NIS2-Umsetzung & Null-Toleranz-Strategie


"Die komplexe Bedrohungslage erfordert ein einheitliches Cybersicherheitsniveau"
Umsetzung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes und der Dringlichkeit, notwendige Maßnahmen zur Stärkung der Cyberresilienz zu ergreifen



Von Gerald Eid, Regional Managing Director DACH bei Getronics

148 Milliarden Schaden im vergangenen Jahr – und längst noch kein Ende in Sicht: Die Bedrohungslage ist und bleibt prekär. Zudem sorgen Digitalisierung, Cloud und KI für neue Angriffsflächen und eröffnen den Hackern eine Vielzahl an Möglichkeiten. Dies zeigt auch die jüngste Lünendonk-Studie. Der zu Folge hakt es insbesondere bei der E-Mail-Sicherheit und dem Schwachstellenmanagement. Trotz einer anhaltend massiven Bedrohungslage hat rund ein Drittel der Unternehmen keinen Überblick über den tatsächlichen Cybersecurity-Status. Allerdings steigen, laut der Studienergebnisse, die Investitionen in Sicherheitsmaßnahmen – und das ist auch gut so. Denn nachdem das Bundeskabinett endgültig das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beschlossen hat, drängt die Zeit ohnehin, die notwendigen Maßnahmen auf den Weg zu bringen, um die Cyberresilienz zu stärken.

Zu den Anforderungen, die die Richtlinie zugrunde legt, zählen unter anderem Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management sowie Konzepte zum Einsatz von Verschlüsselung. Strenge Kontrollen durch Behörden und stringente Meldepflichten unterstreichen die Dringlichkeit, das Thema schnellstmöglich zu adressieren und sich auf die Anforderungen der Richtlinie vorzubereiten.

Zuerst gilt es den Anwendungsbereich von NIS2 zu verstehen. Wichtig zu wissen ist hierbei, dass die Vorschriften nicht nur für die Unternehmen gelten, die gemäß der Richtlinie als "wesentlich" oder "wichtig" eingestuft werden, sondern auch für deren Auftragnehmer. Was dann folgt, ist eine Selbstanalyse der Sicherheitslage, die die Praktiken der Cyberhygiene ebenso beleuchtet wie die aktuellen Schwachstellen und die Existenz falsch konfigurierter Konten. Eine Lückenanalyse im Zuge derer aktuelle Sicherheitspraktiken dokumentiert werden, ermöglicht den Abgleich zwischen den bestehenden Maßnahmen und den NIS2-Anforderungen. Die identifizierten Lücken sollten dann anhand ihrer potenziellen Auswirkungen priorisiert werden, um in Anschluss einen detaillierten Aktionsplan zu erstellen.

Der Schutz privilegierter Konten mithilfe eines effektiven Zugriffsmanagement ist einer der wichtigsten Punkt des Maßnahmenkatalogs. Denn er ist in erster Linie dafür verantwortlich, dass Unterbrechungen des Geschäftsbetriebs möglichst minimiert werden. Darüber hinaus müssen Unternehmen Backup-Management, Disaster Recovery, Krisenmanagement und Notfallpläne auf dem Schirm haben, um im Fall der Fälle handelsfähig zu bleiben. Im Wesentlichen empfiehlt sich eine Null-Toleranz-Strategie mit starken Authentifizierungsmethoden, um Angriffe bereits im Vornherein vereiteln zu können.

Allerdings müssen zur Schließung aktueller Lücken und zur Optimierung der Cyberresilienz die nötigen Ressourcen seitens des Unternehmens bereitgestellt werden. Hierunter können sowohl die Investition in neue Technologien und Tools sowie das Hinzuziehen externer Experten oder die Fortbildung der eigenen Mitarbeiter fallen. Wie der Folgeabschätzungsbericht der EU zeigt, könnten die durchschnittlichen Ausgaben für die IT-Sicherheit um zwölf bis 22 Prozent steigen.

Fakt ist: Die bloße Einhaltung von Standards reicht nicht mehr aus. Jetzt braucht es ein durchdachtes und ganzheitliches Risikomanagementkonzept, das alle kritischen Bereiche abdeckt. Und dies nicht nur, weil die NIS2-Richtlinie ausdrücklich die Haftung von Leitungsorganen bei Nichteinhaltung von Verstößen gegen die Anforderungen und die Meldepflichten vorsieht. Erhebliche finanzielle Sanktionen sind nur die eine unangenehme Folge für jene, die sich nicht proaktiv um die Sicherheit ihres Unternehmens bemühen – der Verlust sensibler Daten und, noch schlimmer, des Vertrauens der Kunden dürfte schwerer wiegen. (Getronics: ra)

eingetragen: 10.08.24
Newsletterlauf: 30.10.24

Getronics: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Weitere Maßnahmen sollten folgen

    Die Deutsche Kreditwirtschaft (DK) begrüßt die Entscheidung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), den sektoralen Systemrisikopuffer für Wohnimmobilienfinanzierungen von zwei auf ein Prozent zu senken. Damit reagiert die Aufsicht auf die veränderten Marktbedingungen und kommt einer Forderung der Kreditwirtschaft nach. Der Schritt ist ein wichtiges Signal für die differenzierte und verantwortungsvolle Anwendung makroprudenzieller Instrumente.

  • Dringend gesetzliche Klarheit & Bürokratieabbau

    Als am 1. Juli 2024 die Pflegepersonalbemessungsverordnung (PPBV) in Kraft getreten ist, waren sich die meisten Krankenhäuser über die weitreichenden Folgen vermutlich noch gar nicht im Klaren. Denn: Auch wenn der ursprüngliche Gedanke aus dem Gesundheitsministerium durchaus begrüßenswert ist - nämlich Pflege und Versorgung im Gesundheitswesen zu verbessern - ist es wieder einmal das Wie, das eine Besserung der oftmals dramatischen Lage verhindert. In der Praxis erweist sich die Verordnung nämlich nicht als pragmatische Lösung für bessere Arbeitsbedingungen oder einen Abbau von zeitintensiver Bürokratie, sie ist ziemlich genau das Gegenteil: ein bürokratisches Monster, das an inhaltlicher Komplexität seinem eigenen Namen in nichts nachsteht.

  • Stärkung der Demokratie notwendiger denn je

    Transparency Deutschland (TI-D) hat den Koalitionsvertrag der neuen Regierung geprüft - die Bilanz fällt weitgehend ernüchternd aus. Mit Blick auf Lieferkettengesetz, Geldwäschebekämpfung sowie Klima- und Umweltpolitik seien leider erhebliche Rückschritte zu erwarten.

  • Bewertung von PCI DSS 4.0

    Am 31. März 2025 trat die neueste Version des Payment Card Industry Data Security Standard (PCI DSS) in Kraft - Version 4.0*. PCI DSS 4.0 verlangt nicht nur, dass digitale Identitäten eindeutig Personen zugeordnet werden, sondern legt zudem den Fokus auf die Aufrechterhaltung robuster Sicherheitsmaßnahmen angesichts sich ständig weiterentwickelnder Cyberbedrohungen. Organisationen, die mit Zahlungskartendaten arbeiten, müssen verbesserte Sicherheitsanforderungen umsetzen - darunter auch starke Multi-Faktor-Authentifizierung (MFA).

  • EU-Richtlinie gegen Diskriminierung muss kommen

    Auf EU-Ebene fanden weitere Verhandlungen zur "5. Antidiskriminierungsrichtlinie zur Anwendung des Grundsatzes der Gleichbehandlung ungeachtet der Religion oder der Weltanschauung, einer Behinderung, des Alters oder der sexuellen Ausrichtung" statt. Der Sozialverband VdK fordert die Bundesregierung auf, sich endlich dafür einzusetzen, dass diese verabschiedet wird.

Quantum-Sicherheit beginnt jetzt Herausforderungen und Chancen der NIS-2-Direktive

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen