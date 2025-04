Laut BSI sind 29.000 Unternehmen von der NIS2-Richtlinie betroffen. All diese "Kritis"-Firmen, die "essential & important entities", also wesentliche und wichtige Einrichtungen betreiben, müssen wahrscheinlich noch Ende 2025 mit höheren Anforderungen an ihre digitale Resilienz rechnen. Für Banken und Versicherungen gilt dies bereits seit 17. Januar 2025, da trat die zu NIS2 ähnlich gelagerte EU-DORA-Verordnung (Digital Operational Resilience Act) in Deutschland in Kraft. Wann die NIS2-Richtlinie in ein deutsches Gesetz "gegossen" wird, steht noch nicht fest. Marktbeobachter gehen von einem Termin Ende 2025 aus.

Da bleibt den knapp 30.000 Unternehmen mit "Kritischer Infrastruktur" also noch etwas Zeit, sich auf die bundesweite Umsetzung der EU-NIS2-Verordnung vorzubereiten. Wir haben die dafür zuständigen Mitarbeiter bei Systemhäusern gefragt, wie sie ihre Kunden bei diesem Vorhaben unterstützen wollen.

Volker Scholz, Information Security Architect bei der Axians IT Security GmbH, empfiehlt gleich fünf Maßnahmen: Die Ist-Situation analysieren, die NIS2-Verantwortlichen in den Unternehmen bestimmen, die Aktivitäten nach erfolgten Angriffen definieren, eigene IT-Risiken bewerten und Notfallpläne erarbeiten.

Für Christoph Neukam, Head of ISMS Consulting bei der Axians-Tochter Fernao Security Force, sind hektische Aktivitäten derzeit nicht angesagt: "Die üblichen Maßnahmen zum Schutz der Informationssicherheit bewegen sich größtenteils im Rahmen der üblichen Best Practices". Seiner Meinung nach sollten sich Unternehmen dabei an gängige Standards, wie der ISO/IEC 27001:2022-Norm orientieren und am besten einen externen Sicherheitsbeauftragten mit dieser Aufgabe betrauen.

Laut Christian Koch, Senior Vice President Cybersecurity, Innovations & Business Development bei NTT Data DACH, stellt die fehlende Fähigkeit, Angriffe auf die eigene IT-Infrastruktur überhaupt erst als solche zu erkennen, derzeit das größte Problem dar. Hierzu braucht es echte Experten, am besten externe IT-Security-Dienstleister. Außerdem plädiert Koch für einen Überarbeitung der Notfallpläne.

Für Ralf Nemeyer, Solution Manager IT GRC (Governance, Risk, Compliance) bei Computacenter, ist eine Rechtsberatung essentiell. Erst dann entscheide es sich, ob der Kunde überhaupt ein "Kritis"-Unternehmen ist. Falls ja, hat Computacenter eine Frageliste entwickelt, mit der sich eine detaillierte Analyse des sicherheitstechnischen Zustands ermitteln lässt. Dann hilft das Systemhaus auch bei der Registrierung des NIS2-relevanten Unternehmens bei der zuständigen Regulierungsbehörde und bei der Implementierung geeigneter Meldewege für Sicherheitsvorfälle. Darüber hinaus offeriert Computacenter auch passende Schulungen für die Geschäftsleitung.

Philipp Schütz, Leiter des virtuellen Competence Center Informationssicherheit, Governance, Risk & Compliance DACH bei Bechtle, geht davon aus, dass von NIS2 betroffenen Unternehmen nicht ganz blank sind, da sie bereits durch die NIS1-Richtlinie aus dem Jahr 2016 zu umfangreichen Security-Maßnahmen aufgefordert wurden. "Diese Firmen müssen nur noch einige Lücken schließen", meint der Bechtle-Manager.

Es gibt aber viel Unternehmen, die zum ersten Mal von einer NIS-Anforderungen betroffen sind. Dann gibt es dort viel zu tun, meint Madru Kortz, Senior Consultant Information Security bei Adesso. Er empfiehlt ferner eine sogenannte "Business Impact"-Analyse, um Sicherheitslücken zu identifizieren und zu beseitigen. Danach gilt es, alle möglichen Szenarien durchzuspielen, um im Notfall ein klar definiertes Vorgehen sicherzustellen. "Themen, die ein höheres Risiko aufweisen, muss man zuerst angehen", ergänzt der Adesso-Manager.

"Dringlichkeit, Sicherheitsgewinn und Ressourcenaufwand sind stets zu berücksichtigen", priorisiert Andreas Rohde, Vice President Corporate Governance & Integration bei Netgo, seine NIS2-Maßnahmen. Außerdem rät er dazu, bisherige Notfallpläne einer gründlichen Überprüfung zu unterziehen. Es könnte durchaus sein, dass durch die zunehmende Digitalisierung der Geschäftsprozesse die gesamte Lieferkette durch einen Cyberangriff betroffen wäre.

Laut Daniel Kammerbauer, Team Lead Governance, Risk & Compliance/Analytics bei Controlware, stellt der deutsche Referentenentwurf zur NIS2-Direktive speziell für Industriefirmen eine glänzende Planungsgrundlage dar. Hierauf basierend können fertigende Unternehmen auf bewährte Standards und gut eingeübte methodische Ansätze zurückgreifen, um für NIS2 bereit zu sein. Kammerbauer meint ohnehin, dass alle Unternehmen, nicht nur jene aus dem Kritis-Bereich, intrinsisch daran interessiert sein sollten, für ein ausreichend hohes Level der eigenen IT-Sicherheit zu sorgen.

"Es ist nicht notwendig, auf das Gesetz zu warten, um bestimmte Themen anzugehen und umzusetzen, das wäre höchst fahrlässig", meint auch Alexander Ernst, Director Competence Center - Network & Security bei Cancom. Kunden sollten schon aus purem Eigeninteresse für mehr digitale Resilienz in ihren Systemen sorgen. Deswegen empfiehlt der Cancom-Manager, die für die NIS2-Richtlinie notwendigen Maßnahmen schon jetzt umzusetzen.

Welche technischen Vorrichtungen das sein könnten, zählt Ralf Nemeyer von Computacenter auf: Kryptografie zum Schutz sensibler Daten, Systeme zur Zugriffskontrolle, Multi-Faktor-Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation.

