Teilen
In Deutschland fallen rund ein Drittel der Unternehmen mit über 50 Mitarbeitenden unter die Anwendung der NIS-2-Richtlinie. Können sich die Verantwortlichen der restlichen zwei Drittel der Unternehmen also entspannt zurücklehnen – und das Thema Cybersicherheit einfach ignorieren? Wohl kaum. Wenn die neuen Regeln erst mal gelten, wird das Reaktionen entlang der ganzen Lieferkette nach sich ziehen. Wer klug ist, bereitet sich darauf vor und kann im besten Fall sogar profitieren. Das „vernünftigste anzunehmende Unternehmen“ nutzt die Zeit, sich gut vorzubereiten.
Ein trügerisches Aufatmen geht durchs Land: Rund 60.000 mittelständische und große Unternehmen sowie weit über 3 Millionen Klein- und Kleinstunternehmen fallen NICHT unter die NIS-2-Richtlinie, die aller Voraussicht nach im Oktober 2024 in nationales Recht überführt wird. Die naheliegende Schlussfolgerung: Für sie gelten in Zukunft keine Meldepflichten bei schwerwiegenden Sicherheitsvorfällen, sie müssen kein systematisches Risikomanagement einführen, die Geschäftsleitung trägt keine Verantwortung und überhaupt kann das Thema Informationssicherheit so behandelt werden wie bisher – im schlimmsten Fall nämlich gar nicht.
„Interessant wird es, wenn ein Unternehmen Y für ein Unternehmen X tätig ist, für das die NIS-2-Standards greifen“, erklärt Florian Goldenstein, CISO beim Managed Service Provider Konica Minolta. Firma X müsse ein umfassendes Risikomanagement betreiben – und das beinhalte die Risiken der Lieferkette, also auch im Umgang mit X. „Irgendwann wird Y zu X sagen: Wir kommunizieren ausschließlich verschlüsselt miteinander. Außerdem musst du mir nachweisen, dass deine Mitarbeiter*innen geschult sind und eine Multi-Faktor-Authentifizierung verwenden.“ Da bei Firma X die Geschäftsführung persönlich für die Einhaltung der Sicherheitsstandards verantwortlich ist, wird der Druck größer werden, prognostiziert der Cybersecurity-Experte. „Dann heißt es irgendwann: Entweder du weist mir das jetzt nach oder du beliefert mich ab morgen nicht mehr.“ Das kann dann dazu führen, dass Unternehmen Y ebenfalls strengere Regeln zur Informationssicherheit einführt. Das hat Auswirkungen auf Firma Z, die wiederum Firma Y beliefert – nach und nach kommt die NIS-2-Lieferkettenreaktion auch beim schwächsten Glied an.
Dabei spielen nicht nur technische Maßnahmen wie Kryptografie oder Zugriffskontrollen eine Rolle. „Informationssicherheit ist immer ein Dreiklang. Organisatorische Maßnahmen sind ein weiterer wichtiger Teil davon“, schildert Florian Goldenstein. Das sind neben der besagten Lieferkettensicherheit zum Beispiel Sicherheitskonzepte und das Notfallmanagement. „Und am wichtigsten ist der Faktor Mensch. Wenn jemand auf einen Link in einer Phishing-Mail klickt – das kann passieren. Aber das einfach unter den Teppich kehren, darf einfach nicht passieren. Mitdenken ist hier gefragt“, so der CISO. Das sofortige Handeln kann die Kettenreaktion der anderen Art unterbinden: Schadcode wird heruntergeladen, nistet sich zunächst auf dem lokalen Rechner ein, verbreitet sich im Netzwerk, findet Schwachstellen in Schnittstellen zu Partnerunternehmen und kann einen beträchtlichen Schaden verursachen. Menschlichen Neuronen, die sich dazu entschieden, lieber niemandem Bescheid zu sagen, können so ganze IT-Umgebungen zu Fall bringen.
Um nachzuweisen, dass im Informationssicherheits-Dreiklang keine Missstände auftreten, sind Zertifizierungen ein willkommenes Mittel. So können Unternehmen zum Beispiel ein ISO27001-Zertifikat und ein entsprechendes Audit von ihren Zulieferern verlangen, um die Sicherheit der Lieferkette nachweisen zu können. Auch branchenspezifische Sicherheitsstandards gewinnen seit Jahren an Bedeutung, wie sich etwa in der Automobil-Industrie zeigt. „Hier verbreitet sich mehr und mehr die sogenannte TISAX®-Zertifizierung. Selbst Garagenfirmen, die Patente auf unersetzliche Technologien halten, müssen sich den Audits unterziehen“, weiß Florian Goldenstein. Mehr als 3.000 Unternehmen weltweit erfüllen mittlerweile den einheitlichen Standard. Das trägt schon heute zum Vertrauen bei. Und damit nicht genug, meint der Cybersecurity-Manager: „Da Automobil- und Maschinenbau definitiv unter NIS-2 fallen, steigen die Anforderungen an Subunternehmer“.
Dass die Kettenreaktion kommt, gilt als sicher. Die Frage ist nur, wie weit sie reichen wird und welche Unternehmen die Auswirkungen spüren werden. Fest steht: Trifft es unvorbereitete Unternehmen, die hauptsächliche mit NIS-2-Unternehmen zusammenarbeiten, droht eine gefährliche Kerngeschäftsschmelze. „Wir gehen aber vom vernünftigsten anzunehmenden Unternehmen aus“, zeigt sich Florian Goldenstein optimistisch: „Wir sind überzeugt, dass unser Mittelstand und die Kleinunternehmen begriffen haben, worum es bei NIS-2 eigentlich geht. Nämlich die Wirtschaft insgesamt resilienter gegen Cyberbedrohungen zu machen.“ Deshalb unterstützt sein Team Unternehmen jeder Größe dabei, sich den Herausforderungen der Informationssicherheit zu stellen.
Dabei muss es nicht immer gleich der große Rundumschlag sein. „Ob von NIS-2 betroffen oder nicht: Jede Maßnahme, welche die Sicherheit steigert, ist eine sinnvolle Maßnahme“, sagt der Cybersecurity-Experte. „Wer systematisch vorgehen will, fängt mit dem Thema Risikomanagement an – und mit der ganz einfachen Frage: An welchen Stellen gibt es eigentlich Risiken?“ Analysen und Dokumentation bilden so einen wichtigen Grundstein, auf denen weitere Maßnahmen aufsetzen können, etwa die Einführung eines Informationssischerheits-Managementsystems (ISMS) oder moderne technische Lösungen.
Die europäische Richtline NIS-2 regelt den Umgang von wesentlichen und wichtigen Unternehmen – also solche, die in der Daseinsfürsorge der Bevölkerung eine Rolle spielen. Dies sind neben den KRITIS-Unternehmen zum Beispiel auch Hersteller von Lebensmitteln oder Forschungseinrichtungen. NIS-2 sieht unter anderem bestimmte Meldepflichten bei Sicherheitsvorfällen, ein umfassendes Risikomanagement und die Umsetzung von technischen und organisatorischen Maßnahmen vor. Bis Oktober 2024 soll die Richtline in nationales Recht überführt werden und damit gelten.