Ratbacher - IT Personalberatung
searchSuche
personLogin

NIS-2: Was sind die wichtigsten Punkte der Cybersecurity-Richtlinie?

Ist Ihr Unternehmen von NIS-2 betroffen? Was muss Ihre IT-Abteilung unbedingt umsetzen, um die Vorgaben zu erfüllen? Diese und weitere Fragen beantwortet hier ein Sicherheitsexperte.
 

An NIS-2 wird schon seit einigen Jahren gearbeitet. So schlug die Europäische Kommission Ende 2020 vor, NIS-1 (Network and Information Security Directive) zu überarbeiten, 2023 trat NIS-2 dann in Kraft – doch die finale Umsetzung durch die deutsche Bundesregierung scheiterte

Trotzdem bleibt die europäische Richtlinie, die wahrscheinlich in naher Zukunft als Gesetz verankert wird, extrem relevant für sehr viele Unternehmen und ihre IT-Abteilungen. Weshalb, das erklärt Fabian Böhm im Interview. Er ist Gründer und Geschäftsführer der TEAL Technology Consulting GmbH. Böhm unterstützt seine Kunden dabei, ihr Sicherheitsniveau nachhaltig zu verbessern und Angriffe frühzeitig zu erkennen.
 

Ratbacher: Ab wann ist NIS 2 nun für deutsche Unternehmen verpflichtend?

Fabian Böhm: Die Umwandlung von NIS 2 in nationales Recht sollte ursprünglich bis spätestens Oktober 2024 abgeschlossen sein. Seit Ende Januar 2025 ist jedoch bekannt, dass sich die Umsetzung auf unbestimmte Zeit verzögert. Die Politik konnte das Gesetz nicht mehr vor den Neuwahlen verabschieden, sodass die neue Regierung das Thema erneut aufgreifen muss. 
 

Es gibt ja eine Vielzahl von IT-Sicherheitsmaßnahmen, die Unternehmen umsetzen sollten, um NIS-2 - wenn es dann offiziell in Deutschland gilt – zu erfüllen. Welche sind aus Ihrer Sicht die wichtigsten?

Derzeit lässt sich noch nicht abschätzen, welche Inhalte final in den deutschen NIS-2-Gesetzen verankert sein werden. Bereits jetzt zeichnet sich jedoch ab, dass keine grundlegenden Neuerungen verlangt werden. Normen wie die ISO 27001, der BSI-Grundschutz oder der Branchenstandard TISAX decken sich in vielen Punkten mit den Anforderungen, die die zweite EU-Richtlinie zur Verbesserung der Netzwerk- und Informationssicherheit für deutsche Unternehmen vorgibt.
 

Das heißt, mit der Einführung von NIS-2 könnte sich nicht viel ändern?

Genau. Unternehmen sind unabhängig von NIS-2 sehr gut beraten, die IT-Sicherheit zur Chefsache zu machen und dafür bereits geltende IT-Verordnungen, -Gesetze und -Normen umzusetzen. Am Ende geht es ja nicht um die Erfüllung neuer Vorgaben, sondern immer um den bestmöglichen Schutz der Firmen- und Kundendaten. 
 

Wenn NIS-2 kommt – gibt es dann Ausnahmen, zum Beispiel für Start-ups oder kleine, mittelständische Unternehmen?

Ja. Die NIS-2-Richtlinie soll nur für Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro gelten. Firmen, die diese Schwellenwerte nicht erreichen, müssen theoretisch die Vorgaben der NIS-2-Richtlinie nicht umsetzen. 
 

Das bedeutet, dass es auch Ausnahmen von den Ausnahmen gibt?

Richtig. Wenn kleine Unternehmen kritische Tätigkeiten ausüben, die Auswirkungen auf die öffentliche Ordnung haben oder Systemrisiken darstellen, müssen sie die NIS-2-Anforderungen erfüllen. Außerdem muss eine Firma sicherstellen, dass die Sicherheit in ihren Lieferketten gewährleistet ist. Das bedeutet: Wenn ein kleines Start-up eine Organisation beliefert, die als NIS-2 relevant gilt, kann dies auch Auswirkungen auf dieses Unternehmen haben.
 

Was ist das Wichtigste, wenn ein Unternehmen in den Geltungsbereich von NIS-2 fällt?

Es braucht eine umfassende IT-Sicherheitsstrategie! Dazu gehören unter anderem ein Risikomanagement, eine kontinuierliche Verbesserung der Informationssicherheit, die Schulung und Sensibilisierung der Mitarbeiter in Sachen Cybersicherheit und die Einführung von Prozessen, um Sicherheitsvorfälle schnellstmöglich melden zu können. Sie sehen, die meisten Punkte kennt man schon aus anderen Regularien, denn sie gehören zu den „Basics“ der IT-Sicherheit.
 

Welche der Maßnahmen sind aus Ihrer Erfahrung besonders herausfordernd für IT-Abteilungen? 

Ich stelle immer wieder fest, dass Unternehmen nicht wissen, welche ihrer IT-Systeme besonders schützenswert sind. Und sie wissen auch nicht genau, welche kritischen Geschäftsprozesse von welchen IT-Systemen abhängen. Wir empfehlen unseren Kunden daher, zunächst eine Bestandsaufnahme durchzuführen und die kritischen Systeme genau zu identifizieren. Erst in einem zweiten Schritt sollte man gezielte Sicherheitsmaßnahmen auswählen und umsetzen.

Wie schon angeschnitten, gelten für Organisationen, die als KRITIS (Kritische Infrastruktur) eingestuft sind, bei NIS-2 ganz besondere Vorgaben. Sind diese eine „Überraschung“ für IT-Security-Experten?

Nein. Alles, was gefordert wird, bleibt bekannt. Im Gegenteil: NIS-2 harmonisiert bestehende Regularien und schafft eine einheitliche Regelung in Europa. Das bringt klare Vorteile!
 

Das bedeutet, NIS-2 erfordert keine besonderen Aufwände?

Nicht unbedingt. Für die betroffenen Unternehmen kommen höchstens neue Nachweispflichten und Audits hinzu, welche Zeit und Budget erfordern. Aber die dahinter liegenden Schutzziele und Maßnahmen sind schon seit einigen Jahren bekannt.
 

Benötigen IT-Mitarbeiter, die für die Cybersicherheit zuständig sind, nun spezielle Fähigkeiten, um die NIS-2-Vorgaben meistern zu können?

Es wird empfohlen, zu gegebener Zeit mit einem NIS-2-Auditor zu sprechen. Sobald die Gesetzgebung in Deutschland abgeschlossen ist, sollte nochmals geprüft werden, ob und wann man von einem Audit betroffen sein wird. Ich sehe es als sinnvoll an, bereits jetzt mit den technischen und prozessualen Aktivitäten zu beginnen – dann wird es später nicht so hektisch.
 

Die Erfüllung der NIS-2-Vorgaben ist kein einmaliges Projekt, denn an der IT-Sicherheit muss fortwährend gearbeitet werden. Wie gelingt es IT-Abteilungen, die oft schon voll ausgelastet sind, den Workload zu meistern?

Der entscheidende Punkt lautet: Kontinuität. Oftmals sind fortlaufende, kleinere Aufwände viel nachhaltiger und zielführender, als einmalig ein größeres Projekt durchzuführen. Wir empfehlen zum Beispiel, ein bis zwei Arbeitstage pro Monat für IT-Sicherheit zu reservieren und dabei anzufangen, Herausforderungen wirklich zu lösen. Dieses Vorgehen hilft dann auch in anderen Betriebsabläufen und macht die gesamte IT effizienter.
 

Welche Rolle spielt die Geschäftsführung bei der Einhaltung von NIS-2?

Sie spielt eine extrem wichtige Rolle! Nur wenn die oberste Führung das Thema ernst nimmt, kann sich etwas verbessern. Wir erleben es leider häufig, dass ein Wille zur Veränderung oder das nötige Projektbudget fehlt. IT-Sicherheit wird noch zu oft als lästig Übel erklärt. Das ändert sich meist erst, wenn ein Unternehmen von einer größeren oder folgenschweren Attacke betroffen ist.
 

Ihr Fazit lautet somit?

Unabhängig davon, ob ein Unternehmen unter die NIS-2-Richtlinie fällt oder nicht: IT-Sicherheit zählt heute zu den absoluten Notwendigkeiten – das möchte ich betonen. Schon der mögliche Schaden eines erfolgreichen Cyberangriffs liefert ausreichend Grund, die Schutzmaßnahmen erheblich zu verstärken. Wer seine IT-Systeme nur unzureichend absichert, läuft Gefahr, durch eine Attacke in eine existenzbedrohende Schieflage zu geraten oder sogar eine Insolvenz zu riskieren. Das will sicherlich keiner.
 

Vielen Dank für das Interview.

Bilder: Adobe Stock, TEAL

Zu den IT-Jobs Zu den SAP Jobs

Über den Autor

Verwandte Nachrichten

Cybersicherheit im Fokus: Wie IT-Leiter Ihr Unternehmen vor Cyberbedrohungen schützen können
24.10.2024

Wer erfolgreiche Cyberangriffe verhindern möchte, muss passende Strategien entwickeln und vielfältige Maßnahmen realisieren. Ein IT-Leiter spielt hier…

Weiterlesen
Vorstellungsgespräch als Cyber Security Spezialist: Diese 10 Fragen können Sie erwarten
13.06.2023

Sie suchen gerade einen Job im Bereich der Cyber Security? Und bald steht das erste Bewerbungsgespräch an? Dann sollten Sie sich richtig vorbereiten!…

Weiterlesen
IT Security Experte: Penetration Tester | Mann sitzt am Schreibtwisch mit 5 Bildschirmen
Warum ist der Job des Penetration Testers so wichtig?
20.12.2022

Welche Aufgaben übernehmen Penetration Tester? Warum tragen sie maßgeblich zur IT Sicherheit von Unternehmen bei? Und wie sieht der Arbeitsalltag der…

Weiterlesen
Experte für Systemhärtung | Mann mit Brille sitzt vor einem Computer, lacht und im Hintergrund sind Lichter von Servern zu sehen
Was macht ein Experte für Systemhärtung? Welche Skills muss er beherrschen?
10.11.2022

Wenn Sie sich als IT Security Spezialist auf die Härtung von Systemen fokussieren, haben Sie gute Jobaussichten. Das sind die Gründe dafür.

Weiterlesen
Gefragte IT Security Jobs
Im Kampf gegen Cyber-Kriminelle: Zehn gefragte Jobs in der IT Security
16.08.2022

Angriffe erkennen, abwehren und untersuchen: Diese Stellen in der IT Sicherheit fallen vielseitig und zukunftssicher aus.

Weiterlesen
Interview IT Berater
10 Fragen im Vorstellungsgespräch, auf die sich IT-Berater einstellen sollten
20.06.2019

Sie haben ein Vorstellungsgespräch als IT-Berater vor sich? Sehr gut! Die erste Hürde ist genommen! Wir haben die besten Tipps für Sie…

Weiterlesen