Da kommt etwas Großes auf uns zu Fernzugriff –
Bei der „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union“ (NIS2-Richtlinie) denken die meisten, dass dies nur für KRITIS (Kritische Infrastrukturen) – also solche Unternehmen in Bereichen wie zum Beispiel Strom- oder Wasserversorgung – gilt. Dem ist allerdings bei Weitem nicht so und man sollte sich zeitnah mit den Anforderungen beschäftigen. Denn: Die Frist zur Umsetzung von NIS2 läuft bereits am 17. Oktober 2024 ab!
Es ist sicherlich eine der weniger schönen Tätigkeiten im Bereich der IT, sich mit Richtlinien und Gesetzen zu beschäftigen, möchte man doch eigentlich mit Technik arbeiten. Bei NIS2 kommt allerdings beides zusammen, denn die Maßnahmen werden durch die Richtlinie vorgegeben. Und es gilt wie bei allem: Je mehr Schutz, desto besser. Was sollten wir IT-Dienstleister tun?
Zunächst sollten wir als IT-Dienstleister klären, ob wir direkt oder indirekt von NIS2 betroffen sind. Denn so können bestimmte Kunden und in Folge man selbst in den umfangreichen Geltungsbereich dieser europäischen Richtlinie fallen.
Das Stichwort hierzu lautet: Lieferkette.
Für wen grundsätzlich – aber nicht ausschließlich – NIS2 gilt, kann man anhand folgender Mindestanforderungen ermitteln:
⊲ Unternehmen ist in einem Sektor mit hoher Kritikalität tätig
⊲ Mindestens 250 Mitarbeitende
⊲ Jahresumsatz ab 50 Millionen Euro oder eine Bilanzsumme ab 43 Millionen Euro
Bei mittleren Unternehmen liegen die Schwellenwerte bei
⊲ Mindestens 50 Mitarbeitende
⊲ Jahresumsatz oder eine Bilanzsumme ab 10 Millionen Euro
Das klingt zunächst nach viel, aber auch kleinste Unternehmen können aufgrund ihres Tätigkeitsbereichs als Sonderfall gelten und fallen dann ebenfalls in den Geltungsbereich von NIS2.
Und wie bereits erwähnt, ist man als ITler im Rahmen der Lieferkette oder als Erbringer bzw. Verwalter von ITK-Diensten – völlig unabhängig von Mitarbeiterzahl und Umsatz/Bilanz –eventuell ebenfalls betroffen.
Die Ziele von NIS2 sind dabei klar:
⊲ Resilienz schaffen
⊲ Schäden verringern
⊲ Gemeinsames (hohes) Niveau an IT-Sicherheit etablieren
Erstrebenswert und sinnvoll, keine Frage. Schließlich möchte sich niemand von uns – weder ITler noch Kunde – mit einem IT-Sicherheitsvorfall und den unweigerlich daraus folgenden Konsequenzen herumschlagen müssen. Von Reputationsverlusten für alle Beteiligten ganz zu schweigen. Ferner muss man sich diesen Stress schlicht nicht antun, daher gilt das altbewährte Sprichwort: Vorsicht ist besser als Nachsicht.
Awareness einer der entscheidenden Faktoren
Verschiedene Vorfälle in den vergangenen zwölf Monaten haben immer wieder gezeigt, dass mitunter nur durch die Aufmerksamkeit von Administratoren und Benutzern Hacks überhaupt aufgefallen sind.
Moderne (Awareness-)Schulungen, wie sie zum Beispiel Hornetsecurity, Kaspersky oder Webroot anbieten, bilden einen Teil dieser Richtlinie ab – und das ist auch gut so, denn Technik allein ist nicht alles. Weitere Punkte sind beispielsweise MFA, Verschlüsselung uvm. – hier halten beispielsweise ESET und Hornetsecurity passende Lösungen parat.
Dass ein „Weiter so“ also gar nicht oder nur schlecht funktioniert, haben diverse Hacks und IT-Sicherheitsvorfälle immer wieder eindrucksvoll gezeigt. Daher tut man gut darin, nicht nur sowohl das eigene Mindset als auch das der Kunden zu optimieren, sondern auch in Sachen IT-Sicherheitstechnik aufzurüsten oder Vorhandenes richtig einzusetzen.
NIS2-Informationswebsite bietet alles Notwendige Es ist letztlich entscheidend, die Richtlinie zu studieren, denn diese definiert den Geltungsbereich sowie Maßnahmen und die Mindestsanktionen. Anders ausgedrückt: Im nationalen Recht wird es nicht einfach in der Umsetzung und auch nicht „billig“, falls es zu einer Sanktion kommen sollte.
Neben dem Studium der Richtlinie sind zudem weitere Angebote zur Information und Schulung empfehlenswert. Die ausführliche NIS2-Informationswebsite von Elovade bietet hier Inhalte, die perfekt auf uns ITler zugeschnitten sind: Expertentipps eines renommierten Rechtswissenschaftlers, prägnante Videos, ein Whitepaper mit Lösungsmatrix sowie viele weitere Materialien, die zeigen, wie sich NIS2 erfolgreich und sogar noch gewinnbringend umsetzen lässt.
Was tut mein Unternehmen konkret?
Wir selbst als IT-Systemhaus befinden uns aktuell noch in Klärung, inwieweit uns, unsere Kunden und Lieferanten die Richtlinie betrifft. Was aber leider auffällt: Bei vielen Unternehmen, unabhängig von der Branche, ist dieses Thema noch gar nicht bekannt oder wurde gar vorausgeplant bzw. angegangen. Mitunter haben sogar noch nicht einmal Rechenzentrumsbetreiber geprüft, ob es sie betrifft – stattdessen macht man es sich einfach und verweist darauf, dass die Kunden proaktiv auf einen zukommen müssten.
Daher: Selbst wenn man mit NIS2 auf den ersten Blick nichts zu tun zu haben scheint, ist es mehr als sinnvoll, sich mit den rechtlichen Neuerungen auseinanderzusetzen. Dabei ist nicht nur das Ziel, zu erfahren, worum es geht, sondern sich mit besserer IT-Sicherheit generell vertraut zu machen und so für sich sowie seine Kunden Verbesserungen ableiten zu können. Denn ein Mehr an (IT-)Sicherheit können wir alle durchaus gebrauchen.
NIS2-Informationswebsite von Elovade