:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/59/60/5960c42975dff727adfac6a471bc7428/0114147994.jpeg "Obwohl 90 Prozent der Befragten glauben, dass ihre aktuellen Tools zur Erkennung von Bedrohungen effektiv sind, befürchten 97 Prozent, einen relevanten Sicherheitsvorfall zu verpassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/a4/88a4cea0faefd5e74cc9bd5a9fb4ca87/0114037795.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cybersicherheit als unternehmerische Verantwortung NIS2 wird zum Katalysator für die Cybersecurity
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die überarbeitete Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) hat in den letzten Monaten viele Diskussionen entfacht. Angesichts der zunehmenden Zahl erfolgreicher Cyberangriffe auf kritische Infrastrukturen (KRITIS) und sogenannte Hochwertziele ist es unerlässlich, dass Organisationen jeder Größe und Branche sich besser aufstellen. NIS2 ist ein wichtiger Impuls, das allgemeine Sicherheitsniveau zu erhöhen und Resilienz aufzubauen.
NIS2, die überarbeitete Version der von der EU 2016 festgelegten Cybersecurity-Richtlinie NIS (Network and Information Security), bringt eine Reihe neuer Anforderungen mit sich, die insbesondere für kleine und mittlere Unternehmen eine Herausforderung darstellen. Dazu gehören die Ausweitung des Adressatenkreises auf acht neue Sektoren, die Einteilung der Sektoren in „Essential Services" (wesentliche Dienste) und „Important Services" (wichtige Dienste) sowie die Erfassung von Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden und einem Jahresumsatz von mindestens zehn Millionen Euro. Dieser „Patch“ soll dazu beitragen, dass sich mehr Unternehmen besser gegen Cyberangriffe wappnen. Allerdings birgt er auch einige Herausforderungen, insbesondere in Bezug auf die Umsetzung der geforderten Maßnahmen und die Suche nach Fachkräften.
Politik trifft auf Proaktivität
Die Bedrohung durch Cyberkriminelle wächst stetig, gleichzeitig ist gute IT-Sicherheit teuer. Ein Spannungsfeld, in dem das Handeln der Politik absolut sinnvoll ist. Entsprechende Regelungen und insbesondere NIS2 sind Schritte in die richtige Richtung, um Unternehmen zu verpflichten, ihre Cybersicherheit zu verbessern und damit auch die allgemeine Bedrohungslage zu reduzieren.
Das lohnt sich für Unternehmen auch aus eigenem Interesse: Denn nur, wer proaktiv handelt und die Herausforderungen, die die aktualisierte Richtlinie mit sich bringt, als Chance begreift, kann sich gegen zukünftige Bedrohungen schützen und so resilienter werden.
Umfangreiche Pflichten und strenge Meldefristen
Die Umsetzung der NIS2-Direktive in nationales Recht wird im Herbst 2023 erwartet und bringt viele neue Pflichten für die betroffenen Unternehmen und Einrichtungen mit sich. Sie müssen wirksame Richtlinien und Standards für die Informationssicherheit einführen, effektive Maßnahmen zur Prävention entwickeln, Cyberangriffe erkennen und abwehren sowie ein umfassendes Incident Management aufbauen. Darüber hinaus gilt es auch die Geschäftskontinuität sicherzustellen und Maßnahmen zum Schutz der Lieferketten zu ergreifen. Kurz: Schon der funktionale Anforderungskatalog ist umfangreich.
Gleichzeitig werden die neu geforderten technologischen und prozessualen Standards von strengen Vorgaben für das Meldewesen begleitet. Unternehmen haben künftig bei Sicherheitsvorfällen 24 Stunden Frühwarnzeit an Behörden und 72 Stunden, um eine detaillierte Beschreibung nachzureichen. Das ist eng bemessen, aber im Ernstfall zählt jede Sekunde.
Fachkräftemangel potenziert Probleme – wie üblich
Ein zentrales Problem bei der Umsetzung von NIS2 ist der Mangel an Fachkräften im Bereich der Cybersicherheit. Insbesondere kleinere Unternehmen könnten Schwierigkeiten haben, kompetente Mitarbeitende für ihre Sicherheitsteams zu finden – oft fehlt es an Reputation, Budget und Referenzen. Auf Behördenseite sieht es kaum besser auf: Denn auch für das erwartbar ansteigende Meldeaufkommen braucht es qualifiziertes Personal. Unternehmen und Behörden müssen also frühzeitig handeln und ihre Suche nach geeignetem Personal intensivieren. Doch das allein reicht nicht. Der knappe Arbeitsmarkt macht konsequentes Upskilling und klare Verantwortlichkeiten zum zentralen Erfolgsfaktor. Und auch externe Expertinnen und Experten können eine entscheidende initiale Hilfe sein, um belastbare Prozesse aufzubauen.
Kooperation stärken, Transparenz schaffen
Zwar stellt die angepasste Richtlinie viele einzelne Parteien vor Herausforderungen, dennoch hängt die erfolgreiche Umsetzung entscheidend davon ab, wie gut betroffene Unternehmen, zuständige Behörden und weitere Akteure – beispielsweise IT-Sicherheitsdienstleister – an einem Strang ziehen. Dafür braucht es zwei Arten der Transparenz: Einerseits können die Parteien durch den Austausch von Informationen, Erfahrungen und Best Practices voneinander lernen und gemeinsam Lösungen entwickeln. Auf der anderen Seite gilt es auch, interne IT-Sicherheitsmaßnahmen kontinuierlich zu überprüfen und anzupassen. Dafür braucht es klare Prozesse, eine proaktive Herangehensweise und die Bereitschaft, Probleme offen und frühzeitig zu adressieren. Erst dann laufen Investitionen in die IT-Sicherheit auch langfristig in die richtige Richtung.
Die Renaissance der Agilität
In der sich ständig verändernden Landschaft der Cybersicherheit ist es entscheidend, flexibel und anpassungsfähig zu sein. Unternehmen müssen in der Lage sein, auf neue Bedrohungen zu reagieren und ihre Sicherheitsstrategien entsprechend anzupassen. Dies erfordert nicht nur den Einsatz von modernen Sicherheitstechnologien, sondern auch ein Umdenken in Bezug auf die Organisationskultur und die Zusammenarbeit mit externen Partnern. Das Stichwort „Agilität“ mag in IT-Kreisen zwar längst überstrapaziert wirken, ist bezogen auf die Anforderungen an ein reaktionsschnelles und handlungsfähiges Sicherheitssetup aber aktueller denn je.
Cybersicherheit als unternehmerische Verantwortung
All das bedingt, dass die Umsetzung der NIS2-Richtlinie nicht als bloße Erfüllung regulatorischer Vorgaben betrachtet werden sollte. Sie ist vielmehr Teil einer umfassenden unternehmerischen Verantwortung. Cybersicherheit ist nicht nur für den Schutz des eigenen Unternehmens von entscheidender Bedeutung, sondern auch für die Sicherheit der Kunden, Partner und der gesamten Lieferkette. Unternehmen, die in ihre IT-Sicherheit investieren und den Schutz ihrer Netzwerke und Daten ernst nehmen, leisten einen wertvollen Beitrag zur Gesamtsicherheit im digitalen Raum. Und umgekehrt werden solche, die dies nicht tun, in den Augen von Partnern und Endkundinnen und -kunden schnell Vertrauen verlieren und im Wettbewerb zurückfallen. Damit bietet NIS2 neben all den mit der Richtlinie einhergehenden Herausforderungen vor allen Dingen eine Sache: die Chance, Cybersicherheit international auf eine neue Stufe zu heben – hoffentlich über die, auf der sich die Bedrohungsakteure bereits befinden.
Über den Autor: André Glenzer ist Partner im Bereich Cyber Security und Privacy und Leiter des KRITIS Center of Excellence bei PwC Deutschland.
(ID:49631511)
:quality(80)/images.vogel.de/vogelonline/bdb/1946000/1946093/original.jpg "Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen. (viperagp - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951897/original.jpg "Mit neuen und einheitlichen Vorschriften will die EU ihre Abwehrfähigkeit ausbauen und so eine resiliente Verwaltung sicherstellen (Milen Lesemann – stock.adobe.com)")