Um der wachsenden Bedrohung durch Cyberangriffe aktiv zu begegnen, hat die Europäische Union die NIS-2-Richtlinie (Network and Information Security Directive) verabschiedet. Diese Richtlinie setzt EU-weit Mindeststandards für die Cybersicherheit von Unternehmen, Organisationen und anderen Einrichtungen fest. Ihr vorrangiges Ziel besteht darin, die Auswirkungen von Cyberangriffen zu minimieren. Bis Oktober 2024 müssen alle Mitgliedsstaaten der EU die Richtlinie in nationales Recht umsetzen.
Die zunehmende Vernetzung und Digitalisierung unserer Gesellschaft eröffnen viele neue Möglichkeiten, aber auch neue Angriffsflächen für Cyberkriminelle. In Anbetracht dieser Tatsache ist es wichtig, dass Unternehmen und Institutionen die Anforderungen der NIS2-Richtlinie verstehen und lernen umzusetzen. Dies erfordert nicht nur technologische Maßnahmen, sondern auch eine kulturelle Veränderung innerhalb der Unternehmen, um Cybersicherheit als unverzichtbaren Bestandteil des Geschäftsmodells zu betrachten.
In unserem Interview sprechen wir mit Marcel Kühne, einem Experten für Cybersicherheit am Fraunhofer IOSB-AST. Nach seinem Studium der Informatik hat Marcel Kühne sieben Jahre als Software-Entwickler in der freien Wirtschaft gearbeitet, wobei sein Fokus auf sicherheitskritischen Anwendungen lag. Seit 2019 widmet sich Herr Kühne intensiv dem Bereich Cybersicherheit im Lernlabor Cybersicherheit für die Energie- und Wasserversorgung, wobei sein Forschungsschwerpunkt auf der Cyber-Resilienz liegt. Im Interview werden wir mit ihm über die konkreten Auswirkungen der NIS-2-Richtlinie, die damit verbundenen Herausforderungen und praktische Maßnahmen sprechen, die Unternehmen ergreifen können, um ihre Cybersicherheit zu stärken.
Herr Kühne, könnten Sie uns kurz zusammenfassen, was die NIS-2-Richtlinie genau umfasst und welche Ziele sie verfolgt?
Die NIS-2-Richtlinie legt EU-weit Mindestanforderungen an die Cybersicherheit für Unternehmen, Organisationen und andere Einrichtungen fest. Sie muss bis zum 17. Oktober 2024 von jedem Mitgliedsland in nationales Recht umgesetzt werden. Die Richtlinie umfasst länderübergreifend betroffene Sektoren, definiert einheitliche Schwellenwerte und unterteilt in wesentliche und wichtige Einrichtungen. Neben einer nationalen Cybersicherheitsstrategie, einer verstärkten Zusammenarbeit der EU-Mitgliedsstaaten sowie Sanktionen und Bußgeldern, sind die Einführung eines Risikomanagements, die Meldepflicht für erhebliche Sicherheitsvorfälle sowie die explizite Verpflichtung der Geschäftsleitung wichtige Bestandteile der Richtlinien-Umsetzung.
Welche spezifischen Auswirkungen hat die NIS-2-Richtlinie auf Unternehmen und Institutionen?
Im ersten Schritt müssen Unternehmen und Institutionen eigenständig prüfen, ob sie unter die NIS-2-Richtlinie fallen. Einrichtungen in den betroffenen Sektoren, zu denen unter anderem die Energie- und Wasserversorgung zählt, die mindestens 50 Angestellte haben oder einen Umsatz und eine Bilanz von mindestens 10 Millionen Euro generieren, sind von der NIS-2-Richtlinie betroffen. Sie müssen sich nach der Umsetzung in nationales Recht innerhalb von drei Monaten beim BSI registrieren und sich intensiv mit dem Thema Cybersicherheit beschäftigen. Die Einhaltung der NIS-2-Richtlinie wird anschließend alle drei Jahre überprüft.
Die betroffenen Einrichtungen haben unternehmensweit besondere Anforderungen bezüglich des Risikomanagements, des Krisenmanagements und erhöhte Anforderungen an die Sicherheitsmaßnahmen umzusetzen, wie beispielsweise die kontinuierliche Überwachung der Netz- und Informationssysteme. Zudem sind strenge zeitliche Vorgaben für die Meldung erheblicher Sicherheitsvorfälle zu beachten. Mit der Umsetzung der NIS-2-Vorgaben ist in aller Regel auch die Einführung bzw. Erweiterung eines Informationssicherheitsmanagementsystemen (ISMS) verbunden. Auch die Geschäftsführung soll direkt in die Umsetzung involviert werden, da sie dazu angehalten ist, die Umsetzung der Cybersicherheitsmaßnahmen zu überwachen und für deren Wirksamkeit haftbar ist.
Unternehmen, die bereits KRITIS-Betreiber sind, steht neben einer Vertiefung insbesondere eine Ausweitung der Sicherheitsmaßnahmen vom kritischen Bereich auf das gesamte Unternehmen bevor. Grundsätzlich treffen die neuen Maßnahmen diese Einrichtungen aber nicht unvorbereitet, da sie bereits (zumindest in Teilen) reguliert sind.
Welche Herausforderungen sehen Sie bei der Umsetzung der NIS-2-Richtlinie in der Praxis?
Ungefähr 25.000 Unternehmen und Institutionen in Deutschland, für die bisher keine besonderen Anforderungen an die Cybersicherheit gestellt worden sind, sind voraussichtlich von der NIS-2-Richtlinie betroffen. Auf diese Einrichtungen kommt ein erheblicher personeller, finanzieller und organisatorischer Aufwand zu. Zusätzlich kann die explizite Einbeziehung der Sicherheit der Lieferkette dazu führen, dass auch andere Unternehmen mittelbar betroffen sind, die eigentlich nicht unter die NIS-2-Richtlinie fallen.
Der in der Richtlinie geforderte Nachweis der Wirksamkeit von Sicherheitsmaßnahmen kann schnell sehr umfangreich werden, da zum einen für die entsprechenden Testverfahren (zum Beispiel Pentests) meistens keine interne Expertise in den Unternehmen vorhanden ist und zum anderen diese in der Umsetzung sehr aufwendig sein können. Man denke zum Beispiel an Notfallpläne für Cybersicherheitsvorfälle, die analog zu Feueralarmübungen durchgeführt werden müssten.
Vor einer besonderen Herausforderung stehen Betreiber von kritischen Infrastrukturen: neben den bereits existierenden nationalen Bestimmungen in Deutschland, kommen mit der NIS-2-Richtlinie zusätzliche Anforderungen auf sie zu. Bei vielen von ihnen wurden letztes Jahr erst die Maßnahmen aus dem IT-SiG 2 (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) umgesetzt. Die neu eingeführten Maßnahmen und Prozesse müssen erst einmal „gelebt“ werden und sich etablieren. Die bevorstehende Umsetzung der NIS-2-Richtlinie kann dabei eine Herausforderung sein. Neben der NIS-2-Richtlinie wird ab Oktober 2024 zudem mit dem KRITIS-Dachgesetz zusätzlich die EU RCE/CER-Richtlinie in Deutschland umgesetzt. Hier sehe ich vor allem ein (personelles) Ressourcenproblem bei vielen Unternehmen.
Wie unterstützt das Fraunhofer IOSB-AST Unternehmen und Institutionen dabei, die NIS-2-Richtlinie umzusetzen?
Im Rahmen des Lernlabors Cybersicherheit bietet das Fraunhofer IOSB-AST Seminare und Weiterbildungen für Unternehmen der Energie- und Wasserversorgung zum Thema Cybersicherheit an. Das Schulen der Mitarbeitenden ist ein elementares Thema im Rahmen der NIS-2-Umsetzung. In unseren Trainings können Teilnehmende die Herangehensweise von Hackern auf Systeme und Prozesse der Energie- und Wasserversorgung verstehen und durch Beispielangriffe praxisnah nachvollziehen. Vor allem aber lernen Teilnehmende präventive Maßnahmen zur Netzwerkabsicherung und Systemhärtung kennen.
Zusätzlich bieten wir Unternehmen im Rahmen unseres Cybersecurity Assessments umfassende Sicherheitsbewertungen für IT-Systeme, Netzwerke und ICS-Anlagen an, um Schwachstellen zu identifizieren und einen bestmöglichen Schutz vor potenziellen Gefahren zu ermöglichen. Dabei bestimmen und bewerten unsere Expertinnen und Experten die aktuelle Bedrohungslage und ermitteln anhand von ausführlichen Berichten den notwendigen Handlungsbedarf, um die Verfügbarkeit und Zuverlässigkeit der Betriebsabläufe auch weiterhin zu gewährleisten. Mit diesem Nachweis der Wirksamkeit unterstützen wir die Umsetzung der NIS-2-Richtlinie.
Welche Entwicklungen und Trends erwarten Sie in Bezug auf Cybersicherheit und die NIS2-Richtlinie in den kommenden Jahren?
In den kommenden Jahren können wir wahrscheinlich folgende Entwicklungen und Trends beobachten:
-
- Der Einsatz von KI sowohl für Cyberangriffe als auch für die Abwehr von ebendiesen wird eine immer größere Rolle spielen.
- Das Thema Cyber-Resilienz wird zunehmend stärker in den Fokus rücken.
- Fernzugriff für die Wartung und die tägliche Arbeit wird zukünftig ein wichtiger Aspekt bei den Sicherheitsbetrachtungen sein.
- Fehlende Ressourcen bei den Unternehmen – sowohl personell als auch finanziell – werden neben dem allgemeinen Fachkräftemangel eine große Herausforderung bei der Umsetzung von Cybersicherheitsmaßnahmen sein.
- Die NIS-2-Richtlinie wird mit den neuen Bedrohungen und Situationen in Zukunft Schritt halten müssen und dementsprechend einer kontinuierlichen Anpassung unterzogen werden müssen.
Abschließend, welche Ratschläge würden Sie Unternehmen und Institutionen geben, um sich effektiv vor Cyberbedrohungen zu schützen und ihre Cybersicherheitsstrategien kontinuierlich zu verbessern und gibt es noch etwas, dass Sie gerne teilen möchten?
Viele Bedrohungen im Bereich der Cybersicherheit und deren Auswirkungen lassen sich mit einfachen Maßnahmen und relativ wenig Aufwand effektiv reduzieren. Eine Analyse der eigenen Prozesse und Arbeitsabläufe hinsichtlich potenzieller Schwachstellen ist dabei ein guter Einstieg. Ziel sollte es sein, Cybersicherheit als Bestandteil des Geschäftsmodells zu betrachten, als einen Prozess, den es kontinuierlich zu verbessern gilt. Bei dieser Etablierung und Verbesserung der Cybersicherheit können wir vom Lernlabor Cybersicherheit, mit Fach- und aktuellem Forschungswissen, den Unternehmen und Organisationen zur Seite stehen. Anpassung an aktuelle sowie die Antizipation von zukünftigen Gefahrenlagen ist ein essenzieller Schlüssel zum Erfolg.
Unser Experte im Interview
Marcel Kühne, M.Sc.
Wissenschaftlicher Mitarbeiter am Fraunhofer IOSB-AST
Das könnte Sie auch interessieren:
Das Lernlabor Cybersicherheit ist ein Weiterbildungsprogramm, in dem Experten und Expertinnen von Fraunhofer und ausgewählten Fachhochschulen aktuellste Erkenntnisse auf dem Gebiet der Cybersicherheit vermitteln. Fach-und Führungskräfte aus Industrie und öffentlicher Verwaltung können so ihre Kompetenzen zu IT-Sicherheit aktualisieren und spezialisieren. An zahlreichen Standorten in Deutschland erhalten Sie eine kompakte Qualifizierung in hochwertigen Laboren. Die Präsenzphasen der Seminare dauern nur ein bis drei Tage und sind mit Online-Angeboten ergänzt, so dass die Kurse berufsbegleitend belegt werden können.