Die zweite EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS-2) ist seit Januar 2023 in Kraft und ab 18. Oktober 2024 anwendbar. Spätestens zu diesem Stichtag müssen die Mitgliedsstaaten sie in nationales Recht umgesetzt haben. Aus Sicht der Adressaten besteht indes noch erheblicher Klärungsbedarf. In einer Vortragsreihe griff die IHK Frankfurt am Main am 29. April 2024 zentrale Aspekte der NIS-2-Anwendung auf.

Start in eine sichere Vernetzung

Im Lichthof der IHK umrissen Expertinnen und Experten aus Unternehmen und Verbänden, was mit NIS-2 auf Europas Wirtschaft zukommt, und gingen anschließend vom Podium aus auf Fragen des Publikums ein. Als Experte für Cyber Security der Consileon stand Andreas Grau den Gästen Rede und Antwort.

Cyberabwehr stärken

Das Wettrüsten zwischen Angreifern und Hütern staatlicher oder kommerzieller IT-Systeme zieht immer weitere Kreise, wird schneller und härter. Dazu tragen nicht zuletzt politisch oder ideologisch motivierte Akteure wie Geheimdienste und deren inoffizielle Handlanger bei, die den Regierungen und Konzernen des eigenen Lagers unlautere strategische Vorteile zu verschaffen suchen. Beliebig skalierbare Rechenleistung und künstliche Intelligenz erleichtern Brute-Force-Attacken in hohem Tempo auf breiter Front. Angesichts solcher Risiken erlegt der EU-Gesetzgeber den Unternehmen im Unionsgebiet mit NIS-2 entlang der gesamten Lieferkette schärfere Sicherheitsregeln auf. Sogar als wesentlich eingestufte Kleinbetriebe müssen zum Schutz des Gesamtsystems beitragen.

Weil aber hundertprozentiger Schutz in einem derart expansiven, veränderlichen Umfeld eine Illusion bleibt, werden Unternehmen dazu verpflichtet, Prozesse zu planen und einzuüben eingespielte Notfallmanagement-Prozesse, die ihre IT-Systeme im Ernstfall abschotten, um den Gesamtschaden  zu minimieren. Umfangreiche Meldepflichten helfen, andere potenzielle Opfer zu warnen und die Gefahr einzudämmen, bevor sie auf weitere Betriebe, Sektoren oder den gesamten EU-Binnenmarkt übergreift.

Andreas Grau beantwortet Fragen aus dem Publikum; in der Diskussionsrunde stellen viele Gäste Handlungsbedarf fest.

NIS-2: darauf kommt es jetzt an

NIS-2 verpflichtet Unternehmen zahlreicher Branchen, die Sicherheit im Cyberraum ernst zu nehmen. Es lohnt sich, die Richtlinie nicht als „bürokratische Schikane“ abzutun, sondern als Chance zu begreifen. Wenn alle legitimen Akteure dazu beitragen, das Gesamtrisiko zu mindern, ist schon viel gewonnen. Digitale Sicherheit ist mehr als ein Dienst an der Gesellschaft, der zunächst nur Kosten zu verursachen scheint. Letztlich steht die Existenz des eigenen Unternehmens auf dem Spiel.

Was also kann und muss Ihr Unternehmen tun, um sich und andere im Einklang mit NIS-2 vor Cyberattacken zu schützen? Guter Rat muss nicht teuer sein. Bevor wir die Hackerabwehr Ihres Betriebs hochfahren, prüfen wir, welche Vorschriften aus der Richtlinie für ihre Branche und Ihr Geschäftsmodell gelten. Zu jeder Betriebsgröße, zu jedem Anwendungsfall finden wir den wirtschaftlich wie technisch richtigen Ansatz. Stark expandierenden Unternehmen empfehlen wir Lösungen, die mit dem Geschäft mitwachsen.