NIS-2: Aus Pflicht wird Kür

Shownotes

Bitkom-Studie „Wirtschaftsschutz 2024"

HiAcademy Schulung für die Geschäftsleitung

Auf dem Weg zum KRITIS-Dachgesetz: Nationale Umsetzung der EU-Critical-Entities-Resilience-(CER)-Richtlinie

Transkript anzeigen

00:00:00: Erstmal sagen alle mir als Unternehmen bringt das Elend, weil ganz viel Regulierung und ich muss noch mehr bürokratische Maßnahmen machen.

00:00:08: Tatsächlich muss man aber auch sagen, die letzte Bitkom-Studie beispielsweise sagt, ja, wir haben 267 Milliarden Euro an Schäden durch Cybersicherheitsdefizite.

00:00:25: "HiWay – Dein Wegweiser für Digitalisierung und Sicherheit" präsentiert von HiSolutions.

00:00:31: Hi und herzlich willkommen zu einer neuen Folge von "HiWay", dem Podcast von HiSolutions.

00:00:42: Heute greifen wir ein Thema auf, über das ich schon mit meinem Kollegen Marius gesprochen habe und zwar NIS-2.

00:00:49: Seit der letzten Folge hat sich, stand jetzt, wir haben jetzt gerade Anfang März einiges verändert.

00:00:57: Durch die Bundestagswahl gilt nämlich das Diskontinuitätsprinzip und ich muss einmal kurz spicken, damit ich hier nicht lüge.

00:01:06: Das bedeutet, dass mit der Konstituierung eines neugewählten Bundestags alle noch nicht vom alten Bundestag beschlossenen Entwürfe neu eingebracht und verhandelt werden müssen.

00:01:16: Dementsprechend ist der alte Entwurf auch nicht mehr auf den F-A-Qs des BSI referenziert und das BMI bemüht sich aber, dass NIS-2

00:01:30: schnellstmöglich in die Wege geleitet wird und unterstützt dementsprechend auch die Umsetzung.

00:01:36: Und heute an meiner Seite habe ich meinen Kollegen Manuel Atug. Hallo Manuel.

00:01:41: Manuel ist Principal bei HiSolutions und er beschäftigt sich schon seit einigen Jahren mit NIS-2 und kommentiert die Entwürfe für Verbände und auch für den Bundestag.

00:01:56: Und zusätzlich berät und prüft Manuel auch KRITIS und ich freue mich sehr, dich heute hier an meiner Seite zu haben.

00:02:03: Danke für die Einladung.

00:02:05: Frage 1.

00:02:08: Wir starten mit unserer ersten Frage für heute. Und zwar sind wir letztes Mal direkt ins Thema reingestartet.

00:02:15: Heute will ich aber mal ganz einfach die Frage stellen, was ist denn NIS-2 eigentlich?

00:02:20: NIS-2 ist die Fortsetzung von NIS-1, wie unerwartet.

00:02:24: Die Europäische Union hat sich damals schon vor vielen Jahren überlegt, dass man Cybersicherheit im Binnenmarkt, im europäischen Binnenmarkt, gemeinsam adressieren muss.

00:02:35: Deswegen haben wir eben die Vorgaben kritische Infrastrukturen schützen zu müssen.

00:02:39: Die NIS-1 war sozusagen das IT-Sicherheitsgesetz 2.0, was wir in Deutschland eingeführt hatten, womit ja KRITIS erst mal überhaupt ins BSI-Gesetz gefallen ist und wir überhaupt mal Anforderungen an die gesetzt haben im Cyber-Sicherheitsbereich.

00:02:53: NIS-2 ist die kontinuierliche Weiterentwicklung dessen, die die EU schon 2022 verabschiedet hat und eben allen Mitgliedstaaten die Frist gesetzt hatte bis Oktober letztes Jahr das Ganze umzusetzen.

00:03:07: Deutschland hat mit ein paar anderen Ländern leider geschludert und das Ganze viel diskutiert, aber leider nicht umgesetzt.

00:03:14: Insofern haben wir da noch dieses Defizit.

00:03:17: Aber im Endeffekt geht es darum, dass man sagt, der erste Teil war überhaupt mal kritische Infrastrukturen zu definieren.

00:03:23: Der zweite Teil ist zu sagen, wie funktioniert der EU-Binnenmarkt insgesamt und wie viele Auswirkungen können eigentlich Unternehmen, die vielleicht nicht zwingt, direkt kritische Infrastruktur sind, aber eine wichtige oder besonders wichtige Einrichtung darstellen für das jeweilige Mitgliedsland,

00:03:41: dass eben auch Auswirkungen andere Mitgliedstaaten haben kann und man so eben die Cybersicherheit insgesamt in der EU stärkt.

00:03:49: Und das ist eben das, was wir jetzt leider aufgrund des Diskontinuitets-Prinzips in Deutschland noch mal verzögert haben.

00:03:55: Wir werden voraussichtlich frühestens Herbst dieses Jahr dann das Ganze hoffentlich verabschiedet bekommen, aber das ist so die Idee hinter der Cybersicherheit in der EU.

00:04:08: Frage 2.

00:04:10: Ganz konkret, was bringt das mir als Unternehmen, wenn ich das umsetze, oder was bringt das meinen Kunden?

00:04:18: Erstmal sagen alle, mir als Unternehmen bringt das Elend, weil ganz viel Regulierung und ich muss noch mehr bürokratische Maßnahmen machen.

00:04:25: Tatsächlich muss man aber auch sagen, die letzte Bitcom-Studie beispielsweise sagt, ja wir haben 267 Milliarden Euro an Schäden durch Cybersicherheitsdefizite

00:04:36: und da muss sich die Wirtschaft natürlich auch irgendwie an die selbe Nase fassen, wo sie sagen, das ist alles so viel und das war alles so teuer.

00:04:43: Naja, das liegt ja daran, dass man eben diese Sicherheitsmaßnahmen nicht umgesetzt hat, die eigentlich Standertechnik sind, in jedem Sicherheitsstandard wie BSI Grundschutz oder ISO 27001, NIS, CSF,

00:04:56: wirklich alle Sicherheitsstandards definieren das rauf und runter. Am Ende geht es immer um Risikomanagement und das Risiko, ja, handhabbar zu machen und eben eine gewisse Cyberresilienz zu entwickeln,

00:05:09: also die Resilienz gegen Ereignisse, die Bedrohung oder Auswirkungen darstellen können und da eben die geeigneten Gegenmaßnahmen zu haben, um im Idealfall das ganze wirkungslos verpuffen zu lassen

00:05:21: oder eine kleine Störung zu haben, aber nicht gleich eine Krise oder Katastrophe. Unter Hinblick NIS-2 natürlich auch EU-weit sozusagen

00:05:29: und das ist eben das, was erstmal der Maßstab ist, wenn die Wirtschaft das selber nicht hinbekommt, dann kommt halt der staatliche Regulierung Apparat und sagt, für die Daseins Fürsorge und Vorsorge müssen wir eben sicherstellen, dass sowohl die Wirtschaft als auch die Menschen versorgt werden

00:05:46: und das ist natürlich auch der Anspruch, den man im EU-Binnenmarkt hat und deswegen gibt es eben diese Gesetzgebung. Für die Kunden, von denen die als Betroffenes Unternehmen NIS-2 umsetzen müssen, ist es natürlich insofern hilfreich, dass man sagt, ich arbeite mit einem Partner oder ich bin da, Kunde von einem Wirtschaftsunternehmen,

00:06:05: was Cybersicherheit ernst nimmt in die Regulatorik fällt, man kann also damit Vertrauen, darstellen abbilden und auch signalisieren, dass also eigentlich genau das ist, wie man nachhaltig in Wirtschaftsunternehmen betreiben möchte.

00:06:20: Also, wenn man es aus dem positiven Aspekt betrachtet, hat es viele gute Optionen, wer meckern will, kann immer meckern.

00:06:27: Das bedeutet natürlich auch Aufwände und es ist aber auch wichtig, die Risiken zu erkennen und genau da greift ja auch einen Aspekt auf, nämlich es gibt eine Schulung für die Geschäftsleitung.

00:06:39: Genau, ich lach schon.

00:06:41: Damit hast du dich in letzter Zeit ja auch intensiver beschäftigt.

00:06:44: Ja, es ist tatsächlich interessant.

00:06:46: Die Geschäftsleitungsschulung für NIS-2 ist ja definiert.

00:06:50: Und man soll eben als Geschäftsleitung IT-Risiko-Management verstehen.

00:06:56: Man soll es verantworten, man soll es steuern, man soll das bewusst sozusagen als Methodik

00:07:02: in der Verantwortung als Unternehmen irgendwie betrachten.

00:07:06: Und da habe ich in der letzten Zeit sehr viel erlebt, dass selbst die Verbände, aber auch die Unternehmen,

00:07:12: Anbieter von Lösungen irgendwie hingehen und sagen, na ja, dann machen die eine Awareness-Schulung

00:07:17: und die müssen lernen, auf die falschen Links nicht draufzuklicken.

00:07:21: Wir machen Anti-Phishing-Kampagnen mit Vorständen und dann wird die Welt besser.

00:07:26: Oder die müssen dann auch verstehen, was CEO-Fraud ist und dann dagegen vorgehen.

00:07:31: Wenn man sich aber den Paragrafen selbst und auch die Gesetzesbegründung und Herleitung anschaut,

00:07:36: dann geht es gar nicht um diese Fragestellung, denn die sind sowieso schon im Paragraph 30,

00:07:41: Risikomanagement, adressiert.

00:07:43: Alle Mitarbeitenden eines Unternehmens müssen einmal im Jahr eine Stunde ungefähr eine Awareness-Schulung machen

00:07:50: und das beinhaltet eben auch die Geschäftsleitung.

00:07:55: Insofern ist das eh schon adressiert, an anderer Stelle.

00:07:58: Und an dieser Stelle ist es eben so, dass die Geschäftsleitung diese Management-Praktiken lernen soll.

00:08:04: Und da muss ich jetzt mal auf meinen Spickzettel gucken.

00:08:07: Wir haben da die Inhalte mal definiert und gesagt, okay, diese Methodik, die Schulungsinhalte sind primär,

00:08:13: erst mal zu sagen, welche Pflichten hat die Geschäftsleitung,

00:08:16: welche Haftungs- und Bußgeldforschriften gibt es in dem Kontext.

00:08:19: Wir haben dann eine Einführung in Informationssicherheits-Risikomanagement erst mal konzipiert

00:08:26: und dann eben gesagt, okay, man muss ihr Risiken identifizieren, man muss sie analysieren,

00:08:32: man muss sie bewerten und man muss sie behandeln können.

00:08:34: Und zwar aus der methodischen Sicht, aus der Geschäftsleitungssicht.

00:08:37: Dann muss man die Überwachung des ganzen Risikomanagements in der IT-Sicherheit vornehmen

00:08:43: und zuguterletzt eben die umsetzenden Maßnahmen zur Behandlung der IT-Risiken im Kontext des nicht mehr gültigen NIS2-Umsu-CG-Referentenentwurfs.

00:08:54: Da ist im Paragraph 30 sehr konkret beschrieben, was man alles mit berücksichtigen soll

00:09:00: und in diesem Kontext dieses Risikomanagement zu verstehen.

00:09:03: Das ist eigentlich die Botschaft, die man in diesen Paragraphen geschrieben hat,

00:09:08: in der Begesetztesbegründung hat man gesagt, naja, so alle drei Jahre, vier Stunden sollte sich so eine Geschäftsleitung gönnen.

00:09:16: Es gibt in der Community oder auch im Austausch in den Verbänden sehr viel geschrieben,

00:09:24: vier Stunden, alle drei Jahre total viel, Vorstände sind noch immer total beschäftigt.

00:09:28: Die können das doch sowieso, weil die machen noch den Ganztag Risikoabwägungen.

00:09:32: Na ja, 267 Milliarden, ich lass das noch mal im Raum stehen.

00:09:37: Es ist schon so, dass die Vorstände, die wir geschult haben, sehr positives Feedback geben

00:09:44: und sagen, okay, so muss man Informationssicherheit betrachten und diese Risiken steuern und verantworten.

00:09:51: Also das methodische und konzeptionelle Wissen hilft, den schnelle Entscheidungen zu fällen,

00:09:56: aber eben auch die richtigen Entscheidungen, um diese Risiken adressierbar oder handhabbar zu machen

00:10:01: oder eben zu sagen, okay, an denen und den Stellen müssen wir Maßnahmen ergreifen,

00:10:05: um das ganze adressierbar und händelbar zu machen.

00:10:08: Und insofern zeigt die Realität mal wieder, machen ist wie dran denken, nur krasser.

00:10:13: Also insofern diejenigen, die es gemacht haben, sagen Daumen hoch, war hilfreich, habe ich jetzt verstanden.

00:10:18: Und methodisches Wissen ist auch nichts, was man alle drei Monate, vier Stunden irgendwie machen muss

00:10:24: oder jedes Jahr irgendwie trainieren muss.

00:10:28: Methodisches Wissen hat man ja als Grundlage sozusagen dann auch adaptiert.

00:10:32: Das funktioniert schon ganz, ganz gut.

00:10:34: Und da würde ich mir wünschen, dass mehr Leute diesen Realitätsabgleich machen

00:10:38: und sagen, okay, es ist sinnvoll, es funktioniert so und so macht es auch Spaß.

00:10:42: Okay.

00:10:43: Bei Risiken fällt mir auch noch ein, es gibt ja auch noch ein zweites Gesetz

00:10:50: oder Entwurf der Risiken adressiert, nämlich das KRITIS-Dach-Gesetz.

00:10:55: Was sind denn die Unterschiede zu NIS-2?

00:10:58: Die Unterschiede sind, dass NIS-2 auf die CyberSicherheit abzielt

00:11:02: und das KRITIS-Dach-Gesetz zählt auf die physische Sicherheit der kritischen Infrastrukturen ab.

00:11:07: Und jetzt darum, dass man Naturereignisse adressiert, Pandemien adressiert, Terrorismus und auch Sabotage.

00:11:13: Also bauliche Schutzmaßnahmen ergreift, um eben mit aber auch Einsatzgeschuldern, vertraulicher Mitarbeiter

00:11:21: diese Sicherheitsmaßnahmen auch im Physischen adressiert.

00:11:25: Und insofern weniger Cyber und Glitzer und deswegen ist es kaum in aller Munde.

00:11:31: Tatsächlich sind beide Gesetze gleichzeitig von der EU erlassen worden.

00:11:34: Hatten beide die Deadline Oktober letztes Jahr und müssen beide umgesetzt werden?

00:11:38: Also können wir quasi Festhalten um nochmal alles ein bisschen revue passieren zu lassen.

00:11:42: NIS-2 ist eine Richtlinie von der EU, die eben die Cybersicherheit im Binnenmarkt adressiert.

00:11:48: Ich als Unternehmen habe davon den Vorteil, dass ich wirklich mich mit Cybersicherheit auseinandersetzen muss.

00:11:53: Meine Kunden haben die Sicherheit, dass ich mich damit beschäftigt habe.

00:11:57: Und die Geschäftsleitung sollte sich eben auch mit der, sollte die Schulung besuchen, sollte die Schulung machen,

00:12:03: damit sie eben neben den ganzen anderen Risiken sich auch wirklich mit IT-Risiken auskennen und einschätzen können.

00:12:09: Welche Risiken gehen davon aus? Wie kann ich die Gefahr für mein Unternehmen oder den Schaden an meinem Unternehmen möglichst gering halten?

00:12:16: Und zum Schluss eben noch das KRITIS-Dach-Gesetz als Ergänzung eben für den Bereich physische Sicherheit.

00:12:21: Also alles was Cybersicherheit dann nicht betrifft, sondern Pandemie, wie du gesagt hast, das hatten wir ja auch jetzt erst damit.

00:12:27: Wir haben alles zu genüge Erfahrung gemacht, hoffentlich ist das so schnell nicht mehr passiert.

00:12:32: Aber Pandemie, Naturkatastrophen, gerade jetzt mit den immer stärkeren Wetter-Phänomenen, ist das ja auch sinnvoll, sich damit auseinanderzusetzen.

00:12:40: Ja, definitiv. Also von daher, wie gesagt, beides Adressieren und Umsätzen hilft.

00:12:46: Dann vielen Dank, dass du heute hier was hast, dass du mit uns gesprochen hast.

00:12:50: Und bei euch, liebe Zuhörende, bedanke ich mich fürs Zuhören.

00:12:54: Und ich hoffe, es hat euch gefallen und wir hören uns beim nächsten Mal wieder.

00:12:58: Vergesst nicht, uns zu abonnieren. Bis zum nächsten Mal.

00:13:03: HiWay, der Wegweiser für Digitalisierung und Sicherheit. Präsentiert von HiSolutions.

00:13:11: Hat ihr diese Episode gefallen? Dann abonniere den Podcast und empfehle unsere Folgen weiter.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.