NIS2 steht vor der Tür. Ein perfekter Zeitpunkt, die eigene Security auf den Prüfstand zu stellen. ITWelt.at sprach mit Maik Wetzel, Strategic Business Development Director DACH bei ESET DACH. [...]
Es ist im Hause ESET bereits Tradition, zu Jahresbeginn einen Schwerpunkt auszurufen. 2021 war es Multi Secured Endpoint, 2022 Ero Trust Security, letztes Jahr Stand der Technik und heuer NIS 2.0 – ein Thema, das der europäische Security-Anbieter bei der DACH-Partnerkonferenz 2024 in Berlin im Detail vorgestellt hat.
Rein technisch soll dieses Jahr von Cloud + Services dominiert werden, „damit Unternehmen notwendige Effizienzgewinne erzielen und dadurch den zunehmenden Kostendruck kompensieren“, zitierte Thorsten Urbanski, Director of Marketing & Communication DACH bei ESET, bei seiner Keynote Rudolf Aunkofer, Direktor und Gründer des Instituts für Information & Supply Chain Management.
Was die europäische Richtlinie NIS2 betrifft, wird sie laut Bart Groothuis, Mitglied des EU Parlaments, „rund 160.000 Unternehmen dabei helfen, ihre Sicherheit zu erhöhen und Europa zu einem sicheren Ort zum Leben und Arbeiten zu machen.“
Bei NIS2 geht es im Grund darum, die Sicherheitsrichtlinien auf einen größeren Teil der Unternehmen auszuweiten, um die Resilienz aller EU-Mitgliedschaften technisch wie organisatorisch zu erhöhen. Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS2 auf einen deutlich größeren Teil der Wirtschaft ausgeweitet, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.
Von den Richtlinien betroffen sind demnach Sektoren mit hoher Kritikalität, dazu gehören Unternehmen der Bereiche Energie, Verkehr, Gesundheitswesen, aber auch die Verwaltung von IKT-Diensten. Weitere Bereiche sind Post- und Kurierdienste, Lebensmittel und Anbieter digitaler Dienste. Insgesamt sind es 18 Sektoren.
Ein weiteres Kriterium ist die Unternehmensgröße (ab 50 Mitarbeitern) und ein Umsatz von zehn Millionen Euro.
Laut Urbanski waren in Deutschland bis jetzt zirka 5.000 Unternehmen von NIS betroffen, in der Version 2 werden es über 40.000 sein. Österreich: bis jetzt 400 Firmen, NIS2 adressiert 3.000 bis 5.000 Organisationen.
Das bedeutet einmal ein gewaltigen Erfüllungsaufwand für die Wirtschaft: Einmalig werden 1,37 Mrd. Euro prognostiziert, jährlich kommen 1,65 Mrd. Euro hinzu. Die ESET-Experten meinen, dass es auch mehr sein könnte.
Die ITWELT.at sprach mit Maik Wetzel, der bei ESET seit 2020 die strategische Geschäftsentwicklung in der DACH-Region verantwortet. In dieser Rolle fokussiert er auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region.
ITWelt.at: Unternehmen wissen oft nicht, ob sie von NIS2, betroffen sind. Wie sieht eine vernünftige Vorbereitung aus?
Maik Wetzel: Man sollte einmal herausfinden, ob man zu einem der 18 Sektoren gehört, die betroffen sind. Ein zweites Kriterium ist die Unternehmensgröße: Betroffen sind Unternehmen mit mehr als 50 Mitarbeitern oder mit mehr als 10 Millionen Euro Umsatz. Sollte man sich unsicher sein – es gibt auch besondere Fälle –, dann kann man Unterstützung zu suchen. Als IT-Dienstleister müssen wir jedoch darauf achten, dass wir keine juristische Bewertung vornehmen. Wir können mit dem Kunden jedenfalls gemeinsam herausfinden, ob dieser betroffen ist.
Vor kurzem war ich bei einer Veranstaltung in Berlin, bei der ein Vertreter des Bundesinnenministeriums die gleiche Frage gestellt wurde. Seine Antwort: „Registrieren Sie sich doch beim Bundesamt für Sicherheit in der Informationstechnik. Hier erhalten Sie alle Informationen.“ Dies ist laut Rechtsanwalt mit Vorsicht zu geniesen. Vielleicht weckt man ja schlafende Hunde.
Der Stichtag für NIS2 ist der 18. Oktober 2024. Wer noch nicht begonnen hat, läuft Gefahr, die Maßnahmen zu spät umzusetzen. Was passiert dann?
Wir arbeiten sehr eng mit Fachanwälten zusammen, die Sache ist eindeutig: Ab dem 18. Oktober gilt die gesetzliche Anwendungspflicht im Rahmen von NIS2. Es ist nicht mehr lange hin. Auf der anderen Seite will ich keine Panik verbreiten, denn mit Angst zu argumentieren, ist immer schlecht. Es ist nicht zu erwarten, dass die zuständigen Aufsichtsbehörden in den Mitgliedsstaaten der Europäischen Union am 19. Oktober Complianceprüfungen durchführen werden. Auch die deutsche Aufsichtsbehörde, das BSI, ist gefordert. Sie muss selbst gewisse Themen in ihren eigenen Strukturen umsetzen. Schließlich sind mehr Unternehmen betroffen, als es mit den derzeitigen KRITIS-Regeln der Fall ist. Weiters müssen Möglichkeiten der Registrierung und des Meldewegs eingerichtet werden. Das sind alles Dinge, die auf staatlicher Seite Zeit brauchen. Das gibt den betroffenen Unternehmen noch einmal ein wenig Luft. Das ist meine Vermutung. Entscheidend am Ende ist jedoch das, was gesetzlich geregelt ist. Ich bin sehr gespannt, was passieren wird, wenn ein von NIS2 betroffenes Unternehmen nach dem 18. Oktober einen Cybervorfall hat, der möglicherweise mit den vorgesehenen NIS2-Maßnahmen verhinderbar gewesen wäre.
Hätten entsprechende Maßnahmen nicht schon längst im Namen der Sicherheit umgesetzt werden müssen?
Die Diskussion, wie viel Regulierung notwendig ist, führen wir schon lange. Meine Auffassung ist die: Wenn der Markt von sich aus nicht die notwendigen Maßnahmen ergreift, dann braucht es eine Regulierung, die die Gesellschaften der 27 Mitgliedsstaaten schützen soll. Es geht bei NIS2 um sehr wesentliche Bereiche wie Versorgung mit Lebensmittel oder Entsorgung – all das, was wir Kritische Infrastruktur nennen. Unvorstellbar, wenn diese als Folge großflächiger Cyberangriffe plötzlich nicht mehr verfügbar wären. Die bisherigen Regelungen, die es innerhalb der Mitgliedsländer gab, reichen nicht aus. Deshalb war es wichtig, den Scope zu erweitern und die Regelung auf mehrere Unternehmen anzuwenden, um ein größeres Schutzniveau zu erreichen. Wir haben als Sicherheitsanbieter eine Umfrage gestartet, um herauszufinden, wie hoch das Niveau in Sachen Cybersicherheit in den Unternehmen ist. Die Ergebnisse waren erschreckend. Das Niveau war definitiv nicht der Bedrohungslage angemessen.
Eine philosophische Frage: Nicht nur Cybersicherheit sollte ganz oben stehen, auch Themen wie Nachhaltigkeit und vieles mehr. Führt dies alles zu Problemen in der Prioritätensetzung und zur Überbürokratisierung?
Es ist tatsächlich eine philosophische Frage, auf die ich mit einer ganz persönlichen Antwort reagieren möchte. Ich gehöre zu jenen Menschen, die die Fragen etwa der Klimakrise sehr ernst nehmen. Wenn wir hier nicht aktiv werden und nicht schnellsten unser Verhalten und unsere Vorstellungen ändern, werden wir uns um andere Dinge keine Gedanken mehr machen müssen. Auf der anderen Seite – mein Spezialgebiet ist Cybersicherheit in Unternehmen – bin ich mir der drohenden Gefahren in diesem Bereich sehr bewusst. Es geht sehr stark um die Stabilität von Ökonomien und damit auch um die Stabilität von Gesellschaften. Wir sind in Europa in einer schwierigen Phase. Da sollten wir uns nicht erlauben, uns auch noch für Cybervorfälle angreifbar zu machen, die zu einer weiteren Destabilisierung der Verhältnisse beitragen würden.
Mit welchen Fragen im Zusammenhang von NIS2 wird ESET derzeit konfrontiert?
Wir wollten in unserer Umfrage auch wissen, was sich Unternehmen hauptsächlich wünschen. Die Antwort Nummer 1 war Orientierung: Was ist überhaupt angemessener Schutz? Was ist Stand der Technik in der Cybersicherheit? Was sind die notwendigen organisatorischen Maßnahmen? Für mich ist NIS2 eine Art Orientierung – aber nicht, was die optimalen Schutzmaßnahmen betrifft. Es geht um Mindesstandards, über die man sich auf europäischer Ebene Gedanken gemacht hat. Und diese können auch für nicht-regulierte Unternehmen als eine Orientierung diesen. Das BSI stellt zum Beispiel weiterführende Informationen zur Verfügung, um es Unternehmen einfacher zu machen, Entscheidungen zu treffen, die sie sicherheitstechnisch weiterbringen.
Die Schwerpunkte von ESET in den letzten Jahren waren Zero Trust, Stand der Technik und jetzt NIS2. Welche konkreten Auswirkungen hat das?
Wir stellen fest, dass viele betroffene Unternehmen, die die gesetzlichen Maßnahmen umsetzen sollen, diese noch gar nicht auf dem Schirm haben. Wir wollen zunächst einmal Organisationen dahingehend sensibilisieren, dass sie sich überlegen, ob sie betroffen sind. Auch wenn das nicht der Fall ist, sollten Unternehmen trotzdem prüfen, ob NIS2 nicht eine geeignete Orientierung sein könnte. Wir kommunizieren das Thema unter dem Begriff Mindeststandards für Cybersicherheit und bieten genau die Informationen, die sie brauchen. Wir wollen also die direkt und die indirekt betroffenen Unternehmen sensibilisieren, etwas zu tun.
Hat der NIS2-Schwerpunkt Auswirkungen auf das Lösungsportfolio?
Es gibt nicht DAS Lösungsbundle, das dafür sorgt, NIS2-compliant zu sein. NIS2 beginnt ja damit, dass sich Unternehmen einmal klar werden, welche IT-Assets sie haben. Es braucht eine Risikoanalyse und eine Bewertung. Dann ist die Rede von angemessenen Schutzmaßnahmen – technisch wie organisatorisch. Es gibt bei uns schon lange eine Bandbreite an Lösungen, die wir für geeignet halten, die jeweiligen Schutzbedarfe der Kunden zu erfüllen. Es macht einen Unterschied, ob zum Beispiel ein Unternehmen mit hochsensiblen Daten agiert oder nicht. Daraus leiten sich die angemessenen Schutzmaßnahmen ab. Genau das können wir mit einer Skalierung unserer Lösungsbundels abbilden.
Be the first to comment