In einer Welt, in der Cyber-Angriffe immer raffinierter werden, ist Cyber-Sicherheit für Organisationen von entscheidender Bedeutung. Die neue NIS2-Richtlinie soll die Cyber-Abwehr stärken und die Sicherheit von Netzwerken und Informationssystemen in der EU deutlich verbessern.
Im Interview erläutern Sascha Goll, Leiter Competence Center Datenschutz bei Bechtle, und Kai Welsch, Business Manager Networking bei Bechtle, die wichtigsten Aspekte der NIS2-Richtlinie und deren Auswirkungen auf Unternehmen.
NIS2 ist in aller Munde. Welche wesentlichen Änderungen bringt die Richtlinie Ihrer Meinung nach mit sich?
Kai Welsch: Die NIS2-Richtlinie bringt einige bedeutende Änderungen mit sich. Erstens erweitert sie die Cyber-Sicherheitsanforderungen und Sanktionen, um das Sicherheitsniveau zu erhöhen. Zweitens gibt es strengere Anforderungen für verschiedene Sektoren und eine größere Zahl betroffener Organisationen. Drittens gelten strengere Haftungsregeln für die Geschäftsleitung der betroffenen Organisationen.
Sascha Goll: Aus meiner Sicht ist die wichtigste Änderung, dass es erstmals eine verbindliche Rechtsgrundlage für ein strukturiertes Informationssicherheitsmanagement für viele Unternehmen gibt. Bisher waren solche Verpflichtungen nur für kritische Infrastrukturen, im öffentlichen Dienst oder durch unterschiedliche Informationssicherheitsgesetze der Länder sowie durch Selbstverpflichtungen und/oder vertragliche Verpflichtungen wie beispielsweise in der Automobilindustrie mit TISAX gegeben.
Werfen wir einen Blick auf die Unternehmen. Vor welchen Herausforderungen stehen sie bei der Umsetzung der neuen Richtlinie?
Kai Welsch: Der personelle, finanzielle und organisatorische Aufwand ist erheblich – darum haben viele Organisationen Schwierigkeiten, die NIS2-Richtlinie umzusetzen. Sie müssen sich mit komplexen Themen wie Cyber-Risikomanagement auseinandersetzen. Zudem gibt es oft Unklarheiten, wie die neuen Compliance-Regeln umgesetzt und kontrolliert werden sollen.
Sascha Goll: Wir sehen immer wieder, dass neben den notwendigen Ressourcen häufig grundlegende Elemente eines Informationssicherheitsmanagementsystems fehlen. Daher ist der Arbeitsaufwand sehr hoch und die Zeit knapp. Das Verständnis, dass Informationssicherheit kein einmaliges Projekt, sondern ein kontinuierlicher Prozess ist, der dauerhafte Ressourcen erfordert, ist noch nicht überall vorhanden.
Dabei bringt die neue Richtlinie aber auch Chancen mit sich: Die Bedrohungslage für Unternehmen wird immer kritischer. NIS2 bietet die Chance, das Sicherheitsniveau ganzheitlich zu stärken und über Einzelmaßnahmen hinaus zu einem strukturierten Ansatz zu kommen. Die Rechtsverbindlichkeit dient als starke Argumentationshilfe gegenüber der Unternehmensleitung bei der Bereitstellung notwendiger Ressourcen.
Wie wichtig ist die Zusammenarbeit zwischen IT-Abteilungen und dem Management für die Umsetzung von NIS2?
Sascha Goll: NIS2 kann nicht allein von der IT-Abteilung bewältigt werden. Viele Aufgaben liegen im Bereich des Managements. Strategische Entscheidungen, Festlegungen und die Bereitstellung von Ressourcen sind elementare Grundlagen für den Aufbau eines funktionierenden Managementsystems.
Kai Welsch: Man kann sagen, dass die Zusammenarbeit zwischen den IT-Abteilungen und dem Management entscheidend für die Umsetzung der NIS2-Richtlinie ist. Eine enge Zusammenarbeit kann die Cyber-Abwehr stärken und das gesamte Unternehmen absichern – und so letztlich NIS2-Konformität erreichen.
NIS2 bringt also neue und anspruchsvolle Sicherheitsanforderungen mit sich – auch für das Unternehmensnetzwerk. Worauf kommt es beim Thema Netzwerksicherheit im Kontext von NIS2 an?
Kai Welsch: Unternehmen müssen proaktiv die Netzwerk- und Informationssicherheit sowie die digitale Infrastruktur sichern, um die NIS2-Anforderungen zu erfüllen. Ein NIS2-konformes Risikomanagement ist notwendig, um Risiken zu bewerten und zu bewältigen.
Dafür müssen Unternehmen geeignete technische, operative und organisatorische Maßnahmen ergreifen, um Sicherheitsrisiken zu beherrschen und die Auswirkungen von Vorfällen zu minimieren. Die Geschäftsleitung trägt die Hauptverantwortung für die Implementierung und Überwachung dieser Maßnahmen.
Sascha Goll: Ein ganzheitlicher Ansatz ist heute mehr denn je erforderlich. Der reine Fokus auf Prävention und einzelne Projekte reicht nicht mehr aus. Sichtbarkeit im Netzwerk (Detektion) und die Reaktion auf Sicherheitsereignisse (SIEM, SOC) werden immer wichtiger.
Wie können konkrete Maßnahmen zur Erhöhung der Netzwerksicherheit aussehen?
Kai Welsch: Unternehmen können ihre Netzwerksicherheit verbessern und die NIS2-Anforderungen erfüllen, indem sie verschiedene Strategien anwenden und technische Maßnahmen umsetzen. Dazu gehören u. a. Netzwerksegmentierung, Network Access Control (NAC), Multi-Faktor-Authentifizierung und IDS/IPS. Wichtig ist auch eine kontinuierliche Überwachung der Systeme durch den Einsatz fortschrittlicher Sicherheitslösungen wie Threat-Intelligence-Systeme und Extended Detection & Response (XDR)-Systeme.
Ein umfassendes Sicherheitskonzept sollte die Identifizierung kritischer Infrastrukturen, die Analyse von Bedrohungen und Schwachstellen sowie die Implementierung von Sicherheitsmaßnahmen umfassen.
Wie unterstützt die Cisco Sicherheitsarchitektur Unternehmen auf dem Weg zur NIS2-Konformität?
Kai Welsch: Die Cisco Sicherheitsarchitektur hilft Unternehmen bei der Erkennung und Reaktion auf Sicherheitsvorfälle und verbessert die Infrastruktur- und Anwendungssicherheit. Cisco bietet einen Leitfaden zu NIS2 und ein umfangreiches Portfolio an Sicherheitslösungen.
Cisco zeichnet sich durch eine umfassende Sicherheitsarchitektur und ein breites Portfolio an Cyber-Sicherheitsprodukten aus, die speziell zur Unterstützung der NIS2-Konformität entwickelt wurden. Der Leitfaden zu NIS2 bietet wichtige Erkenntnisse und eine optimierte Roadmap zur Verbesserung der Cyber-Sicherheitsbereitschaft eines Unternehmens.
Wie unterstützen Bechtle und Cisco gemeinsam Unternehmen bei der Umsetzung von NIS2?
Kai Welsch: Bechtle und Cisco bieten spezifische Lösungen zur Unterstützung der Umsetzung von NIS2 an, darunter den Bechtle 360°-Security-Ansatz. Dieser umfasst verschiedene Bereiche der IT-Sicherheit wie Network Security, Application Security, Cloud Security, Cyber Crime & Defence, Datacenter Security und mehr. Hinzu kommen On-Demand-Videos, Beratung, Risikoanalysen, Ressourcenplanung, Notfallpläne und Mitarbeiterschulungen.
Entscheidend ist ein ganzheitlicher Sicherheitsansatz, der Unternehmen hilft, die Integrität ihrer IT-Systeme zu gewährleisten. Dieser Ansatz umfasst technische, betriebliche und organisatorische Maßnahmen und hilft bei der Entwicklung und Aufrechterhaltung eines umfassenden Sicherheitsansatzes, der eine wichtige Verteidigung gegen sich entwickelnde Cyber-Bedrohungen darstellt.