NIS2-Richtlinie in Kraft getreten – Cyber-Sicherheit gewinnt für Unternehmen an Relevanz
„We move it“ stellte in einer Veranstaltung im November 2024 vor, welche Anforderungen die neue NIS2-Richtlinie an die Resilienz und Sicherheit von Netz- und Informationssystemen stellt und wie Unternehmen diese zielführend umsetzen können.
Digitalisierung bietet die Möglichkeit der Automatisierung, Beschleunigung und Vereinfachung von Prozessen. Die intelligente, zielgerichtete Nutzung von Daten steigert die Wettbewerbsfähigkeit von Unternehmen maßgeblich. Mit zunehmender Digitalisierung wächst jedoch auch die Gefahr Zielscheibe von Cyberangriffen zu werden.
Die neue NIS2-Richtlinie (Network and Information Security Directive) der Europäischen Union erweitert die deutsche KRITIS (Kritische Infrastrukturen)-Regulierung und verpflichtet Unternehmen zur Stärkung der Resilienz und Sicherheit von Netz- und Informationssystemen, um derartigen Cyberattacken vorzubeugen.
Im November 2024 veranstaltete „We move it“ vor diesem Hintergrund eine Veranstaltung zum Thema NIS2 und Cyber-Sicherheit, bei der Experten aus der Praxis vorstellten, warum Cyberabwehr für Unternehmen entscheidend ist und wie die NIS2-Richtlinie erfolgreich umgesetzt werden kann:
Referenten der NIS2-Veranstaltung
Karl Friedrich Schmidt, Geschäftsführer der accelcon industrial engineering GmbH, erläuterte zunächst, dass Cyberattacken ein zunehmendes Problem werden und Unternehmen daher proaktiv handeln müssen. 81% aller Unternehmen in Deutschland werden mindestens 1x angegriffen. Schon kleine Sabotagen verursachen einen immensen Schaden, beispielsweise dann, wenn Produktionseinrichtungen manipuliert werden. Neben Reputationsschäden und Geldstrafen kann es bis zur dauerhaften Schließung eines Unternehmens kommen. Daher ist eine gute Cybersicherheit unerlässlich; sie betrifft nicht nur die IT, sondern das gesamte Unternehmen einschließlich aller Mitarbeitenden.
Jörg Spöcker, Geschäftsführer der XaaS Enterprise GmbH, führte in seinem Vortrag aus, was von NIS2 betroffene Unternehmen und Organisationen aus rechtlicher Sicht tun müssen. Die verschärften NIS2-Regelungen sind in einem komplexen rechtlichen Umfeld angesiedelt und haben weitreichende Konsequenzen für die Praxis. Sie fordern die Sicherheit von Netzwerk- und Informationssystemen zur Vermeidung und Abminderung der Folgen von Cyberangriffen. Dies betrifft technische und organisatorische Maßnahmen wie etwa regelmäßige Schulungen, Nachweispflichten zur IT-Sicherheit, Auditierung, Meldepflichten. Vor allem aber werden Systeme zur Angriffserkennung benötigt, z.B. die Identifikation unzulässiger Zugriffe oder Anmeldeversuchen und sonstigem verdächtigen Verhalten auf Endgeräten.
Was passiert, wenn es passiert ist, stellte Jens Hildenbeutel von 4SITSolutionsAG Germany vor. Anhand eines Beispiels veranschaulichte er, wie ein Cyberangriff ablaufen kann, was er anrichtet, wie sie er sich erkennen lässt und wie man ihm vorbeugt. Oft vergeht eine 3-stellige Anzahl an Tagen zwischen dem unbemerkten Cyberangriff und dem Erkennen dieser Attacke. In dieser Zeit kann ein Hacker enormen Schaden anrichten. Besonders alte Systeme sind hier anfällig. Und es muss nicht immer Datendiebstahl sein – auch Sabotage wie z.B. die bewusst falsche Ansteuerung von Maschinen sind häufige Vorfälle. Eine Vielzahl kleiner und mittelständischer Unternehmen ist nach einem erfolgreichen Cyberangriff nicht mehr in der Lage, den Betrieb fortzusetzen. Daher plädierte auch Herr Hildenbeutel, Cyberabwehr ernst zu nehmen, Mitarbeitende intensiv und regelmäßig zu schulen, einfache, aber effektive Systeme für einen autorisierten Zugriff einzuführen, Früherkennung durch KI zu unterstützen, Daten durch Backups zu sichern und für den Fall der Fälle einen Notfallplan auszuarbeiten.
Jasper Bhaumick, Vorstandsvorsitzender der Bizpando AG Switzerland, stellte eine Datenplattform vor, die sein Unternehmen entwickelt hat. Darüber besteht die Möglichkeit, zu prüfen, ob das eigene Unternehmen von NIS2 betroffen ist und wenn ja, in welchem Umfang. Weiterhin ermöglicht es die Dokumentation gemäß NIS2-Regularien – nicht nur für das eigene Unternehmen, sondern auch mit Blick auf die Lieferanten.
Der Tag veranschaulichte, welche herausragende Rolle Cyber-Sicherheit für Unternehmen spielt. Sensible Daten müssen geschützt werden – nicht nur, um Datenverlust und Sabotage vorzubeugen, sondern auch, um Reputationsschäden oder finanzielle Schäden (Strafzahlungen, Lösegeld) oder gar den Stillstand des täglichen Geschäfts zu vermeiden. Cyber-Sicherheit muss somit ein wesentlicher Bestandteil der Unternehmensstrategie sein. Die NIS2-Richtlinie gibt klare Regularien vor, was Unternehmen in Hinblick auf Informationssicherheit tun müssen. Die Experten zeigten praxisnahe Wege auf, wie sich Unternehmen optimal schützen können und gaben Tipps, worauf bei der Umsetzung von IT-Sicherheitskonzepten geachtet werden muss.
