIS-Betreiber umsetzbar sein. Es gebe jedoch eine große Herausforderung, der sich die Unternehmen bewusst sein müssten – die Sichtbarkeit.

Es gebe nun eine Fülle von Ratschlägen für die Implementierung von NIS-2 und zahllose Anbieter, welche dabei helfen könnten. „Die Wahrheit ist jedoch, dass KRITIS-Betreiber nicht absichern können, was sie nicht sehen“, betont Norton. Unternehmen müssten daher über einen umfassenden Überblick über ihre Assets verfügen. Norton warnt: „Sonst verkommt NIS-2 zu einem reinen Abhaken von Checklisten!“

NIS-2 zwingt Unternehmen fortschrittliche Lösungen einzusetzen

Um sich auf NIS-2 vorzubereiten, müssten Unternehmen daher fortschrittliche Lösungen einsetzen, „welche ,Asset Intelligence’ in Echtzeit, Schwachstellen-Analysen, KI-gestützte Bedrohungserkennung und -behebung sowie kontextbezogene Informationen zu Vorfällen bieten“. Sicherheitsteams könnten dann fundierte Entscheidungen zum Risikomanagement treffen und zu einer vorwärts gerichteten Cyber-Sicherheit übergehen.

Norton führt abschließend aus: „Auf diese Weise können Unternehmen sicher sein, dass sie in Bezug auf die Einhaltung gesetzlicher Vorschriften oder Bedrohungsakteure nicht hinterherhinken, sondern die Problemstellen ausfindig machen und proaktiv beheben. Und zwar bevor es zu einem Vorfall kommt.“

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

KnowBe4-Bericht beleuchtet verstärkte, auf Kritische Infrastrukturen abzielende Cyber-Bedrohungen

[datensicherheit.de, 26.08.2024] KnowBe4 hat mit „Cyberangriffe auf Infrastrukturen: Die neue geopolitische Waffe“ seinen neuesten Bericht veröffentlicht – dieser beschreibt demnach die zunehmende Bedrohung durch Cyber-Angriffe auf Kritische Infrastrukturen (KRITIS) und soll Einblicke in Maßnahmen zum Schutz vor diesen potenziell verheerenden Attacken bieten.

Abbildung: KnowBe4

KnowBe4-Report „Cyber Attacks on Infrastructure – The New Geopolitical Weapon“

Cyber-Angriffe auf KRITIS hauptsächlich, um Kontrollsysteme zu stören oder auszuspionieren

In den letzten Jahren haben Cyber-Angriffe auf KRITIS weltweit offensichtlich stark zugenommen und stellen somit erhebliche Risiken für die Nationale Sicherheit und wirtschaftliche Stabilität dar. Im Gegensatz zu anderen Datenlecks zielten diese Cyber-Angriffe hauptsächlich darauf ab, Kontrollsysteme zu stören oder auszuspionieren.

Besonders betroffen sind laut KnowBe4 die Energie-, Transport- und Telekommunikationssektoren: „Dies ist wenig überraschend, da diese Sektoren, insbesondere in entwickelten Ländern, zunehmend digital vernetzt sind, wodurch neue Schwachstellen für Cyber-Angriffe entstanden sind. Die Konsequenzen solcher Angriffe können für Nationen verheerend sein, weshalb geopolitische Gegner diese Angriffe als mächtige Ergänzung ihres digitalen Waffenarsenals betrachten.“

Zu den wichtigsten Erkenntnissen des KnowBe4-Berichts gehören:

• Die Zahl der verwundbaren Punkte in den US-Stromnetzen wachse täglich um etwa 60, wobei die Gesamtzahl von 21.000 im Jahr 2022 auf heute zwischen 23.000 und 24.000 angestiegen sei.
• Weltweit habe sich die durchschnittliche Anzahl wöchentlicher Cyber-Angriffe auf Versorgungsunternehmen seit 2020 vervierfacht – mit einer Verdoppelung allein im Jahr 2023.
• Zwischen Januar 2023 und Januar 2024 seien weltweit über 420 Millionen Angriffe auf KRITIS verzeichnet worden – „das entspricht 13 Angriffen pro Sekunde – was einem Anstieg von 30 Prozent im Vergleich zu 2022 entspricht“.

Schwachstellen werden von Cyber-Kriminellen ausgenutzt, um Netzwerke und Systeme zu infiltrieren

Laut dem „Phishing Industry Benchmark Report 2024“ von KnowBe4 zählen KRITIS-Sektoren wie Gesundheitswesen und Pharma, Bildung sowie Energie und Versorgung zu den Hochrisikobereichen – „wenn es darum geht, dass Mitarbeiter auf Phishing-Taktiken hereinfallen“. Diese Schwachstellen würden von Cyber-Kriminellen ausgenutzt, um Netzwerke und Systeme zu infiltrieren.

„Die Ergebnisse unseres Berichts sind ein Weckruf für die Kritischen Infrastruktursektoren“, betont Stu Sjouwerman, „CEO“ von KnowBe4. Auch wenn der Anstieg der Cyber-Angriffe auf diese Sektoren äußerst besorgniserregend sei, sollte nicht vergessen werden, „dass wir nicht machtlos sind“. Er führt hierzu aus: „Durch die Förderung einer starken Sicherheitskultur, die Technologie, Prozesse und Menschen kombiniert, können wir diese Risiken erheblich mindern!“

Es gilt, Cyber-Sicherheit als grundlegenden Aspekt operativer Widerstandsfähigkeit und Nationaler Sicherheit zu verstehen

Jede Organisation, unabhängig von ihrer Größe oder ihrem Sektor, spiele eine Rolle beim Schutz unserer kollektiven Infrastruktur. „Es ist an der Zeit, Cyber-Sicherheit nicht nur als IT-Angelegenheit zu betrachten, sondern als einen grundlegenden Aspekt unserer operativen Widerstandsfähigkeit und Nationalen Sicherheit“, so Sjouwerman.

Der aktuelle KnowBe4-Bericht hebe jüngste hochkarätige Angriffe auf KRITIS weltweit hervor und zeige deren weitreichende Auswirkungen auf. Zudem biete er konkrete Empfehlungen für Organisationen und Institutionen, um ihre Cyber-Resilienz zu stärken.

Weitere Informationen zum Thema:

KnowBe4, 2024
Cyber Attacks on Infrastructure / The New Geopolitical Weapon

KnowBe4, 2024
PHISHING BY INDUSTRY BENCHMARKING REPORT / 2024 EDITION

Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

[datensicherheit.de, 25.06.2024] Ab Oktober 2024 wird die NIS-2-Richtlinie für Unternehmen in Deutschland verbindlich: Konkret müssen dann Unternehmen in sogenannten Kritischen Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitaler Infrastruktur sowie öffentliche Verwaltungen und Forschungseinrichtungen diese EU-Richtlinie einhalten. „Diese Richtlinie, die im Januar 2023 verabschiedet wurde, bringt einige grundlegende Veränderungen mit sich, insbesondere für Unternehmen in Kritischen Sektoren“, ruft Patrycja Schrenk, Geschäftsführerin der PSW GROUP, in ihrer aktuellen Stellungnahme in Erinnerung. Sie erläutert die Implikationen: „Für sie bedeutet es jetzt, proaktiv zu handeln, denn sie müssen bis Oktober spezifische Sicherheitsmaßnahmen implementieren, um ihre Netz- und Informationssysteme zu schützen. Dazu gehören die Einführung von Sicherheitsvorkehrungen wie Verschlüsselung, Zugangskontrolle und Incident-Response-Plänen sowie die Meldepflicht von Sicherheitsvorfällen an die nationalen Behörden.“

Foto: PSW GROUP

Patrycja Schrenk warnt Unternehmen eindringlich vor den Konsequenzen einer Nichteinhaltung der NIS-2-Richtlinie

Umsetzungspflicht der NIS-2-Richtlinie betrifft auch mittelständische Unternehmen

Die NIS-2-Richtlinie sei ein wichtiger Schritt zur Stärkung der Resilienz gegenüber Cyber-Bedrohungen, denn sie lege Mindeststandards fest, um eine einheitliche und effektive Sicherheitsstruktur für Netz- und Informationssysteme in der gesamten Europäischen Union (EU) zu gewährleisten.

Die Umsetzungspflicht der NIS-2-Richtlinie betreffe dabei nicht nur große Unternehmen, sondern auch mittelständische Unternehmen. Unternehmen mit einer Größe von 50 bis 250 Mitarbeitern und einem jährlichen Umsatz von zehn bis 50 Millionen Euro bzw. einer Bilanzsumme von bis zu 43 Millionen Euro seien ebenfalls betroffen.

NIS-2-Auswirkungen auf Unternehmen: Es besteht Handlungsbedarf!

Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden und potenzielle Sanktionen zu vermeiden, sollten Unternehmen jetzt wichtige Maßnahmen ergreifen. Schrenk gibt konkrete Handlungsempfehlungen: Zunächst einmal sollten Unternehmen prüfen, ob sie in den Anwendungsbereich der NIS-2-Richtlinie fallen und sich dann ggf. beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. „Anschließend ist eine gründliche Risikoanalyse unerlässlich, um potenzielle Schwachstellen und Risiken in den eigenen Netz- und Informationssystemen zu identifizieren“, so Schrenk.

Basierend auf den Ergebnissen dieser Analyse sollten angemessene Technische und Organisatorische Maßnahmen (TOM) implementiert werden, um diese Risiken zu minimieren und die Sicherheit der Systeme – einschließlich der Lieferkette – zu verbessern. „Der Einsatz von Kryptographie und gegebenenfalls Verschlüsselungstechnologien ist in diesem Zusammenhang eine Maßnahme, um sensible Daten zu schützen. Darüber hinaus empfehlen sich auch Maßnahmen zur Personalsicherheit, Zugriffskontrolle und ,Asset Management’, um unbefugten Zugriff zu verhindern. Eine Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentifizierung tragen übrigens dazu bei, die Sicherheit von Zugriffen zu erhöhen“, betont Schrenk.

Beschäftigte betroffener Unternehmen sollten jetzt regelmäßig in Cybersecurity geschult werden

Mit der Etablierung sicherer Kommunikationskanäle für Sprach-, Video- und Textkommunikation könne auch im Notfall eine unterbrechungsfreie Kommunikation gewährleistet werden. Zudem sollten Beschäftigte gemäß NIS-2-Richtlinie jetzt regelmäßig in Cybersecurity geschult werden, um sie für Sicherheitsrisiken zu sensibilisieren.

Ein effektives Krisenmanagement sei entscheidend, um bei einem die IT-Sicherheit betreffenden Vorfall schnell, fristgerecht und mit angemessener Reaktion zu handeln. Unternehmen sollten hierzu klare Verfahren und Protokolle für die Erkennung, Bewertung und Bewältigung von Sicherheitsvorfällen entwickeln und auch an ein effektives Backup-Management sowie Wiederherstellungsverfahren denken.

Unternehmen und Leitungsebene können in die Haftung kommen

„Unternehmen, die die Anforderungen der NIS-2-Richtlinie nicht erfüllen, riskieren erhebliche Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Zudem können leitende Organe persönlich haftbar gemacht werden“, warnt Schrenk eindringlich vor den Konsequenzen einer Nichteinhaltung dieser EU-Richtlinie.

Mit einem umfangreichen Angebot an digitalen Zertifikaten und Experten, welche bei der Umsetzung der Anforderungen aus der ISO 27001 unterstützten, stehe die PSW GROUP Unternehmen zur Seite, um die Cyber-Sicherheit zu stärken und widerstandsfähiger gegen Cyber-Bedrohungen zu machen.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhnee, 21.05.2024
NIS2-Richtlinie: Das ändert sich für Unternehmen ab Oktober 2024

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben

[datensicherheit.de, 16.04.2024] „Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft – genauer gesagt endete die 24-monatige Übergangsfrist“, daran erinnert Bernhard Kretschmer, „Vice President Services and Cybersecurity“ der NTT Ltd. (ein Unternehmen der NTT DATA, Inc.). Er führt weiter aus: „Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen. Doch viele wurden erst wenige Tage vor Ablauf der Frist aktiv. Die einen versuchten in Eigenregie, die offensichtlichsten Schwachstellen zu beheben. Andere riefen externe Spezialisten an – mit dem verzweifelten Wunsch, sie im Eilverfahren DSGVO-tauglich zu machen.“ Nun ticke die Uhr tickt jedenfalls erneut: „Jedes Unternehmen, das unter die NIS-2-Richtlinie fällt, sollte spätestens jetzt die Umsetzung angehen und alle Baustellen in seiner IT-Sicherheitsarchitektur schnellstmöglich beheben!“

Foto: NTT DATA

Bernhard Kretschmer: In Deutschland von der NIS-2-Richtlinie mindestens 30.000 Unternehmen direkt betroffen

Unter die NIS-2-Richtlinie fallen alle KRITIS-Betreiber

Man müsse kein Hellseher sein, um zu wissen, dass sich die Geschichte mit NIS-2 wohl wiederholen werde. „Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten die zweite Auflage der ,Network and Information Security Directive’ in nationales Recht umsetzen. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor.“ Künftig seien die betroffenen Betriebe verpflichtet, die Einhaltung der Sicherheitsanforderungen zu gewährleisten und etwaige Vorfälle zu melden.

Unter diese Richtlinie fielen ganz allgemein formuliert alle als Betreiber Kritischer Infrastrukturen (KRITIS) geltenden Unternehmen. Dazu zählten beispielsweise Organisationen aus den Bereichen Energie, Verkehr und Gesundheit, aber auch Anbieter digitaler Dienste und das produzierende Gewerbe. Unterschieden werde zwischen den Kategorien „wichtig“ und „wesentlich“ – „je nachdem wie essenziell die einzelne Organisation für die Gesellschaft, die Sicherheit des Landes und die Wirtschaft ist“.

Mit NIS-2 würden Cyber-Sicherheit und -Resilienz in Deutschland jedenfalls für eine deutlich größere Anzahl von Firmen als bisher zum Top-Thema oder besser gesagt zur Pflicht. Direkt betroffen seien mindestens 30.000 Unternehmen. „Indirekt kommen all jene hinzu, die im Rahmen der Sicherung von Lieferketten besondere Maßnahmen umzusetzen müssen“, erläutert Kretschmer.

NIS-2-Anforderungen könnten tickende Zeitbombe werden

Zwar werde es je nach Einstufung eines Unternehmens als KRITIS-Betreiber oder wichtiger beziehungsweise wesentlicher Einrichtung noch gewisse Übergangsfristen für die NIS-2-Umsetzung geben. Ab Inkrafttreten des Gesetzes könne das BSI allerdings von besonders relevanten Einrichtungen Nachweise über die Umsetzung der Maßnahmen oder Audits einfordern. Kretschmer betont: „Das Damokles-Schwert NIS-2 kann daher schneller wirksam werden, als manchem lieb ist. Fakt ist: Die Anforderungen sind eine tickende Zeitbombe für alle, die ihre IT-Sicherheit bisher vernachlässigt haben.“

Er stellt klar: „Erstens ist NIS-2-Konformität kein Produkt, das man einfach kaufen und tags darauf implementieren kann. Vielmehr müssen sich die von der Regelung betroffenen Unternehmen darüber im Klaren sein, dass die Umsetzung der neuen EU-Richtlinie ein wirklich umfangreiches, strategisches Projekt ist, das Auswirkungen in die unterschiedlichsten Bereiche hinein hat. Bedenkt man außerdem, dass viele Hardware-Komponenten derzeit immer noch lange Lieferfristen haben, ist der zeitliche Rahmen, um ein adäquates Sicherheitspaket zu schnüren, knapp bemessen.“

Nicht zuletzt dürften die wenigsten Betriebe in der Lage sein, die geforderten Auflagen mit der eigenen IT-Mannschaft zu erfüllen. Einen dedizierten „Chief Information Security Officer“ (CISO) habe außerdem nur eine Minderheit implementiert. Auch externe Spezialisten würden auf den letzten Metern immer schwerer zu bekommen sein.

NIS-2 lässt sich nicht aussitzen

Kretschmer warnt: „Wer jetzt auf die Idee kommt, NIS-2 nach dem Motto ,Wo kein Richter, da kein Henker’ auszusitzen – schließlich werden nur die besonders relevanten Einrichtungen auditiert –, handelt jedoch grob fahrlässig.“

Zum einen sei die neue EU-Richtlinie die Antwort auf die wachsenden Bedrohungen in der digitalen Welt. Cyber-Angriffe werden immer raffinierter und Unternehmen müssten sich im eigenen Interesse darauf vorbereiten. Andererseits träfen die vorgesehenen Sanktionen bei Sicherheitsvorfällen die Firmen und Organisationen hart. Als „wesentlich“ eingestuften Betrieben drohten Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – „je nachdem, welcher Betrag höher ist“.

Der Referentenentwurf des Bundesinnenministeriums sehe sogar vor, dass Geschäftsführer und andere Leitungsorgane mit ihrem Privatvermögen für die Einhaltung der Risikomanagement-Maßnahmen haften. Abschließend gibt Kretschmer Führungskräften daher zu bedenken: „Ihnen droht ein Bußgeld in gleicher Höhe. NIS-2 ist also längst zu einem Compliance-Risiko geworden, das die Verantwortlichen sehr ernst nehmen sollten!“

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

datensicherheit.de, 21.11.2023
NIS-2-Nicht-Umsetzung: Offener Brief des TeleTrusT an den IT-Planungsrat / Aufforderung zur Rücknahme des Beschlusses 2023/39 aus der 42. Sitzung vom 03.11.2023

datensicherheit.de, 13.06.2023
TeleTrusT begrüßt geplantes NIS-2-Gesetz / IT-Sicherheitsniveau in Unternehmen wird laut TeleTrusT „deutlich verbessert“

KRITIS-Betreiber sollten sich bereits im Vorfeld von Ereignissen oder Vorfällen auf diese konzeptionell, planerisch und organisatorisch vorbereiten

[datensicherheit.de, 18.09.2023] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg vertreten durch it’s.BB e.V. lädt wieder zu einer in Kooperation mit der IHK Berlin organisierten „Awareness-Veranstaltung“ ein – diesmal zum Thema „KRITIS und Risikomanagement“:

Abbildung: it’s.BB e.V.

Einladung zur Awareness-Veranstaltung zum Thema KRITIS und Risikomanagement

KRITIS-Betreiber müssen Bedrohungen und Gefährdungen rechtzeitig identifizierten

Für die Betreiber Kritischer Infrastrukturen (KRITIS) ist es offensichtlich wichtig, sich bereits im Vorfeld von Ereignissen oder Vorfällen auf diese konzeptionell, planerisch und organisatorisch vorzubereiten – d.h. Bedrohungen und Gefährdungen rechtzeitig zu identifizierten.

Der eigene Schutzbedarf sollte dabei so berücksichtigt werden, dass Risikoanalysen zielgerichtet durchgeführt und die eigenen Risiken beurteilt (identifiziert, analysiert, eingeschätzt und bewertet) sowie behandelt werden können.

Effektives KRITIS-Risikomanagement entscheidend für Handlungsfähigkeit

Annahmen über die Eintrittswahrscheinlichkeit oder Plausibilität von Ereignissen, zur Verwundbarkeit und Kritikalität von Prozessen im Informationsverbund sowie zu erwartenden negativen Folgen inkl. Abschätzung des Schadensausmaßes können helfen, eine geeignete Risikobehandlung auszuwählen. „Zur Auswahl der Maßnahmen einer Risikobehandlung spielen auch Risikostrategien (Akzeptanz, Vermeidung, Verminderung, Auslagerung, usw.) eine wesentliche Rolle.“

Ein effektives Risikomanagement sei entscheidend, um handlungsfähig zu bleiben, Krisenlagen besser zu bewältigen und (Informationssicherheits-)Risiken angemessen zu steuern.

Einladung zu Hybridveranstaltung zum KRITIS-Risikomanagement

Das Seminar findet als Hybrid-Veranstaltung statt
am Mittwoch, dem 20. September 2023 von 16.00 bis 17.30 Uhr
online oder vor Ort (IABG mbH, Friedrichstraße 185, 10117 Berlin, im Haus E, 3. Etage)
Anmeldung erforderlich

Agenda (ohne Gewähr)

16.00-16.15 Uhr Begrüßung
Christian Köhler, Geschäftsführer der NKMG mbH & Vorstandsvorsitzender des it’s.BB e.V.
Henrik Holst, IHK Berlin

16.15-16.50 Uhr

• • Einleitung/Einführung KRITIS und Risikomanagement
  • Initiierung des Sicherheitsprozesses
  • Risikomanagement als Teil eines Gesamtprozesses
  • Methodiken und Ablauf einer Risikoanalyse
  • Praxisbeispiel
  • „Q&A“

Christian Köhler, NKMG mbH

16.50-17.30 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung (vor Ort oder online):

eventbrite (Präsenzveranstaltung)
Mittwoch, 20. September / KRITIS und Risikomanagement – Teilnahme vor Ort

eventbrite (Web-Übertragung)
Mittwoch, 20. September / KRITIS und Risikomanagement – Online-Teilnahme