NIS-2 – Schreckgespenst oder Wegweiser für Unternehmenssicherheit?

NIS-2 – Schreckgespenst oder Wegweiser für Unternehmenssicherheit?

Dr. Thomas Sinnwell und Stefan Hessel diskutieren die Herausforderungen und Chancen von NIS-2

In dieser Podcast-Folge diskutieren Thomas Sinnwell (consistec) und Stefan Hessel (reuschlaw) die NIS-2-Richtlinie der EU für mehr Cybersicherheit und deren Auswirkungen auf Unternehmen in Deutschland. Beide beleuchten die ganz unterschiedliche Wahrnehmung der EU-Richtlinie in der deutschen Wirtschaft, zeigen Spitzfindigkeiten der Richtlinie und Wechselwirkungen mit Datenschutzthemen auf und widmen sich der Frage, warum es Sinn macht, sich spätestens jetzt mit den Inhalten der Richtlinie, unabhängig vom Zeitpunkt der Umsetzung in nationales Recht, auseinanderzusetzen.  Dabei gehen Sie auf ganz praktische Fragestellungen ein (Wen betrifft die Richtlinie?, Was fordert die Richtlinie?, Wann wird Sie in nationales Recht umgesetzt sein?,…) und betrachten dabei sowohl rechtliche, organisatorische wie auch technische Aspekte der NIS-2.

Viel Spaß und hilfreiche Erkenntnisse beim Hören!

Transkription

Thomas: Nach einer längeren Pause gibt es wieder einen Podcast aus der Reihe “Technik über den Tellerrand”. Obwohl es heute um Network und Information Security geht, wird der Tellerrand wieder recht groß. Mit meinem Gast Stefan Hessel spreche ich über die NIS-2 und insbesondere darüber, was die Umsetzung in nationales Recht für die deutsche Wirtschaft bedeutet. Stefan, ich freue mich sehr, dass ich dich als ausgewiesenen Experten für die NIS-2-Thematik gewinnen konnte. Herzlich willkommen.

Stefan: Ja, vielen Dank für die Einladung. Freut mich, hier zu sein.

Thomas: Stefan, stell dich doch vielleicht ganz kurz vor, damit unsere Zuhörer das ein bisschen besser einordnen können.

Stefan: Ja, sehr gerne. Mein Name ist Stefan Hessel. Ich bin Rechtsanwalt, leite die “Digital Business Unit” bei Reuchlaw Rechtsanwälte. Das ist das Team in unserer Kanzlei, das sich mit allen Fragestellungen rund um Datenschutz, Cyber-Sicherheit und IT-Recht beschäftigt.

Thomas: Ich weiß nicht, wie es jetzt unseren Zuhörern geht. Wenn ich LinkedIn aufmache, finde ich im Moment unheimlich viele Posts zum Thema. Das hängt natürlich auch mit dem Umstand zusammen, soziale Netzwerke, man ist in einer Blase und bekommt das, was einen interessiert oder über was man selber spricht und postet, natürlich verstärkt auch angezeigt. Wenn ich rausgehe und bei Unternehmen unterwegs bin, ist meine Sicht ein bisschen differenzierter. Also das bewegt sich irgendwo so dazwischen, zwischen Unternehmen, die sich darauf jetzt schon vorbereiten, weil sie wissen, es kommt und sie eh schon in dieser Cybersecurity-Thematik affin sind und schon Dinge getan haben. Manche sind sogar schon ISO 27001 zertifiziert, dann ist das ja eigentlich schon fast erledigt (können wir auch noch ein bisschen detaillierter drüber sprechen), aber das geht dann über Unternehmen weg, die sagen, “ja, ich weiß gar nicht so richtig, was das ist, betrifft mich das? … für wen gilt das Ganze” bis hin zu Unternehmen, die sagen, “boah, die sollen erstmal loslegen, anfangen, aber wenn die ersten Bußgelder fließen, dann überlege ich mal, ob ich loslege”. Wie ist denn deine Wahrnehmung?

Stefan: Ja, würde ich tatsächlich teilen, diese Einschätzung. Also wir haben eine wahnsinnig komplexe Situation, erst mal von der Rechtslage her auch, weil die Richtlinie ist da, die Richtlinie wird sich erst mal nicht mehr ändern. Wir haben diese Umsetzungsverpflichtung. Gleichzeitig ist aber auch klar, wenn die Richtlinie nicht umgesetzt wird, dann gelten auch erst mal keine Verpflichtungen für Unternehmen. Das heißt, solange wir in Deutschland kein Umsetzungsgesetz haben, muss ich als verpflichtete Einrichtung die Vorgaben der NIS-2-Richtlinie auch nicht einhalten, was dann natürlich dazu verleiten
kann, zu sagen, naja, jetzt warte ich erstmal, was der deutsche Gesetzgeber macht. Auch das hat aber wieder einen Haken, weil das deutsche Gesetz sieht keine Übergangsfristen mehr vor. Das heißt, wenn der deutsche Gesetzgeber am 17. Oktober ein Gesetz verabschiedet, kann das ab dem 18. Oktober gelten und dann muss ich über Nacht Risikomanagementmaßnahmen umsetzen, zu denen kommen wir ja noch. Das heißt, ich habe da eine ganz schöne Herausforderung, die ich innerhalb von 24 Stunden schlimmstenfalls erledigen muss, das wird einem so knapp.

Thomas: Ich denke, der Punkt, den du da angesprochen hast, der ist ungemein wichtig. Dieses Warten, das hilft ja nicht, weil es wird ja schlagartig scharf geschaltet. Ich denke, auch immer so ein Missverständnis war, was ja dann jetzt ausgeräumt ist, im Moment gilt die EU-Richtlinie, aber das heißt erstmal für die deutsche Wirtschaft noch habe ich keine Umsetzungspflicht. Aber im Grunde genommen kann ich mich jetzt schon informieren, was denn nachher auf mich zukommt.

Stefan: Ganz genau. Also das ist tatsächlich auch ein ganz, ganz wichtiger Punkt. Die NIS-2-Richtlinie ist in Kraft, die ist verabschiedet, da ist alles klar. Wir können auf Basis der Richtlinie auch tatsächlich schon anders als bei Entwürfen sehr, sehr konkrete Aussagen darüber treffen, was Verpflichtungen sind. Wir können auch jetzt schon sehr, sehr viele Rechtsprobleme, die in der Anwendung mit der NIS-2-Richtlinie verbunden sind, identifizieren und man kann sich tatsächlich sehr, sehr gut auch darauf vorbereiten.

Thomas: Aber eine Gruppe, die wir in Deutschland haben, die kümmert sich ja schon länger drum. Und das war ja auch gesetzlich getrieben, die KRITIS-Betreiber.

Stefan: Ganz genau. Also wir haben natürlich gerade in den sensiblen Bereichen kritische Infrastruktur, aber auch die Banken, da muss man tatsächlich auch sagen, auch dort gibt es ja schon sehr, sehr viele Verpflichtungen, wo man eben auch sieht, das bringt was. Also es ist nicht rein einfach nur eine zusätzliche bürokratische Belastung, sondern es führt tendenziell schon auch dazu, dass die Cybersicherheit eben von regulierten Einrichtungen erhöht wird. Auch dort ist dann nochmal die Frage, wie gut kann so ein Gesetz auch auf aktuelle Bedrohungslagen reagieren.

Thomas: Das sollten wir vielleicht später vertiefen. Doch vorher würde ich gerne der Frage nachgehen, wen betrifft das eigentlich? Wir hatten eben ganz kurz kritische Infrastrukturbetreiber schon mal genannt und das ist jetzt auch ein Kreis von Einrichtungen, die in die NIS-2 mit reinfallen. Und jetzt kommen ja weitere hinzu und das ist ja aus meiner Sicht so das Spannende und gleichzeitig der Punkt, wo viele Unternehmen das vielleicht noch gar nicht auf dem Radarschirm haben, die wichtigen und besonders wichtigen Einrichtungen. Normalerweise freut man sich ja, wenn das
eigene Unternehmen besonders wichtig ist. Aber in dem Kontext bedeutet das ja was anderes. Was bedeutet es denn?

Stefan: Ja, also man muss vielleicht ganz grundsätzlich sagen, auf den ersten Blick ist es mit dem Anwendungsbereich der NIS-2-Richtlinie beziehungsweise auch des Umsetzungsgesetzes eigentlich ganz einfach. Wir haben drei Kriterien. Ich muss als Unternehmen eine gewisse Größe haben, 50 Mitarbeiter oder mehr oder 10 Millionen Euro Jahresbilanzsumme oder Jahresumsatz. Dann erfülle ich sozusagen den Größen Schwellenwert. Die zweite Voraussetzung ist, ich muss in der Europäischen Union Tätigkeiten ausüben oder Dienste erbringen. Und die dritte Voraussetzung ist, ich muss zu einem der regulierten Sektoren gehören. Und da unterscheidet die NIS-2-Richtlinie zwischen den wesentlichen und wichtigen Einrichtungen, weil man wesentlich und wichtig im Deutschen schlechter unterscheiden kann. Dann haben wir jetzt zwischendurch mal die wichtigen und besonders wichtigen Einrichtungen. Besonders wichtig wäre dann quasi kritische Infrastruktur. Wichtig wäre ganz normal eben die wichtige Einrichtung, wie sie die in NIS-2- Richtlinien ja auch kennt. Ob das Wording so erhalten bleibt, wissen wir tatsächlich auch noch nicht. Das kann sich auch noch mal ändern. Was wir wissen ist tatsächlich, dass wir in diesen einzelnen Anlagen sehr, sehr großes Chaos haben.

Thomas: Aber bevor wir da noch tiefer einsteigen, würde ich vielleicht nochmal ganz kurz auf diese Sektoren zu sprechen kommen. Ich habe da ehrlich gesagt auch jetzt vor mir einen Fuschzettel liegen, ich kann das nicht auswendig, aber nur damit die Zuhörer mal eine Idee haben. Also bisher hatten wir ja so diese KRITIS-Betreiber, Betreiber kritischer Infrastrukturen: Wasserwerke, Stromerzeuger, das sind dann typische Vertreter und das sind so round about 2000 KRITIS-Betreiber in Deutschland. Also die kennen das ganze Spiel schon, die sind eh schon an Bord. Die betrifft es auch weiterhin. Ich glaube Kleinigkeiten ändern sich im Rahmen der NIS-2 auch wieder für die KRITIS-Betreiber. So, und dann kommen die, ich sag jetzt mal, besonders wichtigen Einrichtungen. Vom Wording her hatten wir eben drüber gesprochen, das ist noch nicht in trockenen Tüchern. Aber jetzt diese besonders wichtigen Einrichtungen, das sind typischerweise vielleicht Großunternehmen, noch so ein paar Sonderfälle. Und diese Unternehmen sind dann im Bereich Energie, Transport und Verkehr, Finanzversicherungswesen, Gesundheit, Wasser, Abwasser, ITTK, Weltraum. Also schon ein respektabler großer Bereich. Und was ich so an Zahlen finden konnte, war so um die 6.000, 6.100 besonders wichtige Einrichtungen wird es dann wohl geben. Noch viel spannender finde ich dann den Bereich der wichtigen Einrichtungen. Das sind dann mittlere oder auch teilweise größere Unternehmen und dienen in den Bereichen Post- und Kurierdienste, chemische Stoffe, verarbeitendes Gewerbe, gerade verarbeitendes Gewerbe. Das ist ja ein Riesenpool von möglichen Unternehmen. Das ist ja ewig breit. Forschungsunternehmen, Anbieter digitaler Dienste und Siedlungsabfallentsorgung. Das heißt, Ernährung auch noch, das hätte ich jetzt fast noch vergessen, gehört ja auch noch dazu. Das heißt, auch der Großhändler für Nahrungsmittel oder große Nahrungsmittelerzeuger sind da auch adressiert. Und da streiten sich ja die Leute drüber. Ich habe jetzt für mich mal mitgenommen, es werden mehr als 20.000 wichtige Einrichtungen sein. Und du hattest eben ja schon ein Beispiel gebracht. Dass das alles noch nicht so ganz klar definiert ist, ich vermute, das werden noch viel mehr Unternehmen werden. Und je nachdem, wie ich das auslege, den Text, bin ich da ganz schnell bei 40.000 Unternehmen, die das betrifft.

Stefan: Ganz genau. Wir haben gerade auch Thema Maschinen- und Anlagenbau bzw. Verarbeitendes Gewerbemaschinenbau mit dem Verband Maschinen- und Anlagenbau nachgeschaut, weil es da auch Regelungen gibt für den Umgang mit chemischen Stoffen. Da haben wir 22.500 Unternehmen gefunden, die bisher nicht reguliert waren, die aber dem Wortlaut der Richtlinie nach erfasst sind. Das heißt, all diese Zahlen zur Betroffenheit muss man sehr, sehr vorsichtig genießen. Die basieren im Grunde genommen darauf, wie sich der Gesetzgeber in Deutschland gerade vorstellt, wer betroffen sein könnte. Das sind aber aus meiner Sicht sehr, sehr wackelige Zahlen. Auch die Frage, wie hoch ist der Umsetzungsaufwand, der beziffert wird für einzelne Unternehmen, da sagt der Gesetzgeber, das sind 250.000 Euro pro Unternehmen. Das ist aber natürlich auch alles sehr, sehr oberflächlich und pauschal. Das heißt, es ist tatsächlich da aus meiner Sicht kaum möglich, eine abschließende Einschätzung zu treffen. Photovoltaikanlagen werden wir definitiv mehr haben. Die Photovoltaikanlagen sind aber eben vorne mit dabei, in Anhang 1. Das heißt, das wären eben besonders wichtige Einrichtungen und wie viele Unternehmen mit mehr als 250 Mitarbeitern haben eben eine Photovoltaikanlage auf dem Dach. Also alleine da werde ich eine erhebliche Zahl haben. Wir haben weitere Fälle, Anbieter digitaler Dienste, da ist der Betrieb von Rechenzentren dabei. Da gibt es eine Ausnahme für Unternehmen, die ihre eigenen Rechenzentren betreiben. Schwieriger ist es aber schon in einem Konzern, wenn ich da eine Situation habe, dass die Konzernmutter, der das Rechenzentrum für die Tochtergesellschaften betreibt, habe ich zwei getrennte juristische Personen, dass die irgendwie verbunden sind, spielt für den NIS-2 erstmal keine Rolle. Das heißt, ich bin dann quasi konzerninterner Betreiber eines Rechenzentrums und falle unter den NIS-2-Rechten hier. Und da gibt es eine ganze Reihe von solchen weiteren Spitzfindigkeiten, bei der man am Ende des Tages sagen muss, es ist davon auszugehen, dass wirklich eine viel, viel breitere Betroffenheit da ist. Und was wir uns gerade alle fragen aus der juristischen Sicht ist, ist das Absicht? Weil man einfach beim europäischen Gesetzgeber gesagt hat, es geht darum, die Cybersicherheit zu erhöhen und es geht eigentlich eher um Wirtschaftsschutz, als darum jetzt kritische
Einrichtungen zu schützen. Wir wollen, dass jedes Unternehmen ab einer gewissen Größe Cyber-Sicherheitsmaßnahmen trifft. In diese Tendenz liest sich die NIS-2-Richtlinie. Oder war das alles gar nicht so gemeint und es ist im Grunde genommen falsch geregelt? Auflösen kann das aber nur der EU-Gesetzgeber.

Thomas: Ja, und das wird dir dann auch noch mal ein bisschen Zeit in Anspruch nehmen.

Stefan: Voraussichtlich, ja.

Thomas: Glaubst du noch an den Oktober?

Stefan: Das halte ich tatsächlich für sehr, sehr unwahrscheinlich ..,

Thomas: Ich meine, wir hatten uns jetzt nicht über das Jahr verständigt. Ich meinte Oktober dieses Jahres 2024.

Stefan: Ja, genau. Also Oktober 2024 eher unwahrscheinlich. Oktober 2025 könnte tatsächlich realistisch sein, wenn bis dahin die Fragen geklärt sind. Wir wissen es aber nicht. Also gerade wenn man jetzt sagt, wir geraten unter Zeitdruck und das spielt dann auch noch mal rein. Die Umsetzung der NIS-2-Richtlinie und überhaupt Cyber-Sicherheitsregulierung war immer auf europäischer Ebene so ein deutsches Prestigeprojekt. Das heißt, man hat mit dem IT-Sicherheitsgesetz 1.0, ist man der NIS-1-Richtlinie sozusagen vorangegangen. Mit dem IT-Sicherheitsgesetz 2.0 wollte man das gleiche für die NIS-2-Richtlinie. Das heißt, es besteht eigentlich schon ein relativ großes Interesse auch des deutschen Gesetzgebers, jetzt Cyber-Sicherheit zu regulieren. Und dann ist natürlich, sage ich mal, ein Scheitern der NIS-2-Rechtlinie für Deutschland auch blamabel. Das heißt, vielleicht haben wir eben auch wieder so eine Situation, am 17.Oktober kommt das Umsetzungsgesetz und am 18. Oktober gilt das Ding.

Thomas: Vielleicht sollten wir den Kern der Diskussion aber auf das Lenken, was alle betrifft: Cybersecurity. Weil darum geht es.

Stefan: Die Einschätzung teile ich absolut. Also das muss man auch ganz klar sagen. Also ich empfehle überhaupt nicht, sich allzu viel Gedanken um den Anwendungsbereich zu machen. Das hilft niemandem. Am Ende des Tages landet man bei der Photovoltaikanlage, die man auf dem Dach hat und muss dann nach rechts und
links guckend überlegen, springt man jetzt übers Stöckchen oder nicht. Aber man wird keine rechtssichere Auskunft bekommen Stand jetzt. Was man aber tun kann, ist eben tatsächlich mal zu schauen, wie ist denn selber Sicherheit bei mir im Unternehmen umgesetzt? Welche Pflichten kommen überhaupt auf mich zu? Und erfreulicherweise ist die NIS-2-Richtlinie dort in meinen Augen deutlich klarer als beim Anwendungsbereich. Das heißt, wenn ich mir diese ganzen Vorfragen spare und einfach mal davon ausgehe, das Ding ist auf mich anwendbar und ich will was für meine Cyber-Sicherheit tun, dann kann ich Stand jetzt schon sehr, sehr viel proaktiv einfach auch in die Wege.

Thomas: Ja, und das ist, denke ich, eine super Überleitung zu dem Thema, ja, was sind denn jetzt so diese zentralen Pflichten, die sich aus der derzeit der Richtlinie zukünftig
aus dem Gesetz dann ergeben? Und wir können das ja mal zusammentragen. Ich starte einfach mal mit dem Bereich Risikoanalyse. Das ist für mich so, in meiner Wahrnehmung, das zentrale Thema.

Stefan: Genau, also das ist tatsächlich aus meiner Sicht auch das Kernelement Risikomanagementmaßnahmen. Unternehmen werden eben dazu verpflichtet, ihre Cyberrisiken zu bewerten und dann angemessene Maßnahmen zur Verhinderung dieser Risiken zu treffen. Nach dem Stand der Technik, unter Berücksichtigung auch der Kosten, aber das ist tatsächlich sehr, sehr zentral und die NIS-2-Richtlinie ist da sehr, sehr konzeptionell. Das heißt, die stellt wirklich Anforderungen daran, ich muss ein Konzept haben zur Bewältigung von Cybersicherheitsvorfällen, ich muss ein Konzept haben zur Cybersicherheit in der Lieferkette, ich muss ein Konzept haben für Notfallkommunikation und sehr, sehr viele weitere Anforderungen wirklich im Detail. Aber es ist eben ein Risikomanagement-Ansatz. Und das eröffnet ja auch nochmal Spielräume für Unternehmen. Es wird sicherlich Unternehmen geben, die sind sehr, sehr groß, die haben sehr viel Budget für Cybersicherheit, die müssen andere
Maßnahmen treffen, die sind auch anderen Risiken ausgesetzt, als jetzt vielleicht ein kleineres Unternehmen, das 50 Mitarbeiter hat, aber eben gerade in einem dieser kritischen Bereiche unterwegs ist.

Thomas: Jetzt gerade, als ich dir zugehört habe, bin ich so im Geiste gerade so die 27001 durchgegangen. Das ist eigentlich die Umsetzung der 27001 in Form eines Gesetzes. Und bei der 27001 geht es ja darum, ein entsprechendes IT-Sicherheitsmanagement-System aufzusetzen. Und das ist ja auch der essentielle Bestandteil Risikoanalyse. Und was muss ich machen bei der Risikoanalyse? Ich muss erstmal wissen, was für Werte, was für Assets habe ich dann im Unternehmen? Die muss ich kennen, die muss ich mir anschauen. Ich muss mir überlegen, was passiert denn, wenn dieses System
nicht mehr da wäre? Welche Konsequenzen hätte das denn? Führt es vielleicht zum Imageschaden? Habe ich da einen Produktionsausfall? Und das sind all diese Dinge, die man machen muss und da würde ich glaube ich unseren Zuhörern auch mitgeben, sich durchaus mal an der 27001 inspirieren zu lassen, weil da habe ich viel feingranularer runtergeschrieben, was ich denn so machen
kann und um dieser Idee der NIS-2 auch zu genügen.

Stefan: Man muss tatsächlich auch sagen, das sehen wir tatsächlich auch, wenn wir mit Unternehmen bzw. mit Mandanten in Kontakt sind, es gibt fast kein Unternehmen, das gerade im Bereich dieser Risikomanagementmaßnahmen komplett blank ist. Also für die Cybersicherheit im Unternehmen hat fast jeder schon irgendwas getan. Da gibt es Dinge, auf die man aufsetzen kann. Da gibt es vielleicht nochmal Spezifika. Cybersicherheit der Lieferkette ist zum Beispiel so ein häufiges Thema. Sehr viele Unternehmen betrachten Cybersicherheit so, dass man irgendwie einen Burggraben
um das eigene Unternehmen gräbt und dann sagt “nach mir die Sintflut”. Das ändert sich mit der NIS-2-Richtlinie noch mal ein bisschen. Steht natürlich auch in der ISO 27001, aber da hat man sich vielleicht dann doch mal noch eher das eine Auge zugehalten. Das ist jetzt natürlich mit einer gesetzlichen Anforderung so nicht mehr möglich.

Thomas: Ja, in der neuesten Variante, die jetzt ab diesem Jahr gilt. Da zertifizieren wir uns gerade danach, da steht das noch viel stärker im Fokus. Ach, diese ganzen Prozessthemen, weil das hat sich schon ein bisschen geändert und angepasst.

Stefan: Genau, der Gesetzgeber hat sich das ja auch nicht ausgedacht, sondern das folgt eben aus der Bedrohungslage. Lieferketten stehen stärker im Fokus von Cyberangriffen, deswegen steht es dann auch nochmal mit Nachdruck in der NIS-2-Richtlinie und ein weiterer Bereich ist zum Beispiel die Notfallkommunikation. Also dass man tatsächlich auch aus dem Gedanken heraus, früher oder später wird es mich treffen, eben sich nicht nur präventiv vorbereitet, sondern auch reaktiv vorbereitet. Das steht zum Beispiel auch nochmal sehr, sehr klar in der NIS-2 mit drin. Das sind dann vielleicht Dinge, wo ich nachschärfen muss. Aber man muss im Grunde genommen sagen, da gibt es eigentlich eine solide Basis. Da gibt es aus meiner Sicht auch eben aus der Cyber-Sicherheitsperspektive mit der ISO 27001 oder eben auch mit anderen Vorgaben, da gibt es auch Lösungen für. Das heißt, da kommt man ein Stück weit auch ganz gut voran. Besser als bei der Frage, habe ich eine Photovoltaikanlage auf dem Dach und bin deswegen kritische Infrastruktur?

Thomas: Ja, nee, da gebe ich dir definitiv recht. Also ich glaube, was du eben sagtest, ist es ein super guter Ausgangspunkt, einfach mal davon auszugehen, es betrifft mich, um
mir dann ganz konstruktiv Gedanken zu machen, was habe ich denn jetzt für Hausaufgaben. Anstatt -ich weiß nicht, ob das jetzt der Gut- oder Schlechtfall ist-, dass es vielleicht gar nicht nachher auf mich angewendet wird, aber sicherer bin ich dann schon.

Stefan: Und ich muss ja tatsächlich auch als Unternehmen immer damit rechnen, dass einer meiner Kunden möglicherweise der NIS-2-Richtlinie unterliegt und sich dann eben meldet. Dass der eben einfach sagt, Cybersicherhiet in der Lieferkette: das ist meine gesetzliche Verpflichtung. Wir müssen jetzt mal darüber reden und das ist zum Beispiel was, was wir auch ganz, ganz stark sehen, gerade viele größere Unternehmen, die eindeutig betroffen sind, die setzen sich jetzt eben hin und passen ihre Vertragsbedingungen an. Die schreiben da rein, was man in Zukunft auch von Dienstleistern und Zulieferern erwartet und deswegen werden wir da tatsächlich auch einen sehr, sehr großen Streueffekt bei der NIS-2-Richtlinie sehen, der natürlich auch erstmal gewünscht ist. Also das geht ja tatsächlich auch darum, einfach dafür zu sorgen, auch Risiken für Cybersicherheit eben auch feingranularer in Lieferketten zu verteilen. Und dieses Ziel wird eben dann auch über vertragliche Regelungen im Grunde
genommen weiterverfolgt.

Thomas: Ja, bei uns ist das ja schon mal bestimmt seit über zwei Jahren eigentlich gängige Praxis, da wir auch viel für KRITIS-Betreiber machen. Und die leben das ja schon, was jetzt halt für diese wichtigen und besonders wichtigen Einrichtungen noch hinzukommen wird. Aber arbeiten wir vielleicht noch so die Pflichten weiter ab? Inzidentmanagement ist ja auch noch so ein Punkt.

Stefan: Genau, das hatten wir ja tatsächlich gerade auch schon angesprochen. Da gibt es dann, sage ich mal, Trendwandeln auch in der Cyber-Sicherheit aus meiner Perspektive, weg von der Prävention eben auch noch stärker rein in die Reaktion. Und das macht die NIS-2-Richtlinie auch. Also ich muss mich tatsächlich in meinen Konzepten auch über Dinge wie Business-Kontinuität nachdenken. Ich muss ein Konzept zur Bewältigung von Sicherheitsvorfällen haben und ich bin eben auch zur Meldung verpflichtet, wenn ich dann einen erheblichen Sicherheitsvorfall habe, muss ich bei der Aufsichtsbehörde anrufen innerhalb von 24 Stunden und die erstmal darüber informieren, muss dann 72 Stunden später erste weitere Erkenntnisse über
den Vorfall liefern und das setzt sich eben so fort. Also es kann sein, dass ich für einen Vorfall nachher fünf Meldungen abnehme.

Thomas: Ja und so nach einem Monat die Abschlussmeldung machen, als ich das las, muss ich da ein bisschen schmunzeln. Wenn ich das dann machen kann, gehöre ich ja eher schon zu den Glücklichen. Bei vielen, die es getroffen hat, die haben dann noch ein paar Monate vor sich, bis sie dann normal wird.

Stefan: Genau, das sind ja so die Idealvorstellungen, die der europäische Gesetzgeber hat. Man ist dann nach einem Monat aussagekräftig oder aussagefähig. Der Fall, dass das nicht möglich ist, ist aber tatsächlich auch mitgedacht. Kann es ja tatsächlich sein, ich habe bis zu fünf Berichte, dann muss ich nach einem Monat eben den Zwischenbericht abgeben und dann irgendwann später den Abschlussbericht. Und ich muss natürlich auch damit rechnen, das ist anders als jetzt bei den Datenschutzaufsichtsbehörden. Da gebe ich eine Meldung ab, die ist einmal. In der Regel wird mich die Datenschutzaufsichtsbehörde danach auch nicht weiter belemmern, weil wenn ich das Ding einigermaßen vernünftig ausfülle, ist das schon okay. Okay, das hier wird schon enger nachverfolgt. Und es geht eben tatsächlich auch darum, mit dieser, sage ich mal, engmaschigeren Meldepflicht dafür zu sorgen, dass wirklich die Aufsichtsbehörden Vorfälle auch nachverfolgen können. Und dass auch nochmal Informationen zusammengeführt werden können, auch auf europäischer Ebene. Also das endet ja nicht damit, dass das Unternehmen an die Behörde meldet, sondern die deutsche Behörde gibt das weiter an die Europäische Cyber-Sicherheitsagentur und die soll dann eben auch Lageberichte auswerten können.

Thomas: Was ja eine super sinnvolle Sache ist.

Stefan: Ganz genau. Das ist aus meiner Sicht auch nochmal so ein klarer Punkt. Das ist ein legitimes Anliegen. Wir haben eine große Dunkelziffer im Bereich Cyberangriffe und natürlich ist, sage ich mal, geteiltes Wissen in so einer Situation auch Gold wert. Dass ich weiß, wie agieren Angreifergruppen, wer wird gerade angegriffen, hat vielleicht ein Unternehmen in der gleichen Region auch gerade das gleiche Thema, sind verschiedene Branchen speziell betroffen. Das sind Angriffswege. Das ist natürlich eine sehr, sehr nützliche Information.

Thomas: Klar, wenn ich diese Informationen dann nach einem nächsten Schritt danach zur Verfügung stelle, ist das wird es ein richtiger Plot. Also wenn jedes Unternehmen, das vielleicht noch nicht betroffen ist, die Informationen nutzen kann, das ist wirklich Gold wert.

Stefan: Ja, an der Stelle vielleicht eine Frage an dich, Thomas. Mich würde auch mal interessieren, wie bereitet ihr euch eigentlich als Consistec auf sowas wie die NIS-2-Richtlinie vor?

Thomas: Gut, wiir stellen ja Monitoringsysteme her, die vieles finden können, unter anderem auch Cyberattacken. Das ist so eine Anwendungsdomäne und wir machen das ja auch schon ein bisschen länger. Und mit dieser NIS-2-Thematik sind wir erstmalig über das IT-Sicherheitsgesetz 2.0 in Kontakt gekommen. So als Vorstufe und dann die Kritisgesetzgebung. Und diese Dinge finden sich ja jetzt auch in der NIS-2 wieder. Das heißt, für uns war das jetzt nichts völlig Überraschendes. Und es sind Dinge, die bei uns in die Roadmap schon eigentlich vor Jahren eingeflossen sind. Also das IT Sicherheitsgesetz 2.0 ist ja auch nicht vom Himmel gefallen. Und das waren eigentlich ganz wichtige Punkte, neben dem Mitbekommen, dass ich ein Problem habe, Unternehmen was an die Hand zu geben, um es beurteilen zu können. Das ist für uns so ein ganz wichtiger Plot, weil das vergessen viele. Und für mich ist es das Zentralste. Wenn was passiert, will ich nicht handlungsunfähig sein. Ich will nicht als Geschäftsführer da stehen und sagen, und was ist jetzt los? Ich muss es sehen können. Ich muss wissen, fließen Daten ab? Welche Systeme sind überhaupt betroffen? Wann ist der Ungemach reingekommen? Welche Kommunikationsbeziehungen gab es seitdem? Und, und, und. Und wenn ich das alles weiß, dann komme ich auch aus dieser hilflosen Rolle raus. Und das war für uns
immer schon ein ganz wichtiger Aspekt und der ist auch sehr konsequent so bei uns in die Produktentwicklung reingeflossen.

Stefan: Ja, das ist tatsächlich ein guter Punkt. Von denjenigen lernen, die es ohnehin schon machen müssen. Also das sehen wir auch zum Beispiel im Finanzbereich, aber eben auch bei den kritischen Infrastrukturen. Da gibt es schon ganz, ganz viel und da hilft es natürlich auch, sich dort zu orientieren, sage ich mal, wo es ohnehin schon umgesetzt werden muss.

Thomas: Ja, genau. Ich würde jetzt gerne noch einen Aspekt betrachten, der mir auch so durch den Sinn kam, als ich auf LinkedIn unterwegs war. Da gibt es ja schon teilweise Heilsversprechen von Unternehmen. Kauf mein Produkt und du bist NIS-2 ready oder sowas in die Richtung. Aber für mein Dafürhalten ist die NIS-2 ja erstmal völlig technologieoffen.

Stefan: Das muss man ganz klar sagen. Es gibt keine konkreten Lösungen, es gibt keine konkreten Vorgaben, die die NIS-2-Richtlinie macht. Es geht erstmal um Konzepte und das bedeutet natürlich auch, ich kann immer eine Maßnahme durch eine andere Maßnahme ersetzen. Ich kann auch gewisse Risiken vielleicht akzeptieren, Risiken anders mitigieren. Das ist also tatsächlich eine große Technologieoffenheit und man muss auf der anderen Seite auch sagen, also ich habe das auch schon mehrfach mit gemischten Gefühlen wahrgenommen, gerade diese Lösung, ich kaufe mir noch ein weiteres Produkt, um mein Unternehmen cybersicher zu machen, ist häufig zu kurz gedacht. Das geht ja, tatsächlich haben wir ja auch schon angesprochen, es geht um ein Konzept, es geht um ein Management und ein Management kann ich mir nicht als Softwarelösung einfach so kaufen. Ich kann mein Management mit einer Softwarelösung unterstützen, ja, aber ich kann mir das Thema NIS-2 nicht einfach dadurch vom Hals schaffen, dass ich irgendjemandem noch mehr Geld gebe, der mir noch eine weitere Lösung in meiner Firewall installiert oder was auch immer tut. Es geht
wirklich um ein konzeptionelles Umdenken und Cyber-Sicherheitsmanagement und das ist aus meiner Sicht tatsächlich auch das, wo Unternehmen wirklich auch nochmal nachschärfen müssen. Auch das Thema Governance, also Verpflichtung der Leitungsorgane, Awareness ist auch ein großes Thema in der NIS-2-Richtlinie.

Thomas: Das ist definitiv der wichtigste Punkt. Also wirklich die Awareness in der Belegschaft schärfen, das ist das Allerwichtigste, weil der größte Schwachpunkt ist der Mensch an der Stelle. Und wenn ich da ein Bewusstsein schaffe, kann ich schon ganz, ganz viel Ungemach fernhalten, definitiv.

Stefan: Genau, und ich denke, das sind tatsächlich auch eben genau aus dem Grund auch die Punkte, die nochmal in der NIS-2-Richtlinie auch explizit betont werden. Dass man eben sagt, dieser Spruch, den das BSI auch immer hat, Cyber-Sicherheit ist Chefinnen- und Chefsache, dass man eben sagt, das ist tatsächlich so. Hier gibt es eine
unmittelbare gesetzliche Verpflichtung, die Unternehmensleitung muss aktiv werden, die Unternehmensleitung muss an Schulungen teilnehmen und es müssen eben auch Schulungen angeboten werden für die gesamte Belegschaft, einfach um diesem Thema irgendwo gerecht zu werden und da finde ich es tatsächlich auch ganz interessant in der NIS-2-Richtlinie, dass man da zwei Aspekte hat bei den Schulungen. Da geht es einmal darum: wie erkenne ich Cybergefahren ganz konkret, wie erkenne ich eine Phishing-E-Mail. Es geht aber tatsächlich bei den Schulungen dann auch darum, wie kann Cybersicherheit im Produkt oder in der Dienstleistung, die ich anbiete, dazu beitragen, das Produkt oder die Dienstleistung besser zu machen. Das heißt, man versucht tatsächlich auch die Beschäftigten und insbesondere auch die Geschäftsführung darin zu schulen, was selber Sicherheit für einen Mehrwert bringen kann und eben tatsächlich auch nochmal so einen positiven Effekt mit in die Produkte
und in die Dienstleistungen, die in Unternehmen entwickelt werden oder angeboten werden, das damit reinzubringen, finde ich tatsächlich auch einen sehr, sehr spannenden Ansatz einfach in der NIS-2.

Thomas: Jetzt hast du gerade darauf hingewiesen, dass auch Geschäftsführung und Vorstände jetzt verpflichtet sind, sich da entsprechend weiterzubilden. Und ich reite ja jetzt nicht gern auf Sanktionsthemen rum, aber das ist ja auch so ein Bereich innerhalb der Umsetzung nationales Rechts. Da gibt es ja auch schon ein paar Zahlen und Größenordnungen, was da an Volumina fällig werden könnte bei schweren Verstößen. Und was ja völlig neu ist, die persönliche Haftung jetzt vom Geschäftsführer und dem Vorstand. Was bedeutet das denn konkret? Weil das ist was, was ich schon öfter gefragt wurde. Und ich bin jetzt nicht der Jurist, ich kann da nicht qualifiziert Auskunft zu geben, außer dass ich weiß, dass es jetzt da vorgesehen ist. Aber wie schätzt du das ein? Was
bedeutet das konkret?

Stefan: Ja, also man muss tatsächlich an der Stelle sagen, das ist eigentlich gar nicht so neu. Also wir haben schon heute im Aktien- und im GmbH-Gesetz auch eine persönliche Haftung von Geschäftsführern für Verstöße. Das war nur bisher nie so ganz konkret auf die Cybersicherheit bezogen. Also, dass eine Aktiengesellschaft zum Beispiel ein Risikomanagement braucht, das ist eindeutig geregelt und dann wird es aber natürlich dort schwammig bei der Frage, wie hoch ist jetzt Cybersicherheit als Risiko etc., das ist tatsächlich schwierig. Auch da haben wir nochmal mit der NIS-2-Richtlinie einfach sehr, sehr viel Klarheit. Die NIS-2-Richtlinie sagt, die Managementverantwortung für Cybersicherheit liegt beim Management. Die Leitungsorgane von Einrichtungen, heißt die Geschäftsführung, muss eben die entsprechenden Risikomanagement-Maßnahmen billigen, heißt das so schön in der NIS-2-Richtlinie und trägt dann eben die Verantwortung. Und das heißt eben tatsächlich auch, wenn zum Beispiel wegen Verstößen gegen die NIS-2-Rechtlinie ein Bußgeld verhängt wird gegen ein Unternehmen, dann muss das Unternehmen im Grunde genommen Regress nehmen bei der Geschäftsführung, wenn es eine Verletzung von Managementpflichten gab. Also es ist natürlich jetzt nicht so, dass automatisch jeder Cyberangriff, der irgendwie passiert, darauf zurückzuführen ist, dass die Geschäftsführung gepennt hat, sondern das kann ja ganz viele Ursachen haben. Wenn die Geschäftsführung gepennt hat, dann muss ich als Geschäftsführer unter Umständen damit rechnen, dass ich eben tatsächlich auch persönlich hafte und das heißt, das Unternehmen kann mich eben komplett in Regress nehmen. Und wir haben im Umsetzungsgesetz auch Regelungen, dass das Unternehmen nicht auf diesen Haftungsanspruch gegenüber der Geschäftsführung verzichten kann. Das heißt, der muss geltend gemacht werden. Spannend ist dann die Frage, kann ich mich als Geschäftsführer da versichern? Und wir hatten zwischendurch auch mal in den Entwürfen für das Umsetzungsgesetz zumindest die Grenze drin, dass bei der Privatinsolvenz Schluss ist. Aber das ist schon ein sehr, sehr heikler Aspekt in der NIS-2-Richtlinie. Da gibt es auch Befürchtungen, dass viele Personen kein Interesse mehr daran haben, Geschäftsführerpositionen zukünftig zu übernehmen, wegen diesem Risiko, das damit verbunden ist. Ob das alles so kommt, werden wir tatsächlich sehen müssen. Also ich denke, auch da muss man so ein bisschen abwarten. Das wird natürlich gerade sehr, sehr heiß gekocht, ähnlich heiß gekocht wie die Bußgelder bei der DSGVO damals. Die Berechnungskriterien sind ja tatsächlich auch ähnlich. Ob das dann wirklich so bleibt, muss man tatsächlich sehen.

Thomas: Aber ernst nehmen, denke ich, sollte man es auf alle Fälle an der Stelle. Und das ist ja ein Riesenunterschied. Unterstütze ich so Prozesse, die dringend notwendig
sind? In meinem Unternehmen gar nicht blockiere ich sowas? Oder habe ich vielleicht irgendeinen Detail übersehen? Das sind ja ganz unterschiedliche Sachverhalte.

Stefan: Genau, und das spielt natürlich auch beim Haftungsmaßstab dann nochmal eine extreme Rolle. Wenn ich tatsächlich auch argumentieren kann, gilt natürlich auch schon für den vorherigen Schritt mit der Aufsichtsbehörde. Vielleicht ist die Aufsichtsbehörde nicht hundertprozentig zufrieden mit dem, was ich gemacht habe. Wenn ich aber zumindest nachweisen kann, Ich habe irgendwas getan, habe ich natürlich eine viel, viel bessere Ausgangslage, auch für alles, was damit verbunden ist. Dann rutsche ich vielleicht vom Bußgeld in die Verwarnung. Vielleicht gibt mir die Aufsichtsbehörde auch einfach nur eine Verpflichtung, mit Sachen umzusetzen und ich komme weg aus diesem Bußgeld. Ganz kritisch ist es immer, wenn Unternehmen sagen, ich habe nichts gemacht und ich will auch nichts machen. Ich verweigere mich diesem ganzen Thema konsequent. Dann kommen wir natürlich nochmal deutlich schneller auch in einen Bereich, wo, sage ich mal, dann auch ein Bußgeld im Raum steht.

Thomas: Und wo es dann anfängt, richtig weh zu tun.

Stefan: Ganz genau, ja.

Thomas: Wir hatten jetzt ein paar Punkte angesprochen: Risikoanalyse, Inzidentmanagement, Meldepflichten. Da würde ich jetzt mal die These in den Raum stellen, ja, wenn ich diese Punkte ernsthaft bearbeiten möchte, komme ich eigentlich ohne Technik nicht hin. Ich brauche Technik dazu.

Stefan: Das auf jeden Fall, das ist ganz klar. Also ich meine, die Kernanforderungen, diese Risikomanagementmaßnahmen zielen ja gerade auch darauf, dass ich eben im Unternehmen technische und organisatorische Maßnahmen ergreife. Und ich kann natürlich Cyber-Sicherheit nicht komplett losgelöst von Technologie betreiben. Das ist auch vollkommen klar. Also ich werde unter Umständen auch in Technologie investieren müssen. Ich werde prüfen müssen, reicht die Technologie, die ich habe, aus? Gibt es da Lücken? Das ist vollkommen klar. Ich würde nur davor warnen eben zu sagen, die NIS-2-Richtlinie ist ein rein technisches Thema und ich kann mich sozusagen durch den Abschluss eines neuen Pakets quasi der NIS-2-Richtlinie entledigen, weil ich bin jetzt NIS-2-Compliant. Aber klar, das muss man auch ganz klar sagen, der Kern ist eben tatsächlich auch IT-Sicherheit. Es ist eine rechtliche Anforderung, aber was im Kern geregelt wird, sind technische Themen.

Thomas: Du hast es eben auch schon angesprochen, dass es jetzt in der NIS-2 da schon eine leichte Verschiebung gibt hinsichtlich Angriffe. Auch nicht nur zu versuchen, sie zu verhindern, sondern auch, dass man ganz stark in den Fokus stellt, ja, ich muss darauf reagieren, ich muss es tun. Und das ist ja aus meiner Sicht auch der ganz springende Punkt. Es hilft mir wenig, wenn ich mitbekomme, oh ja, ich habe jetzt hier einen Angriff, dann wird es doch erst spannend. Dann ist ja auch der Faktor Zeit. Wie schnell bekomme ich das mit? Und wenn ich dann ernsthaft entscheiden möchte, was ist denn jetzt zu tun, dann muss ich diesen Vorfall, was da passiert, ja bewerten. Und spätestens an der Stelle brauche ich ja Lösungen, die mir helfen, das Thema zu bewerten. Und das war jetzt für mich so bei dieser Gesetzgebung so ein spannender Punkt, der vielleicht auch für jeden, der sich da jetzt mit beschäftigt, bei der Produktauswahl eine Rolle spielen sollte. Hilft mir ein Produkt, was da bei mir im Netz passiert zu, ich sag mal, beobachten, so nennt man es eigentlich eher so im Kritisbereich in der OT-Welt, beziehungsweise zu bewerten, wenn ich jetzt vielleicht so eher in diesem IT-Kontext das Wording versuche, passend zu machen. Pflichtest du mir dabei? Siehst du das so?

Stefan: Definitiv, also man muss doch ganz klar sagen, du hast gerade das richtige Stichwort genannt, OT ist natürlich ein Riesenthema, weil es bis dahin, also das gerade aus meiner Sicht ein Bereich, wo wir auch einfach bisher sehr, sehr wenig hatten an Regelungen auch, die überhaupt irgendwas mal verpflichtend adressieren. Gerade in der OT haben wir ja ganz, ganz selten auch mit personenbezogenen Daten zu tun. Das sieht natürlich überall dort, wo das Datenschutzrecht aussieht. Das bringt ja auch schon Management mit sich, das bringt selber Sicherheitsverpflichtungen mit sich. All das gilt in der OT-Welt normalerweise eben nicht. Und das heißt, gerade dort muss ich nachschärfen. Ich muss aber natürlich insgesamt gucken. Also ich glaube, dieser Ansatz, und das muss man einfach sagen, der ist rechtlich ein Stück weit eben überholt. Wir müssen aus einer rechtlichen Perspektive auch damit rechnen, angegriffen zu werden. Das sagt die NIS-2 ganz klar. Und das heißt eben, ich muss auch daran Maßnahmen treffen. Dann brauche ich natürlich auch irgendwie Systeme, die in der Lage sind, Angriffe zu erkennen, die mich dabei unterstützen, die zu bewerten, die das idealerweise auch automatisiert machen. Und ich bin natürlich auch nochmal an dem Punkt, Stichwort Lieferkette. Auch Cybersicherheit in der Lieferkette hängt natürlich ein Stück weit davon ab, ob ich vielleicht auch von außen in der Lage bin, zu erkennen, ob jemand angegriffen wurde, ob ich mal vielleicht im Vorfeld auch einen Sicherheitsscan bei dem machen kann. Dann natürlich auch auf Basis von einer vertraglichen Vereinbarung, damit ich als Unternehmen nachher nicht mit Handschellen aus dem Büro geführt werde, sondern damit eben auch klar ist, dass das passiert. Das kann man ja auch transparent machen. Dient ja auch allen. Also es ist ja besser, ich scanne meinen Geschäftspartner, als dass Kriminelle meinen Geschäftspartner scannen. Genauso wie es, und das ist ja tatsächlich in NIS-2 auch geregelt, die Behörden dürfen ja auch scannen.

Thomas: Also das heißt, ich kann mir dann überlegen, möchte ich einen blauen Brief vom BSI bekommen oder lieber vom Dienstleister, den ich beauftrage, der mich mal scannt.

Stefan: Genau, das ist im Grunde genommen die Logik und ich denke, dass man das auch so ein bisschen in der NIS-2 sieht und da muss man natürlich auch sagen, es ist natürlich immer besser ich kriege keinen blauen Brief von der Aufsichtsbehörde, weil das kann sich natürlich schnell ausweiten, das macht sehr, sehr viel Arbeit. Wenn ich mich selbst um die Themen kümmern kann, habe ich vielleicht keine starren Fristen, da bin ich ein bisschen flexibler. Also ich denke, man muss da einfach ganz klar sagen, man muss eben Cyber-Sicherheitsexpertise im Unternehmen aufbauen, muss sich um diese Lösungen bemühen, muss sich dann natürlich auch die richtigen Dienstleister organisieren. Das ist ja auch ein Riesenthema, Stichwort “Incident Management”, “Incident Readiness”. Ist, ja, wenn so eine große Schadenslage, sage ich mal, wie Hafnium zum Beispiel, eintritt, dann werde ich, wenn ich mich vorher nicht darum bemüht habe, auch einfach keinen Selbersicherheitsexperten finden, der mich unterstützen kann. Riesenproblem.

Thomas: Definitiv. Und wenn ich auch keine technischen Vorkehrungen getroffen habe, um diese Indizien, die ja anfallen, noch zur Verfügung zu haben, die dann von Experten ausgewertet werden kann, dann ist es ja ganz mau. Dann bin ich ja chancenlos.

Stefan: Ja, ich denke, das ist auch ein Punkt, den man ganz klar nochmal unterstreichen muss. Bei der Bedrohungslage und auch der Breite der Betroffenheit von Einrichtungen, die der NIS-2-Richtlinie unterliegen, wird kaum möglich sein, Cybersicherheit, sage ich mal, von Menschen erledigen zu lassen, sondern wir brauchen da einfach einen viel höheren Automatisierungsgrad, da müssen Sachen zusammenlaufen, vielleicht kann ich auch das eine oder andere zukünftig auch über KI auffangen, Anomalieerkennung, da gibt es ja erste Überlegungen dazu und auch schon Systeme, die am Markt verfügbar sind. Und ich denke, da muss man tatsächlich sich eben einfach auch anders aufstellen angesichts der, auch Fachkräftemangel ist ja ein Riesenthema, auch im Bereich IT. Entweder ich schule meine eigenen Mitarbeiter, ich suche mir Dienstleister, ich vereinbare da klare Kontingente, die mir zur Verfügung stehen. Und ja, sage ich mal, muss so ein bisschen davon wegkommen, mich erst um die Cybersicherheit zu kümmern, wenn es zu spät ist. Weil auch das mit rechtlichen Anforderungen schlecht harmoniert.

Thomas: Du hast da gerade einen Bereich angesprochen, der uns auch immer umtreibt. Ich gebe da völlig recht, also das ist eine tolle Sache, wenn man sich auch Dienstleister holt, die einen dabei unterstützen. Aber man darf nie vergessen, letztendlich in der Verantwortung sind die Unternehmen selbst. Und ich habe jetzt diese Verpflichtung, ich muss ein Incident-Management durchführen. Und es reicht nicht zu wissen, ja, da ist was hochgekommen. Und je nachdem, was für ein Anbieter hat, hört es nämlich genau an dieser Stelle auf. Und ich brauche auf alle Fälle aus meiner Sicht ein Tooling, was mir diese Bewertung ermöglicht. Und da denke ich nur an das, was du angesprochen hast, die Meldepflichten. Die sind ja nicht formlos, sondern da gibt es ja wirklich Formvorgaben, wie das zu erfolgen hat. Und als ich mir das angeschaut habe, dachte ich, “holla die Waldfee”, das bekommen nicht allzu viele Unternehmen hin, diese Informationen sich zu beschaffen, wenn es denn so weit ist, um das da reinzuschreiben und das zu melden.

Stefan: Ja, das ist tatsächlich ein ganz, ganz, ganz, ganz wichtiger Punkt in meinen Augen. Wo ich tatsächlich auch nochmal dieses Thema “Incident Readiness”, also ich darf mich nicht einfach nur abstrakt auf einen IT-Sicherheitsvorfall vorbereiten, sondern idealerweise habe ich das schon mal durchgespielt, ich kenne die Meldeformulare, ich habe die notwendigen Bausteine vielleicht schon, ist natürlich auch eine riesen Entlastung, wenn ich jetzt so ein Formular vom BSI habe und das ist einfach schon zur Hälfte vorausgefüllt und ich muss nicht noch irgendwelche Kennzahlen oder Unternehmensadressen oder es können ja Banalitäten sein, auf die ich im Zweifelsfall keinen Zugriff mehr habe, wenn alle meine Systeme verschlüsselt sind. Das heißt, je besser ich vorbereitet bin.

Thomas: So der Notfallordner in Papierform ist was ganz Essentielles.

Stefan: Ganz genau. Und da geht es eben dann los. Und wir haben jetzt tatsächlich auch, und das ist ja auch nochmal ein wichtiger Punkt, diese Meldepflichten gegenüber, die gesetzlich verpflichtend sind. Ich muss mich sozusagen in Anführungszeichen selbst bei der Aufsichtsbehörde anschwärzen. Und da gibt es dann auch nochmal interessante Konstellationen. Also ich muss ja einen erheblichen Sicherheitsvorfall innerhalb von 24 Stunden Kunden dann zukünftig wohl in Deutschland ans BSI melden, als verpflichtete Einrichtung. Wenn personenbezogene Daten betroffen sind oder das BSI meint, es sind personenbezogene Daten betroffen, dann meldet das BSI das selbst weiter an die Datenschutzaufsichtsbehörden. Ich bin aber unabhängig davon als Unternehmen trotzdem verpflichtet, meiner Meldepflicht nach der DSGVO nachzukommen und die Datenschutzaufsichtsbehörde auch nochmal zu informieren. Und dann kann natürlich die interessante Situation eintreten, ich melde aus der IT-Sicherheitsperspektive heraus innerhalb von 24 Stunden ans BSI, mein Datenschutzbeauftragter ist übers Wochenende nicht erreichbar, kommt montags ins Büro, beschäftigt sich dann dienstags mal mit dem Vorfall von letzter Woche und meldet den dann an die Datenschutzaufsichtsbehörde. Dann hat die Datenschutzaufsichtsbehörde aber vorher schon Post vom BSI bekommen und hat dann zwei Zettel, die sie nebeneinander legen und da stehen unterschiedliche Daten drauf. Und dann habe ich sozusagen da den Verstoß gegen die DSGVO, gegenüber der Datenschutzaufsichtsbehörde durch diese Verkettung, letzten Endes habe ich mich dann selbst angeschwärzt und das ist tatsächlich auch ein ganz, ganz wichtiger Punkt, der nochmal verdeutlicht, man muss da wirklich sich vorbereiten, man muss die Daten beisammen haben, man muss die Prozesse beisammen haben und man muss das alles im Grunde genommen im Vorfeld einmal durchspielen. Da hängt ja auch Kommunikation dann noch mit drin. Meine Beschäftigten wundern sich ja auch, wenn ich denen sage, ihr könnt alle montags nochmal nach Hause gehen, weil hier heute nichts stattfindet. Es sind alle Systeme verschüsselt, niemand kann arbeiten. Dann kann man sich vorstellen, wie lange das dauert, bis das einer von denen auf Social Media postet und dann die Zeitung anruft. Das heißt, auch das sind Dinge, über die ich mir im Vorfeld Gedanken machen muss.

Thomas: Wir haben hier über viele spannende Themen gesprochen, aber ich glaube, einen relevanten Punkt noch gar nicht adressiert. Die Registrierungspflicht. Da kann man ja zu sagen, okay, ich habe ja dann, wenn ich es richtig weiß, drei Monate Zeit. Also dann wäre ja Punkt eins, ich muss wissen, gehöre ich denn dazu? Und da habt ihr doch wirklich so einen superschönen Check, um herauszufinden, bin ich denn jetzt von der NIS-2 betroffen?

Stefan: Ja, ganz genau. Also vielleicht erst zur Registrierungsricht. Ja, ich muss mich registrieren. Die Frage, wo ich mich registrieren kann, ist natürlich noch offen. Ist auch offen, ob, sagen wir mal, wir gehen jetzt von der Situation aus, das Gesetz kommt am 17., ab dem 18. ist es dann anwendbar. Ob das BSI in der Lage ist, innerhalb von drei Monaten so ein Portal zu bauen. Und da werden wir auch sicherlich nochmal sehen, es gibt Handreichungen und Empfehlungen der Aussichtsbehörden und irgendwann wird es auch Gerichtsentscheidungen dazu geben, ob einzelne Einrichtungen darunter fallen. Was wir im Grunde genommen gemacht haben, ist mit unserem NIS-2 QuickCheck, den man tatsächlich auch kostenlos im Internet aufrufen kann, eben wirklich zu versuchen, den Anwendungsbereich, so wie er in den Anhängen der NIS-2-Richtlinie steht, gepaart mit auch den KMU-Schwellenwerten, also dieser Frage, wie viele Beschäftigte habe ich, das tatsächlich einmal wirklich komplett, aufzuschlüsseln, sodass man sich da einigermaßen sauber durchklicken kann und eben so eine Ersteinschätzung bekommt, bin ich betroffen, bin ich nicht betroffen. Da muss man dann im zweiten Schritt natürlich auch nochmal ein bisschen genauer hinschauen, da übersieht man auch ganz gerne mal was. Schönes Beispiel, Photovoltaikanlage oder eben den Rechenzentrumsbetrieb oder ich habe noch irgendwas, also wir hatten auch mal einen Mandanten, die kamen aus der Produktion, die haben aber eben noch ein paar Haushalte mit Energie beliefert, die quasi aus Abwärme, bestand und dann rutscht man unter Umständen sehr, sehr schnell in andere Bereiche. Schönes Beispiel, da ist tatsächlich auch Stichwort Maschinenbau. Ich stelle Anlagen her oder ich stelle Maschinen her und habe aber in meinem Unternehmen noch eine kleine Unit, die eben auch Fernwartung anbietet. Dann bin ich, wenn ich Service-Provider und kann eben auch unter Umständen im Anhang 1 drin sein. Also da sieht man schon, im Detail wird das spitzfindig, aber für so eine erste Einschätzung hilft mir das. Und es hilft mir dann vor allem auch, wenn ich jetzt der Verantwortliche für das Umsetzungsthema bin, eben auch in meinem Unternehmen die notwendigen Ressourcen dafür zu bekommen. Dass ich eben sage, wir haben mal eine Erstanalyse durchgeführt, Ergebnis war, wir sind wahrscheinlich betroffen, wir müssen da jetzt irgendwie ran und müssen uns damit auseinandersetzen, müssen diese Gap-Analyse machen und müssen uns irgendwie diesem gesamten Thema mal widmen, weil ich sage mal so, die Uhr tickt.

Thomas: Und dann auch das Startdatum des Gesetzes im Auge behalten. Es wird sich ja vermutlich verschieben, aber irgendwann ist es denn da. Und dann läuft ja auch wieder die Uhr, ich glaube drei Monate, um mich zu registrieren.

Stefan: Genau, und das darf man tatsächlich auch nicht vergessen, selbst wenn das Umsetzungsgesetz da ist, dann beginnt ja eigentlich aus einer juristischen Sicht erstmal auch die direkte Auseinandersetzung damit. Also wir sehen es ja auch bei der DSGVO zum Beispiel. Dieses Jahr haben wir wahnsinnig viele EuGH-Entscheidungen gehabt. Wir werden auch nächstes Jahr viele EuGH-Entscheidungen zum Datenschutzrecht haben, die Grundsatzfragen klären. Und die DSGVO ist 2018 anwendbar geworden. Das heißt, wir reden darüber, dass wir auch bei NIS-2 möglicherweise wirklich über Jahrzehnte Rechtsprechung haben werden und Auseinandersetzungen mit Detailfragen. Da kann es auch nochmal sein, dass noch eben nachreguliert wird, dass die EU-Kommission nochmal mit was kommt. Und ich denke, angesichts der Kritikalität von Cybersicherheit und den hohen Risiken, auch den Schäden, die entstehen, ist das definitiv ein Thema, das Unternehmen dauerhaft begleiten wird.

Thomas: An der Stelle schon mal vielen Dank für die Ausführungen. Ich denke, wir haben jetzt einen Riesenbereich thematisiert und ich habe, glaube ich, am Anfang, als ich sagte, der Tellerrand ist heute sehr groß, nicht zu viel versprochen. Also wir haben jetzt über viele, viele Themen gesprochen. Was ist denn für dich jetzt so das Fazit, das du unseren Zuhörern mitgeben möchtest zum Thema nationale Umsetzung NIS-2? Vielleicht kurz und knapp.

Stefan: Ja, definitiv. Also ich würde einmal sagen, Cybersicherheit wird Recht. Wir haben gesetzliche Anforderungen zur Cybersicherheit, die der deutsche Gesetzgeber umsetzen muss und ich würde tatsächlich die Umsetzung nicht auf die lange Bank schieben.

Thomas: Ja, besten Dank, Stefan. Für das Gespräch hat mir riesen Spaß gemacht. Ich denke, wir konnten vieles aufklären und für unsere Zuhörer in den Shownotes werden wir noch viele Informationen zur Verfügung stellen, über die ihr euch dann auch noch
etwas tiefer über das Thema informieren könnt. Vielen Dank fürs Zuhören. Bis zum nächsten Mal. Tschüss.

Stefan: Ja, vielen Dank. Tschüss!

Ihre Cookie-Einstellungen

Technisch notwendige (essenzielle) Cookies

Informationen zu den einzelnen Cookies

  • Mehr anzeigen

    Technisch notwendige (essenzielle) Cookies

    Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren.

    Name fe_typo_user
    Anbieter consistec.de
    Zweck Sichert die Anti-Spam-Maßnahmen bei Benutzen des Kontaktformulars
    Ablauf Session
    Typ HTTP
    Name conCookieSettings
    Anbieter consistec.de
    Zweck Speichert die Zustimmung zu Cookies
    Ablauf 30 Tage
    Typ HTTP
    Name mtm_consent_removed
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um festzustellen, dass dem Tracking widersprochen wurde.
    Ablauf 1 Monat
    Typ HTTP
  • Mehr anzeigen

    Statistiken

    Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden.

    Name matomo.php
    Anbieter consistec.de
    Zweck Erfasst Statistiken über Besuche des Benutzers auf der Website, wie z. B. die Anzahl der Besuche, durchschnittliche Verweildauer auf der Website und welche Seiten gelesen wurden.
    Ablauf Session
    Typ HTTP
    Name _pk_id#
    Anbieter consistec.de
    Zweck Erfasst Statistiken über Besuche des Benutzers auf der Website, wie z. B. die Anzahl der Besuche, durchschnittliche Verweildauer auf der Website und welche Seiten gelesen wurden.
    Ablauf 1 Jahr
    Typ HTTP
    Name _pk_ses#
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um Seitenabrufe des Besuchers während der Sitzung nachzuverfolgen.
    Ablauf 1 Tag
    Typ HTTP
    Name _pk_testcookie..undefined
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um zu überprüfen, ob der verwendete Browser Cookies unterstützt.
    Ablauf Session
    Typ HTTP
    Name _pk_testcookie.#
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um zu überprüfen, ob der verwendete Browser Cookies unterstützt.
    Ablauf Session
    Typ HTTP