Das Cyberangriffe und Bedrohungen im Internet weiter wachsen ist nichts neues. Im Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist das Fazit „Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.“ Erstaunlicherweise lautete das Fazit im vorherigen Jahr nahezu genauso. Im europäischen Raum wurde 2023 reagiert und bereits im Januar beschloss man eine neue Richtlinie für die Sicherheit von systemrelevanten Betrieben: die NIS2 Richtlinie. Ab diesem Zeitpunkt wurde es in die Hand der Mitgliedstaaten gegeben, die Richtlinie umzusetzen und mit konkreten Gesetzen zu untermauern. Als Stichtag zur Umsetzung wurde für Betriebe der 17. Oktober 2024 festgelegt. Das Erschreckende: Stand Mai 2024 gibt es immer noch kein beschlossenes Gesetz in Deutschland. Mittlerweile wird sogar gemunkelt, dass das konkrete Umsetzungsdatum noch einmal verschoben werden soll. Deutschland ist im europäischen Vergleich damit zwar nicht alleine, aber das verbessert die Situation nicht Lediglich Tschechien, Kroation und Österreich scheinen die Zeitraumvorgaben einzuhalten und das Thema Sicherheit ernst zu nehmen.(Quelle)
Wir fragen uns derweil, wie es sein kann, dass fünf Monate vor der verpflichtenden Umsetzung in Unternehmen immer noch kein konkretes Gesetz vorhanden ist. Dabei ist die Richtlinie selbst bereits eine sehr späte Reaktion auf das oft viel zu niedrige Sicherheitsniveau von europäischen Betrieben. Man sollte hierzu auch bedenken, dass nahezu unsere komplette Infrastruktur und Versorgung bereits digitalisiert ist. Deshalb kann ein erfolgreicher Angriff zu wesentlichen Versorgungsengpässen führen kann und es ist somit notwendig wichtige Versorgungswege entsprechend abzusichern. Die europäische Richtlinie NIS2 ist genau aus diesem Grund entstanden. Umso trauriger ist es, dass es immer noch kein konkretes Gesetz zur Umsetzung gibt.
In unserem täglichen Umgang mit Kunden stellen wir fest, dass eine große Unsicherheit besteht, welche Maßnahmen nun genau umgesetzt werden müssen. Prinzipiell sind die meisten dafür bereit Ihren Betrieb anzupassen, aber durch die verzögerte Gesetzesentwicklung zeigen sich viele Unternehmensführer gehemmt eine konkrete Entscheidung zu fällen. Viele haben die Befürchtung in Maßnahmen zu investieren, die dann gesetzlich gar nicht gefordert werden oder umgekehrt Maßnahmen zu übersehen, die anschließend essentiell sind. Dahinter steht die Befürchtung mit der Evaluierung und Verbesserung der IT-Sicherheit swieder „neu“ anfangen zu müssen, sollte das Gesetz dann endlich in Kraft treten.
Fakt ist jedoch, auch wenn es noch kein Gesetz zur Sicherheit gibt, bedeutet das nicht, dass Hacker darauf warten werden bis es zu Stande kommt und Unternehmen sich schützen. Selbst wenn die Regierung aktuell nicht zu einem konkreten Entschluss kommt, sollten Sie sich dafür entscheiden, Ihr Unternehmen abzusichern. Ein erster Schritt hierzu ist, den aktuellen Stand an Maßnahmen im Bereich Sicherheit festzuhalten und zu protokollieren. Sie können dies als Aufgabe an Ihre IT-Abteilung geben oder einem externen Expertenteam überlassen. Dieses kann bei Ihnen ein Security-Audit durchführen. Anschließend haben Sie Ihren aktuellen Sicherheitsstand übersichtlich zusammengefasst. Sollten wichtige Punkte fehlen, können Sie dann Ihre Sicherheits-Maßnahmen verbessern. Wenn für NIS2 endlich ein endgültiges Gesetz steht, kann man anhand der Audit-Erkenntnisse auch entsprechend nachrüsten.
Sie benötigen Unterstützung bei der Vorbereitung für NIS2? Gern unterstützen wir Sie dabei Ihr Unternehmen vorzubereiten auf die kommende Verordnung.