[datensicherheit.de, 20.12.2024] Kaspersky hat nach eigenen Angaben seine Richtlinie für eine sichere KI-Entwicklung präsentiert, um Unternehmen dabei zu unterstützen, die Cyber-Sicherheitsrisiken der bereits allgegenwärtigen Technologie zu adressieren: Die „Guidelines for Secure Development and Deployment of AI Systems“ seien vor wenigen Tagen auf dem „United Nations Internet Governance Forum“ (IGF) 2024 in Riad, Saudi-Arabien, vorgestellt worden – die Entwicklung sei in Zusammenarbeit mit führenden akademischen Experten erfolgt, um die wachsende Komplexität der Cyber-Sicherheitsherausforderungen im Zusammenhang mit KI-gesteuerten Systemen zu adressieren.

Abbildung: kaspersky

Kaspersky hat „Guidelines for Secure Development and Deployment of AI Systems“ herausgegeben

Richtlinie besonders für Organisationen relevant, welche auf KI-Modelle von Drittanbietern und Cloud-basierte Systeme angewiesen sind

Diese Richtlinie sei eine „wertvolle Ressource für Entwickler, Administratoren und KI-DevOps-Teams“ und enthalte detaillierte, praxisorientierte Empfehlungen, um technische Sicherheitslücken zu schließen und Betriebsrisiken zu minimieren.

Die „Guidelines for Secure Development and Deployment of AI Systems“ seien besonders für Organisationen relevant, „die auf KI-Modelle von Drittanbietern und Cloud-basierte Systeme angewiesen sind“, da Schwachstellen in diesen Bereichen zu erheblichen Datenlecks und Reputationsschäden führen könnten.

Richtlinie soll Organisationen helfen, die KI-Bereitstellung an Standards und internationale Compliance-Anforderungen anzupassen

Durch die Integration von Security-by-Design-Prinzipien unterstütze diese Richtlinie Organisationen dabei, die KI-Bereitstellung an Standards wie ESG und internationale Compliance-Anforderungen anzupassen. Die Richtlinie behandele zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren.

Die Richtlinie adressiere die folgenden Prinzipien zur Verbesserung der Sicherheit von KI-Systemen:

• Sensibilisierung und Schulungen im Bereich Cyber-Sicherheit
• „Threat Modelling“ und Risikobewertung
• Infrastruktursicherheit („Cloud“)
• Lieferketten- und Datensicherheit
• Tests und Validierung
• Schutz vor ML-spezifischen Angriffen
• Regelmäßige Sicherheitsupdates und Wartung
• Einhaltung internationaler Standards

Zunehmende KI-Verbreitung macht Gewährleistung ihrer Sicherheit unerlässlich

„Angesichts der zunehmenden Verbreitung von KI ist die Gewährleistung ihrer Sicherheit nicht optional, sondern unerlässlich“, betont Yuliya Shlychkova, „Vice President of Public Affairs“ bei Kaspersky, in ihrem Kommentar.

Beim IGF 2024 sei zu einem Dialog mehrerer Interessengruppen beigetragen worden, „um Standards zu definieren, die Innovationen schützen und zur Bekämpfung neuer Cyber-Bedrohungen beitragen“.

Weitere Informationen zum Thema:

kaspersky, 2024
AI TECHNOLOGY RESEARCH / Guidelines for Secure Development and Deployment of AI Systems

IGF Internet Governance Forum RIYADH 2024
19th Annual Meeting of the Internet Governance Forum / 15–19 Dec 2024 / King Abdulaziz International Conference Center (KAICC)

IGF Internet Governance Forum
IGF 2024 WS #31 Cybersecurity in AI: balancing innovation and risks

[datensicherheit.de, 22.08.2024] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf die in Kürze verbindliche NIS-2-Richtlinie ein: „Die Einführung der NIS-2-Richtlinie der EU, die bis Oktober 2024 von den Mitgliedstaaten in nationales Recht umgesetzt werden soll, bringt erhebliche Herausforderungen mit sich. Trotz der verbindlichen Frist scheinen viele EU-Länder, darunter auch Deutschland, nicht ausreichend vorbereitet zu sein, um diese rechtzeitig zu erfüllen.“ Diese Richtlinie zielt demnach darauf ab, die Cyber-Resilienz Kritischer Infrastrukturen (KRITIS) zu stärken und enthält zehn wesentliche Sicherheitsmaßnahmen, wie „Business Continuity Management“, Cyber-Risikomanagement, Lieferkettensicherheit sowie Aus- und Weiterbildung.

Foto: KnowBe4

Dr. Martin J. Krämer kommentiert NIS-2-Einführung: Die Zeit zum Handeln ist jetzt und Unternehmen dürfen keine Zeit verlieren!

NIS-2-Umsetzung in den EU-Mitgliedstaaten: Uneinheitlichkeit und Verzögerungen

„Die Umsetzung der NIS-2-Richtlinie verläuft in den EU-Ländern unterschiedlich“, berichtet Dr. Krämer. Während einige Staaten, wie Frankreich und die Niederlande, bereits Fortschritte gemacht hätten, hinke Deutschland aufgrund noch ausstehender Gesetzgebungen hinterher.

Frankreich hebe sich durch die Einbeziehung lokaler Behörden hervor – „ein Ansatz, der in Deutschland fehlt“. Diese Uneinheitlichkeit erschwere es europaweit tätigen Unternehmen, die verschiedenen nationalen Anforderungen zu verstehen und umzusetzen.

Mit NIS-2 konfrontierte Unternehmen: Zwischen Zuversicht und Unsicherheit

Zwar seien 80 Prozent der Unternehmen zuversichtlich, die Anforderungen der NIS-2-Richtlinie erfüllen zu können, doch viele warteten auf die endgültige nationale Gesetzgebung. Nur 14 Prozent der Unternehmen hielten die Vorschriften bereits ein, während fast die Hälfte der Unternehmen erhebliche Unterstützung von ihrer Führungsebene vermissen lasse.

„Diese fehlende Unterstützung und das mangelnde Verständnis für die Anforderungen untergraben die Bereitschaft und Fähigkeit der Unternehmen, die Richtlinie umfassend umzusetzen“, warnt Dr. Krämer.

Dringlichkeit und Handlungsbedarf angesichts Inkrafttreten der NIS-2-Richtlinie

Er führt weiter aus: „Eine Umfrage zeigt, dass ein Drittel der Unternehmen die NIS-2-Richtlinie bereits umgesetzt hat, während 38 Prozent noch am Anfang stehen. Die Unsicherheit darüber, ob und wie die Richtlinie angewendet werden muss, bleibt ein zentrales Problem.“ Die Geschäftsleitungen müssten daher stärker mit Cyber-Sicherheitsexperten zusammenarbeiten und ihre Verantwortung ernst nehmen.

Unternehmen sollten die verbleibende Zeit bis zur endgültigen Umsetzung nutzen, um proaktive Maßnahmen zu ergreifen. Dr. Krämer rät hierzu: „Die Implementierung von Sicherheitsstandards wie ISO27001 und ein umfassendes Risikomanagement, das auf die spezifischen Bedrohungen der Organisation abgestimmt ist, sind entscheidende Schritte.“ Besonders wichtig sei die Schulung der Mitarbeiter, da menschliches Versagen oft den größten Risikofaktor darstelle.

NIS-2-Richtlinie ein dringender Weckruf für KRITIS und deren Zulieferer

Die NIS-2-Richtlinie sei weit mehr als nur eine gesetzliche Vorschrift – „sie ist ein dringender Weckruf für alle Kritischen Infrastrukturen und deren Zulieferer“.

Cyber-Sicherheit müsse zur obersten Geschäftspriorität werden, um die Länder der EU vor den zunehmenden Bedrohungen durch Nationalstaaten, „Hacktivisten“ und Cyber-Kriminelle zu schützen. „Die Zeit zum Handeln ist jetzt und Unternehmen dürfen keine Zeit verlieren!“, stellt Dr. Krämer abschließend klar.

Weitere Informationen zum Thema:

datensicherheit.de, 25.07.2024
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen / Der Verband der Internetwirtschaft fordert Verlängerung der NIS-2-Umsetzungsfristen

datensicherheit.de, 11.07.2024
NIS-2: Europäisches Parlament verpflicht Unternehmen zum sorgfältigen Störungsmanagement / Nur wer jetzt vorausschauend plant und die NIS-2-Vorgaben umsetzt, wird langfristig auf der sicheren Seite stehen

datensicherheit.de, 03.07.2024
EU-Richtlinie NIS-2: Dirk Wockes Empfehlungen zur Zusammenstellung der eigenen Task Force / Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden, ist es entscheidend, rechtzeitig ein Kernteam für Sicherheitsbelange zu bestimmen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

[datensicherheit.de, 25.06.2024] Ab Oktober 2024 wird die NIS-2-Richtlinie für Unternehmen in Deutschland verbindlich: Konkret müssen dann Unternehmen in sogenannten Kritischen Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitaler Infrastruktur sowie öffentliche Verwaltungen und Forschungseinrichtungen diese EU-Richtlinie einhalten. „Diese Richtlinie, die im Januar 2023 verabschiedet wurde, bringt einige grundlegende Veränderungen mit sich, insbesondere für Unternehmen in Kritischen Sektoren“, ruft Patrycja Schrenk, Geschäftsführerin der PSW GROUP, in ihrer aktuellen Stellungnahme in Erinnerung. Sie erläutert die Implikationen: „Für sie bedeutet es jetzt, proaktiv zu handeln, denn sie müssen bis Oktober spezifische Sicherheitsmaßnahmen implementieren, um ihre Netz- und Informationssysteme zu schützen. Dazu gehören die Einführung von Sicherheitsvorkehrungen wie Verschlüsselung, Zugangskontrolle und Incident-Response-Plänen sowie die Meldepflicht von Sicherheitsvorfällen an die nationalen Behörden.“

Foto: PSW GROUP

Patrycja Schrenk warnt Unternehmen eindringlich vor den Konsequenzen einer Nichteinhaltung der NIS-2-Richtlinie

Umsetzungspflicht der NIS-2-Richtlinie betrifft auch mittelständische Unternehmen

Die NIS-2-Richtlinie sei ein wichtiger Schritt zur Stärkung der Resilienz gegenüber Cyber-Bedrohungen, denn sie lege Mindeststandards fest, um eine einheitliche und effektive Sicherheitsstruktur für Netz- und Informationssysteme in der gesamten Europäischen Union (EU) zu gewährleisten.

Die Umsetzungspflicht der NIS-2-Richtlinie betreffe dabei nicht nur große Unternehmen, sondern auch mittelständische Unternehmen. Unternehmen mit einer Größe von 50 bis 250 Mitarbeitern und einem jährlichen Umsatz von zehn bis 50 Millionen Euro bzw. einer Bilanzsumme von bis zu 43 Millionen Euro seien ebenfalls betroffen.

NIS-2-Auswirkungen auf Unternehmen: Es besteht Handlungsbedarf!

Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden und potenzielle Sanktionen zu vermeiden, sollten Unternehmen jetzt wichtige Maßnahmen ergreifen. Schrenk gibt konkrete Handlungsempfehlungen: Zunächst einmal sollten Unternehmen prüfen, ob sie in den Anwendungsbereich der NIS-2-Richtlinie fallen und sich dann ggf. beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. „Anschließend ist eine gründliche Risikoanalyse unerlässlich, um potenzielle Schwachstellen und Risiken in den eigenen Netz- und Informationssystemen zu identifizieren“, so Schrenk.

Basierend auf den Ergebnissen dieser Analyse sollten angemessene Technische und Organisatorische Maßnahmen (TOM) implementiert werden, um diese Risiken zu minimieren und die Sicherheit der Systeme – einschließlich der Lieferkette – zu verbessern. „Der Einsatz von Kryptographie und gegebenenfalls Verschlüsselungstechnologien ist in diesem Zusammenhang eine Maßnahme, um sensible Daten zu schützen. Darüber hinaus empfehlen sich auch Maßnahmen zur Personalsicherheit, Zugriffskontrolle und ,Asset Management’, um unbefugten Zugriff zu verhindern. Eine Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentifizierung tragen übrigens dazu bei, die Sicherheit von Zugriffen zu erhöhen“, betont Schrenk.

Beschäftigte betroffener Unternehmen sollten jetzt regelmäßig in Cybersecurity geschult werden

Mit der Etablierung sicherer Kommunikationskanäle für Sprach-, Video- und Textkommunikation könne auch im Notfall eine unterbrechungsfreie Kommunikation gewährleistet werden. Zudem sollten Beschäftigte gemäß NIS-2-Richtlinie jetzt regelmäßig in Cybersecurity geschult werden, um sie für Sicherheitsrisiken zu sensibilisieren.

Ein effektives Krisenmanagement sei entscheidend, um bei einem die IT-Sicherheit betreffenden Vorfall schnell, fristgerecht und mit angemessener Reaktion zu handeln. Unternehmen sollten hierzu klare Verfahren und Protokolle für die Erkennung, Bewertung und Bewältigung von Sicherheitsvorfällen entwickeln und auch an ein effektives Backup-Management sowie Wiederherstellungsverfahren denken.

Unternehmen und Leitungsebene können in die Haftung kommen

„Unternehmen, die die Anforderungen der NIS-2-Richtlinie nicht erfüllen, riskieren erhebliche Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Zudem können leitende Organe persönlich haftbar gemacht werden“, warnt Schrenk eindringlich vor den Konsequenzen einer Nichteinhaltung dieser EU-Richtlinie.

Mit einem umfangreichen Angebot an digitalen Zertifikaten und Experten, welche bei der Umsetzung der Anforderungen aus der ISO 27001 unterstützten, stehe die PSW GROUP Unternehmen zur Seite, um die Cyber-Sicherheit zu stärken und widerstandsfähiger gegen Cyber-Bedrohungen zu machen.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhnee, 21.05.2024
NIS2-Richtlinie: Das ändert sich für Unternehmen ab Oktober 2024

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

[datensicherheit.de, 31.05.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zu seiner nächsten „Awareness“-Veranstaltung mit dem Titel „NIS-2: neue gesetzliche Anforderungen an Unternehmen und Geschäftsleitung“ ein.

Abbildung: it’s.BB e.V.
„Awareness“-Veranstaltung am 12. Juni 2024: „NIS-2: neue gesetzliche Anforderungen an Unternehmen und Geschäftsleitung“

NIS-2-Richtlinie enthält neue TOM-Anforderungen an die IT-Sicherheit der Unternehmen

„In Kürze gelten für Unternehmen neue IT-Sicherheitsgesetze. Vor allem das Umsetzungsgesetz zur sog. NIS-2-Richtlinie enthält neue Anforderungen an die IT-Sicherheit der Unternehmen, ihrer Technik und Organisation.“

Zudem seien Verträge mit Kunden und Dienstleistern rechtzeitig zu schließen oder anzupassen. Diese neuen Regeln seien gerade auch für den Mittelstand relevant und verpflichteten die Geschäftsleitung persönlich.

NIS-2: neue gesetzliche Anforderungen an Unternehmen und Geschäftsleitung

Der Vortrag erläutert demnach anhand von Praxisbeispielen, wie Unternehmen sich vorbereiten und IT-Sicherheit in Verträgen vereinbaren können. Dieses Seminar werde wieder in Zusammenarbeit mit der IHK Berlin organisiert.

Diese Präsenz-Veranstaltung findet laut it’s.BB e.V. statt

am Mittwoch, dem 12. Juni 2024 von 16.00 bis 18.00 Uhr
(danach „Get Together“), Einlass 15.30 Uhr.
Adresse: IHK Berlin, Fasanenstraße 85 in 10623 Berlin
Teilnahme kostenlos, Anmeldung erforderlich!

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
Lukas Wagner, HK2 Comtection GmbH
Anna Borodenko, IHK Berlin

16.10-17.30 Uhr
– Einführung
– „IT-Sicherheit nach NIS-2-Umsetzungsgesetz: neue Anforderungen an IT-Sicherheit und Verträge mit Kunden und Zulieferern“
Karsten U. Bartels LL.M., Rechtsanwalt, Partner HK2 Rechtsanwälte / stellv. Vorstandsvorsitzender Bundesverband IT-Sicherheit (TeleTrusT) e.V.
– „Auswirkungen von NIS-2 auf Datenschutz-Vereinbarungen: Handlungsbedarf und Praxisbeispiele“
Lukas Wagner LL.M., Senior Consultant Datenschutz, HK2 Comtection GmbH
– Fragen / Diskussion / Abschluss

Online-Anmeldung:

eventbrite
Mittwoch, 12. Juni / NIS-2: neue gesetzliche Anforderungen an Unternehmen und Geschäftsleitung

[datensicherheit.de, 02.05.2024] „NIS-2 ist eine notwendige Maßnahme, um europäische Unternehmen dazu zu bringen, in ihre IT-Sicherheit zu investieren. Grundsätzlich ist das eine großartige Idee“, so Ari Albertini, „CEO“ bei FTAPI, in seinem aktuellen Kommentar. Vor allem aber sei NIS-2 eine notwendige Maßnahme: „Immerhin ist die Lage der Cyber-Sicherheit in Deutschland und ganz Europa inzwischen mehr als angespannt – es ist eines der größten Risiken für unsere Wirtschaft und unseren Wohlstand!“

Foto: FTAPI

Ari Albertini: Mit der NIS-2-Richtlinie wird Vieles richtig gemacht…

Kritik: Kommunen von der NIS-2-Richtlinie ausgeschlossen

Mit dieser Richtlinie werde Vieles richtig gemacht – „ein europaweites, einheitliches Schutzniveau, das dafür sorgt, dass Angreifer seltener ans Ziel kommen und so keinen massiven Schaden anrichten können“. Durch deren aktuelle Überarbeitung Richtlinie entstehe „Awareness, die endlich Dinge ins Rollen bringt – auch auf Management-Ebene“.

Albertini merkt indes kritisch an: „Neben der Tatsache, dass Kommunen von der Richtlinie ausgeschlossen werden, ist auch die zögerliche Umsetzung auf Bundesebene kritisch zu betrachten.“ Anstatt die Chance für mehr Cyber-Sicherheit in ganz Europa am Schopf zu packen, werde sie im Tauziehen mit der Bürokratie verpuffen.

Einhaltung der NIS-2-Umsetzungsfrist bis Oktober 2024 fraglich

Die Wahrung der gegebenen Umsetzungsfrist bis Oktober 2024 sei inzwischen sehr unwahrscheinlich. Hinzu komme, „dass das Bundesinnenministerium (BMI) für eine Nichteinhaltung der Richtlinie keine schwerwiegenden Konsequenzen erwartet“ – weder für betroffene Unternehmen noch für das Ministerium selbst. „Diese Tatsache sendet genau die falschen Signale. Anstatt auf die Brisanz von Cyber-Angriffen für die Souveränität Deutschlands und Europas hinzuweisen, wird der Eindruck vermittelt, dass sich Unternehmen mit Investitionen in die Cyber-Sicherheit ruhig Zeit lassen können – immerhin drohen kaum Strafen.“

Was laut Albertini bei der Debatte im Dunkeln bleibt, sind die Konsequenzen eines Cyber-Angriffs: „Welches Unternehmen kann es sich leisten, tagelang nicht betriebsfähig zu sein und das Vertrauen der Kunden zu verlieren? Richtig, keines!“

NIS-2 sollte zu einem umfassenderen und proaktiven Ansatz in der Cyber-Sicherheit beitragen

Wenn die Politik hier nicht mit gutem Beispiel vorangeht, dann müssten es die Unternehmen selbst in die Hand nehmen. „Cyber-Sicherheit muss ein integraler Bestandteil einer jeder Geschäftsstrategie sein – kein lästiger Kostenfaktor oder ‚Sache der IT‘“, stellt Albertini klar.

So könne NIS-2 tatsächlich zu einem umfassenderen und proaktiven Ansatz in der Cyber-Sicherheit beitragen, der über die bloße Einhaltung von Vorschriften hinausgehe und eine Kultur der kontinuierlichen Verbesserung und des Risikobewusstseins fördere.

Weitere Informationen zum Thema:

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

datensicherheit.de, 16.04.2024
NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos / Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

[datensicherheit.de, 19.04.2024] Die NIS-2-Richtlinie bringt offensichtlich auch neue Anforderungen an die Lieferkette mit sich – laut ESET ein schwieriges Thema, denn schließlich sei der Begriff „Lieferkette“ nicht in dieser Richtlinie definiert. „Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen?“ Dieser und weiteren Fragen widmet sich Christian Lueg in der aktuellen Episode von „WeTalkSecurity“ mit dem IT-Rechtsanwalt Stefan Sander – Sander ist demnach Fachanwalt für Informationstechnologierecht und gilt aufgrund seiner Doppelqualifikation (abgeschlossenes IT-Studium und Fachanwalt für IT-Recht) deutschlandweit als „gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz“.

Abbildung: ESET

ESET-Podcast „WETALKSECURITY“, Episode 21 vom 18.04.2024

Englischer Begriff der Supply Chain von der Bedeutung umfangreicher als das deutsche Wort Lieferkette

Im Podcast wird erläutert, dass der englische Begriff „Supply Chain“ sich als Teilbereich der Logistik über den Fluss von Waren oder Dienstleistungen – vom Rohmaterial-Lieferanten bis zum Endverbraucher – erstreckt, mithin alle Prozesse, Aktivitäten, Ressourcen und Organisationen umfasst, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen. Im Unterschied zum klassischen deutschen Begriff „Lieferkette“ ist „Supply Chain“ also weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung.

Die NIS-2-Richtlinie verknüpft nun ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette – was überraschen könnte. Unternehmen, insbesondere „Managed Service Provider“ (MSPs), welche IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich dieser Richtlinie. „Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor.“

Betroffenheit von Unternehmen basiert nicht nur auf deren Rolle in der Lieferkette

Im Wesentlichen gebe es zwei Hauptvoraussetzungen zu beachten: Erstens müsse eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant sei, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt – solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähne der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als „besonders kritisch“: Damit würden MSPs in diesem Sektor reguliert, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert seien. „Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen.“

Spannend werde es vor allem für den deutschen Mittelstand: „Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme.“ Unternehmen überschritten den Schwellenwert, „wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten“. Die Mitarbeiteranzahl sei ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet würden. Das Ziel sei es, eine faire Behandlung zu gewährleisten. Die EU habe dazu einen Leitfaden herausgebracht, an dem Unternehmen sich orientieren könnten (s.u.).

Betroffene Unternehmen unter den Vorgaben von NIS-2 müssen geeignete Maßnahmen treffen, um die Lieferkette zu schützen

Um kleine Unternehmen (d.h. mit weniger als 50 Mitarbeitern) zu fördern, fielen diese nicht unter die NIS-2-Richtlinie – „außer sie gehören zu einem Konzern oder einer Konzerngruppe“ (die Gesamtzahl der Mitarbeiter addiere sich hier aus allen Mitarbeitern aller Unternehmen der Gruppe). „Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5.000, zählen diese 5.000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS-2 (bei einem Beteiligungsverhältnis von über 50 Prozent).“ Komplizierter werde es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote würden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet.

„Nicht jedes Unternehmen, das als Zulieferer für ein großes fungiert, fällt automatisch unter NIS-2.“ Es könne aber vorkommen, dass größere Unternehmen von ihren Zulieferern erwarteten der Richtlinie zu entsprechen. „Wenn das eigene Unternehmen unter die Vorgaben von NIS-2 fällt, muss es automatisch geeignete Maßnahmen treffen, um die Lieferkette zu schützen.“ Im Umkehrschluss müssten sich Unternehmen auch vor Gefahren schützen, welche aus anderen Teilen der Lieferkette kommen könnten. Dies treffe insbesondere auf die IT-Sicherheit zu. Der Gedanke dahinter sei: „Die Volkswirtschaft und Arbeitsplätze vor Gefahren zu schützen, die aus der Störung der Lieferkette entstehen.“

Maßnahmen zur Sicherung der Lieferkette zu ergreifen bedeutet, sowohl eigene Systeme als auch die der Lieferanten zu schützen

„Wer keine Angst vor Gesetzestexten hat, kann in die Artikel 20, 21 und 23 der Richtlinie schauen.“ Artikel 21 beschreibe die Technischen und Organisatorischen Maßnahmen (TOM) in puncto Risikomanagement, „die mit der Richtlinie auf Unternehmen zukommen werden“. Im Kern gehe es darum, die größtmögliche Qualität vorzuweisen. Weitere Informationen dazu gebe es im ESET-Whitepaper zum Stand der Technik und zu NIS-2 (s.u.). Selbst regulierte Unternehmen seien gemäß Artikel 21 Absatz 2 verpflichtet, Maßnahmen zur Sicherung ihrer Lieferkette zu ergreifen. „Dies bedeutet, dass sie sowohl ihre eigenen Systeme als auch die ihrer Lieferanten schützen müssen.“

Aus Sanders Sicht reichen die Maßnahmen aus – „eine NIS-3-Richtlinie müssen Unternehmen in Europa erst einmal nicht befürchten“. Abschließend rät er dringend, sich rechtzeitig um die Umsetzung von NIS-2 kümmern – „nicht nur, um auf der sicheren Seite zu sein, sondern auch, weil eine starke IT-Sicherheit dem eigenen Unternehmen zugutekommt“.

Link zum Podcast und weitere Informationen zum Thema:

WETALKSECURITY, 18.04.2024
Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette / Herausforderungen und Möglichkeiten für Unternehmen

eSET, März 2024
WHITEPAPER: IT-Security auf dem Stand der Technik 2. Auflage / Wie sind Unternehmen, CISOs, Vorstände und Geschäftsführer in Zukunft sicher aufgestellt?

WETALKSECURITY, 14.06.2023
Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis

EUROPÄISCHE KOMMISSION
Benutzerleitfaden zur Definition von KMU

datensicherheit.de, 16.04.2024
NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos / Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

[datensicherheit.de, 09.11.2021] Das sogenannte Internet der Dinge (IoT), insbesondere alle darin vernetzten drahtlosen „intelligenten“ Geräte, stellt offensichtlich eines der größten Risiken in der Informationstechnologie dar. Mit neuen Sicherheitsanforderungen möchte die EU-Kommission jetzt deutlich den Druck auf Hersteller, Integratoren und Händler von IoT Geräten erhöhen – zum Schutz von Unternehmen und Verbrauchern. Die neue Erweiterung zur sog. RED (Funkanlagenrichtlinie 2014/53/EU) soll demnach ab 2024 EU-weit in Kraft treten und für alle in der EU zum Verkauf zugelassenen Geräte gelten.

Größte europäische Plattform zur automatisierten Überprüfung der Firmware von IoT-Geräten

„Wir begrüßen die Initiative der EU sehr. Bei Untersuchungen in unserem Labor finden wir oft gravierende Schwächen in nahezu allen drahtlosen Geräten“, berichtet sagt Jan Wendenburg, „CEO“ des IT-Security-Unternehmens IoT Inspector. Die Spanne reiche dabei von Routern über Tablets, IP-Kameras, Smartspeakern, Babymonitoren bis zu smarten Geräten in Firmennetzwerken. Über diese Geräte könnten Hacker oft leicht Zugang zum lokalen Netzwerk, zu sensiblen Daten und Servern erhalten, warnt Wendenburg.
Neben dem eigenen Testlabor betreibe IoT Inspector auch die größte europäische Plattform zur automatisierten Überprüfung der Firmware von IoT-Geräten. Diese erkenne Sicherheitsrisiken und Compliance-Verstöße automatisch und zuverlässig. Problematisch sei laut Wendenburg allerdings die unzureichende Konkretisierung der Richtlinie. Damit werde eine Umsetzung für Hersteller erschwert – obwohl sie bald für alle Hersteller verbindlich in Kraft treten solle.

Hunderttausende IoT-Schwachstellen bereits im Umlauf

„Router und zahlreiche IoT-Geräte sind in Unternehmensnetzen bis zu zehn Jahre im Einsatz, in privaten Haushalten oft noch länger. Die bisher fehlende Verpflichtung, über Updates der Firmware für mehr Sicherheit zu sorgen, ist ein unkalkulierbares Risiko“, sagt Wendenburg. Erst kürzlich habe IoT Inspector schwere Sicherheitslücken in Komponenten von Realtek und Broadcom aufgedeckt, „die sich aufgrund mangelnder Transparenz in ,Supply Chain‘ und Produktentwicklung auf Hunderttausende Geräte von bis zu 65 namhaften Herstellern ausbreiten konnten“. Betroffen seien unter anderem Router, IP-Kameras, smarte Beleuchtungssteuerungen und zahlreiche andere Geräte, „die in Unternehmen und Haushalten weltweit zum Einsatz kommen“.
Eine Sicherheitsprüfung müsse daher bereits in der Produktentwicklung stattfinden, um potenzielle Schwachstellen noch vor Markteinführung zu identifizieren und zu beheben. Mit der Plattform von IoT Inspector stehe Produktherstellern und Produktintegratoren eine bewährte Lösung zur automatisierten Sicherheitsüberprüfung zur Verfügung, mit der IoT-Firmware während des gesamten Produktlebenszyklus automatisch überwacht werden könne. Durch Integration in die Produktentwicklung reduzierten sich damit fast automatisch Kosten, Ressourcen, Entwicklungszeit und Projektrisiken.

Auf Basis echter Ergebnisse und Analysen korrektive Maßnahmen für ein Plus an IoT-Sicherheit

Die EU-Kommission habe aufgezeigt, dass schon jetzt 80 Prozent der Cyber-Attacken auf drahtlose Geräte abzielten, und diese somit ein beliebtes Einfallstor für weitere Schäden in Netzwerken darstellten. Cyber-Bedrohungen entwickelten sich rasch weiter, die Technologien der Angreifer würden zunehmend komplexer und passten sich den Gegebenheiten immer besser an. „Cybercrime hat sich von der Arbeit einiger wenig organisierter Hacker längst zu einem veritablen Geschäftsmodell für kriminelle Vereinigungen entwickelt. Es ist kaum abzuschätzen, wie sich die Gefährdungslage in den kommenden Monaten entwickelt“, gibt Wendenburg zu bedenken.
Im neuen Lagebericht zur IT-Sicherheit schätze das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aktuelle Situation als „angespannt bis kritisch“ ein, teilweise gelte bereits „Alarmstufe Rot“. Die Steigerung seit zwei Jahren sei überproportional. Daher sei Eile gefragt, wirkungsvolle Überwachungsgremien wie Prüf- und Zertifizierungsorganisationen in die Lage zu versetzen, auf Basis echter Ergebnisse und Analysen korrektive Maßnahmen für ein Plus an IoT-Sicherheit bewirken zu können.

Weitere Informationen zum Thema:

IoT Inspector, 16.08.2021
Kritische Sicherheitslücken in Realtek-Chips betreffen mehr als 65 Hardwarehersteller

EUR-Lex
Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt und zur Aufhebung der Richtlinie 1999/5/EG Text von Bedeutung für den EWR

[datensicherheit.de, 03.08.2021] Laut einer aktuellen Meldung des Verbraucherzentrale Bundesverband (vzbv) beabsichtigt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), gegen die steigende Gefahr von sogenanntem Greenwashing bei Geldanlagen vorzugehen: „Laut einem gestern veröffentlichten Richtlinien-Entwurf müssen Fonds, die als nachhaltig beworben werden, künftig mindestens 75 Prozent ihrer Anlagen nachhaltig investieren.“ In seiner Stellungnahme kommentiert vzbv-Vorstand Klaus Müller, des Verbraucherzentrale Bundesverband (vzbv) dieses Vorhaben.

vzbv begrüßt Initiative der BaFin

Müller erläutert: „Auch bei Geldanlagen besteht die Gefahr von Greenwashing. Es ist deshalb gut, dass die BaFin die Anbieter von Nachhaltigkeitsfonds dazu verpflichten will, dass sie im Kern auch nachhaltig anlegen.“ Aber auch der Gesetzgeber sei gefordert. Die Mehrheit der Verbraucher erwarte, dass als „nachhaltig“ beworbene Anlagen auch zu konkreten Veränderungen führten – „also zum Beispiel Treibhausgasemissionen reduzieren oder Sozialstandards verbessern“.

Bundesregierung sollte Impuls der BaFin aufgreifen

Bei vielen Geldanlagen sei eine solche Wirkung allerdings unklar. „Der vzbv erwartet, dass die Bundesregierung sich hier für klare Standards und Definitionen einsetzt: Anlagen sollten nur als ,nachhaltig‘ bezeichnet werden, wenn sie einen messbaren Beitrag zu Nachhaltigkeitszielen leisten und mehr sind als reine Werbeversprechen“, fasst Müller die vzbv-Position zusammen.“

Weitere Informationen zum Thema:

BaFin, 02.08.2021
Nachhaltige Investmentvermögen: BaFin konsultiert Richtlinie

BaFin, 02.08.2021
Konsultation 13/2021 – Konsultationsfassung / Download

[datensicherheit.de, 09.09.2019] Nach Ansicht des eco – Verband der Internetwirtschaft e.V. bleibt das neue Urheberrecht umstritten. Die EU-Mitgliedstaaten Italien, Luxemburg, Niederlande, Polen, Finnland und Schweden hätten gegen die Reform gestimmt – Belgien, Estland und Slowenien sich enthalten. Deutschlands Zustimmung sei letztlich das Zünglein an der Waage und für die notwendige Mehrheit ausschlaggebend gewesen. Jetzt habe Polen gegen die umstrittene EU-Richtlinie zum Urheberrecht vor dem Europäischen Gerichtshof (EuGH) in Luxemburg Klage eingereicht.

Reale Bedrohung für Autoren, kleine und mittelständische Unternehmen sowie Internetnutzer

Der eco-Vorstandsvorsitzende Oliver J. Süme kommentiert: „Mit dem neuen Urheberrecht wird das Gegenteil dessen erreicht, was zuvor wiederholt als das Ziel der Richtlinie ausgegeben wurde. Statt der eigentlichen Urheber profitieren nur die großen Verwertungsgesellschaften und Presseverleger sowie die großen Plattformen“.
Uploadfilter und das Leistungsschutzrecht seien eine reale Bedrohung für Autoren, kleine und mittelständische Unternehmen sowie Internetnutzer gleichermaßen. „Die Urheberrecht-Richtlinie hat das Potenzial, das Internet, wie wir es kennen, für immer zu verändern“, warnt Süme.

Gratwanderung für alle Beteiligten

Kleinere Unternehmen würden ihre Dienste einschränken, oder künftig teure Technologien einkaufen müssen, die sich nur die Großen in der Entwicklung leisten könnten. Es werde zu einer Überfilterung kommen, weil von Diensteanbietern im Zweifel mehr Inhalte als notwendig blockiert würden, um Haftungen zu entgehen. Anbieter von Inhalten und Nutzer würden sich regelmäßig Freigaben erstreiten müssen, so die Prognose des eco – eine „Gratwanderung für alle Beteiligten“.
Mit seiner Stellungnahme hat sich der eco-Verband der Internetwirtschaft jetzt nach eigenen Angaben an der Konsultation zur nationalen Umsetzung der Urheberrecht-Richtlinie im digitalen Binnenmarkt beteiligt und dabei nochmals die für die Internetwirtschaft zentralen Aspekte und Kritikpunkte adressiert:

1. Der verpflichtende Einsatz von Upload-Filtern müsse europaweit einheitlich verhindert werden.
2. Kleine und mittelständische Unternehmen sowie Start-ups bräuchten interessengerechte praktikable Lösungen mit Weitblick.
3.  Für die nötige Rechtssicherheit bei der Umsetzung der Urheberrecht-Richtlinie bedürfe es klarer Regelungen, Abgrenzungen und Definitionen innerhalb des Gesetzes.
4. Beim Leistungsschutzrecht für Presseverleger bedürfe es einer ausreichenden Zitat-/Ausschnittlänge (Snippet), um weiterhin sinnvolle Verlinkungen von Presseveröffentlichungen zu ermöglichen. Gleichzeitig könne so der Verbreitung von „Fake-News“ entgegengewirkt werden.
5. Es brauche verpflichtend einheitliche und maschinenlesbare Angaben des Publikationsdatums bei Online-Presseveröffentlichungen.

Weitere Informationen zum Thema:

eco – Verband der Internetwirtschaft e.V
STELLUNGNAHME zur Richtlinie (EU) 2019/790 des Europäischen Parlaments und des Rates vom 17. April 2019 über das Urheberrecht…

datensicherheit.de, 06.06.2019
EU-Urheberrecht tritt in Kraft: eco fordert Augenmaß

[datensicherheit.de, 06.06.2019] Am 6. Juni 2019 trat die Richtlinie über das Urheberrecht und die verwandten Schutzrechte im Digitalen Binnenmarkt der EU in Kraft. Jetzt hätten die EU-Staaten zwei Jahre – bis zum 7. Juni 2021 – Zeit, die umstrittenen Regeln in nationales Recht umzusetzen. eco, der Verband der Internetwirtschaft kritisiert, dass diese Richtlinie genau das Gegenteil dessen bewirken werde, was wiederholt als ihr Ziel ausgegeben wurde.

Reale Bedrohung für kleine Verlage, Autoren und Internetnutzer

Der eco-Vorstandsvorsitzende, Oliver J. Süme, kommentiert: „Die Urheberechtsreform ist eine reale Bedrohung für kleine Verlage, Autoren und Internetnutzer gleichermaßen und birgt die Gefahr, das Internet, wie wir es kennen, für immer zu verändern.“ Statt der eigentlichen Urheber würden am Ende dabei nur die großen Plattformen, Verwertungsgesellschaften und Presseverleger profitieren.
„Die Bundesregierung hatte sich in ihrem Koalitionsvertrag ausdrücklich gegen Upload-Filter ausgesprochen und diese als unverhältnismäßig abgelehnt. Auch in der im Zuge der Abstimmung im Rat abgegebenen Erklärung wurde dies bekräftigt. Wir werden deshalb ganz genau beobachten wie die Bundesregierung diese, von Experten bereits als rechtswidrig kritisierte Regelung, nun umsetzen will und wir werden diesen Prozess aktiv begleiten.“ Deutschland dürfe bei der nationalen Umsetzung die eigenen Prinzipien nicht über Bord werfen.

Bild: eco

Oliver Süme, Vorstandsvorsitzender des eco – Verbands der Internetwirtschaft e. V.

Verwirklichung des europäischen Digitalen Binnenmarktes bedroht

Mit der europäischen Urheberrechtsrichtlinie drohe ein „tiefer Einschnitt in die Meinungsfreiheit sämtlicher Internetinhalte“. Der darin enthaltene Artikel 13 (nunmehr Art. 17) sehe vor, dass alle online hochgeladenen Inhalte überwacht und möglicherweise gelöscht werden müssten, sofern eine Ähnlichkeit mit bestehenden urheberrechtlich geschützten Inhalten erkannt wird.
„Die teilweise neu gewählten und besetzten EU-Institutionen müssen sich den gemachten Fehlern nicht ergeben. Ein europäisches Urheberrecht, das sämtliche Potenziale der digitalen Wirtschaft ignoriert, die Digitalisierung der Gesellschaft und die Entwicklung neuer innovativer Geschäftsmodelle europaweit systematisch ausbremst – nur um traditionelle Industrien und veraltete Geschäftsmodelle zu schützen – wird der Verwirklichung des europäischen Digitalen Binnenmarktes in keiner Weise gerecht.“ Die EU sollte die Chance nutzen und die Reform nachbessern, um zu verhindern, dass „das Internet in Europa kaputtgefiltert wird“, mahnt Süme.

Weitere Informationen zum Thema:

datensicherheit.de, 05.04.2019
EU-Rat stimmt endgültig über Reform des Urheberrechts ab

datensicherheit.de, 28.03.2019
Innovationsbremse Urheberrechtreform: komplett an der Realität vorbei

datensicherheit.de, 08.03.2019
Urheberrechtsreform: Protestabschaltung bei Wikipedia Deutschland

datensicherheit.de, 26.02.2019
Urheberrecht: Warnung vor datenschutzrechtlichen Risiken

datensicherheit.de, 17.02.2019
Upload-Filter: Faires europäisches Urheberrecht wird verspielt

datensicherheit.de, 14.02.2019
Trilog-Kompromiss für Europäische Urheberrechtsreform ausgehandelt

datensicherheit.de, 21.01.2019
eco: Chance für ein faires europäisches Urheberrecht nutzen

datensicherheit.de, 11.09.2018
EU-Urheberrechtsrichtlinie: eco nimmt Stellung zur erneuten Abstimmung

datensicherheit.de, 05.07.2018
Urheberrechtsreform: Europäisches Parlament stimmt im September 2018 ab / Upload-Filterpflicht zunächst abgewiesen – Bitkom und Digitalcourage beziehen Stellung zur aktuellen Entscheidung

datensicherheit.de, 29.06.2018
2% der MEPs könnten das Internet zerstören

datensicherheit.de, 24.06.2018
Bitkom-Kritik an Entwurf zur neuen EU-Urheberrechtsrichtlinie