Politische Verzögerungen NIS-2 ist gescheitert – und die Cyberschurken jubeln

Anbieter zum Thema

indevis GmbH

xSuite Group GmbH

Die Umsetzung der NIS-2-Richtlinie ist in Deutschland vorerst gescheitert – und die Cyberkriminellen aus aller Welt freuen sich. Andere EU-Länder haben längst klare Vorgaben geschaffen.

Die Zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) ist in Deutschland erst einmal gescheitert: Das nationale Gesetz zur Umsetzung hierzulande kommt nicht mehr vor der Bundestagswahl. Der Preis dafür ist hoch: Teile der kritischen Infrastrukturen und Unternehmen bleiben so ungeschützt –  während sich Hacker darüber freuen. Unternehmen, die gehofft hatten, sich auf klare gesetzliche Regelungen stützen zu können, stehen erneut ohne Orientierung da.

Kunden und Partner fordern zunehmend belastbare Sicherheitskonzepte – wer hier nicht liefert, verliert.

Markus Muth, Direktor Cyber Defense Center bei Indevis

„Während andere EU-Länder längst klare Vorgaben geschaffen haben, bleibt Deutschland in der Ungewissheit stecken“, so Markus Muth, Direktor Cyber Defense Center bei Indevis. Doch eines ist ihm zufolge sicher: „Die Bedrohung durch Cyberangriffe kennt keine politischen Verzögerungen.“

Auch ohne Gesetz Verantwortung übernehmen

Nur weil die Politik versagt hat, entbindet das Unternehmen in Deutschland nicht von ihrer Verantwortung in Sachen Cybersicherheit. „Die NIS-2-Richtlinie gilt weiterhin auf EU-Ebene und wer Teil globaler Lieferketten ist, muss zunehmend NIS-2-konforme Sicherheitsstandards nachweisen – unabhängig von der deutschen Gesetzgebung“, betont Markus Muth. Unternehmen, die die notwendigen Sicherheitsmaßnahmen nicht umsetzen, würden nicht nur gefährliche Sicherheitslücken riskieren, sondern auch den Ausschluss aus wichtigen Geschäftsbeziehungen. „Denn Kunden und Partner fordern zunehmend belastbare Sicherheitskonzepte – wer hier nicht liefert, verliert.“

6 Tipps für eine NIS-2-konforme IT-Sicherheitsstrategie

Für Unternehmen, die bisher keine Maßnahmen getroffen haben, ist jetzt der richtige Zeitpunkt, um die Weichen für eine NIS-2-konforme IT-Sicherheitsstrategie zu stellen. 

Die folgenden sechs Schritte helfen laut Markus Muth dabei, sich als Unternehmen entsprechend vorzubereiten:

• 1. Betroffenheit prüfen: Ist das eigene Unternehmen von der NIS-2-Richtlinie betroffen? Man sollte prüfen, ob man in eine der kritischen Branchen fällt und ob das Unternehmen die relevanten Größenkriterien erfüllt: über 50 Mitarbeiter oder mehr als 10 Millionen Euro Umsatz.
• 2. Ein Information Security Management System (ISMS) aufsetzen: Ein ISMS nach Best Practices wie ISO-27001 hilft dabei, Sicherheitsrisiken systematisch zu managen. Ein interner oder externer Informationssicherheits-Beauftragter (ISB) sollte benannt werden, um die Umsetzung zu koordinieren.
• 3. Cybersicherheit als kontinuierlichen Prozess verstehen: IT-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Man sollte den Plan-Do-Check-Act-Zyklus (PDCA) nutzen, um Risiken regelmäßig zu bewerten und Maßnahmen kontinuierlich zu optimieren.
• 4. Notfall- und Meldeprozesse definieren: Unternehmen müssen auf Cyberangriffe vorbereitet sein. Klare Verantwortlichkeiten und Reaktionspläne helfen, Schäden zu minimieren und gesetzliche Meldepflichten, zum Beispiel an das Bundesamt für Sicherheit in der Informationstechnik (BSI) fristgerecht zu erfüllen.
• 5. Schwachstellen frühzeitig erkennen: Sicherheitslücken sind Einfallstore für Angriffe. Penetrationstests, Bedrohungsanalysen und Monitoring-Tools sind essenziell, um potenzielle Risiken rechtzeitig zu identifizieren und zu schließen.

• 6. Externe Unterstützung nutzen: Die Umsetzung der NIS-2-Anforderungen kann komplex sein. Managed Security Service Provider (MSSP) helfen dabei, Sicherheitsmaßnahmen effizient umzusetzen und langfristig aufrechtzuerhalten.

Das Fazit von Markus Muth: „Handeln statt warten – Verantwortung übernehmen.“ Unternehmen könnten sich jetzt also keinesfalls zurücklehnen, denn die Bedrohung durch Cyberangriffe ist real und wächst täglich. „IT-Entscheider müssen jetzt handeln, um ihre Systeme, Kunden und Geschäftsprozesse zu schützen. Warten ist keine Option.“

EU-Richtlinie

NIS2: KRITIS-Betreiber stehen vor vielen Baustellen