Goodpods logo
Goodpods

Anmelden

goodpods headphones icon

Um auf alle unsere Funktionen zuzugreifen

Öffne die Goodpods App
Close icon
WeTalkSecurity - der ESET Podcast - NIS2: Wie ist der aktuelle Stand? | Folge 22

NIS2: Wie ist der aktuelle Stand? | Folge 22

05/08/24 • 22 min

WeTalkSecurity - der ESET Podcast
NIS2 ist wichtig zur Stärkung der Cybersicherheit, aber wieso lahmt die Umsetzung?

Über den Gast

Der studierte Betriebswirt Maik Wetzel verfügt über mehr als 30 Jahre Berufserfahrung in der IT Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei ESET verantwortet Maik Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region. In dieser Rolle fokussiert er sich auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region. Er vertritt ESET in den Gremien wichtiger Verbände und tritt regelmäßig als Speaker auf Konferenzen und als Spezialist und Experte in Panels oder Roundtables in Erscheinung.

Der aktuelle Stand der NIS2-Richtlinie

Christian Lueg und Maik Wetzel beleuchten in Folge 22 von WeTalkSecurity die aktuellen Verzögerungen und Herausforderungen bei der Umsetzung der NIS2-Richtlinie in Deutschland. Maik Wetzel betont, dass trotz der geplanten Umsetzung bis zum 17. Oktober 2024 noch kein offizieller Gesetzentwurf vorliegt. Es gab bisher mehrere geleakte Referentenentwürfe, aber interne Schwierigkeiten innerhalb der Bundesregierung verzögern den Prozess erheblich. Es besteht auch Uneinigkeit über die finanziellen Auswirkungen und den erforderlichen Personalaufwand für die Umsetzung.

Was ist mit der kommunalen Ebene?

Ein weiteres Thema ist die Auswirkung auf die kommunale Ebene. Einige Länder erwägen eigene Landesgesetze oder Verordnungen, um die Mindeststandards auf kommunaler Ebene umzusetzen. Dies könnte zu einem Flickenteppich unterschiedlicher Anforderungen führen. Maik Wetzel betont die Dringlichkeit, Cybersicherheit in Deutschland auf allen Ebenen zu stärken, insbesondere auf kommunaler Ebene, wo die Auswirkungen von Cyberangriffen direkte Konsequenzen für Bürger und Unternehmen haben können.

Ist der Umsetzungstermin zu halten?

Die Frage, ob die Bundesregierung die Richtlinie bis zum 17. Oktober umsetzen wird, bleibt nach jetzigem Stand aber offen. Es ist jedoch klar, dass Unternehmen sich bereits jetzt auf die Umsetzung vorbereiten sollten. Denn diese macht nicht nur aufgrund der gesetzlichen Anforderungen Sinn, sondern ist schon alleine aus Selbstschutz wichtig. Zudem ist die Steigerung der eigenen Cybersicherheit bereits zum Abschluss von Cyberversicherungen Voraussetzung. Wer also bereits heute mit der Umsetzung beginnt, der minimiert zukünftige Risiken.

Mehr Informationen zur Umsetzung der NIS2-Richtlinie

Auf unserer Schwerpunktseite zu NIS2 stehen Ihnen viele weitere Informationen zur Umsetzung der Richtlinie zur Verfügung.

  • Erfahren Sie welche Branchen und welche Unternehmen von der Richtlinie betroffen sind.
  • Lesen Sie unsere Whitepaper zur den IT-Security-Anforderungen für betroffene Organisationen und deren Partner und Dienstleister in der Lieferkette.
  • Bringen Sie sich mit unseren NIS2-Webinaren auf den neuesten Stand
  • Aufzählungs-TextKontaktieren Sie unsere NIS2-Experten

Zur NIS2-Schwerpunktseite von ESET: https://www.eset.com/de/nis2/

plus icon
bookmark
NIS2 ist wichtig zur Stärkung der Cybersicherheit, aber wieso lahmt die Umsetzung?

Über den Gast

Der studierte Betriebswirt Maik Wetzel verfügt über mehr als 30 Jahre Berufserfahrung in der IT Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei ESET verantwortet Maik Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region. In dieser Rolle fokussiert er sich auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region. Er vertritt ESET in den Gremien wichtiger Verbände und tritt regelmäßig als Speaker auf Konferenzen und als Spezialist und Experte in Panels oder Roundtables in Erscheinung.

Der aktuelle Stand der NIS2-Richtlinie

Christian Lueg und Maik Wetzel beleuchten in Folge 22 von WeTalkSecurity die aktuellen Verzögerungen und Herausforderungen bei der Umsetzung der NIS2-Richtlinie in Deutschland. Maik Wetzel betont, dass trotz der geplanten Umsetzung bis zum 17. Oktober 2024 noch kein offizieller Gesetzentwurf vorliegt. Es gab bisher mehrere geleakte Referentenentwürfe, aber interne Schwierigkeiten innerhalb der Bundesregierung verzögern den Prozess erheblich. Es besteht auch Uneinigkeit über die finanziellen Auswirkungen und den erforderlichen Personalaufwand für die Umsetzung.

Was ist mit der kommunalen Ebene?

Ein weiteres Thema ist die Auswirkung auf die kommunale Ebene. Einige Länder erwägen eigene Landesgesetze oder Verordnungen, um die Mindeststandards auf kommunaler Ebene umzusetzen. Dies könnte zu einem Flickenteppich unterschiedlicher Anforderungen führen. Maik Wetzel betont die Dringlichkeit, Cybersicherheit in Deutschland auf allen Ebenen zu stärken, insbesondere auf kommunaler Ebene, wo die Auswirkungen von Cyberangriffen direkte Konsequenzen für Bürger und Unternehmen haben können.

Ist der Umsetzungstermin zu halten?

Die Frage, ob die Bundesregierung die Richtlinie bis zum 17. Oktober umsetzen wird, bleibt nach jetzigem Stand aber offen. Es ist jedoch klar, dass Unternehmen sich bereits jetzt auf die Umsetzung vorbereiten sollten. Denn diese macht nicht nur aufgrund der gesetzlichen Anforderungen Sinn, sondern ist schon alleine aus Selbstschutz wichtig. Zudem ist die Steigerung der eigenen Cybersicherheit bereits zum Abschluss von Cyberversicherungen Voraussetzung. Wer also bereits heute mit der Umsetzung beginnt, der minimiert zukünftige Risiken.

Mehr Informationen zur Umsetzung der NIS2-Richtlinie

Auf unserer Schwerpunktseite zu NIS2 stehen Ihnen viele weitere Informationen zur Umsetzung der Richtlinie zur Verfügung.

  • Erfahren Sie welche Branchen und welche Unternehmen von der Richtlinie betroffen sind.
  • Lesen Sie unsere Whitepaper zur den IT-Security-Anforderungen für betroffene Organisationen und deren Partner und Dienstleister in der Lieferkette.
  • Bringen Sie sich mit unseren NIS2-Webinaren auf den neuesten Stand
  • Aufzählungs-TextKontaktieren Sie unsere NIS2-Experten

Zur NIS2-Schwerpunktseite von ESET: https://www.eset.com/de/nis2/

Vorherige Episode

undefined - Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette | Folge 21

Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette | Folge 21

Herausforderungen und Möglichkeiten für Unternehmen

Die NIS2-Richtlinie bringt auch neue Anforderungen an die Lieferkette mit sich – ein schwieriges Thema, schließlich ist der Begriff Lieferkette nicht in der Richtlinie definiert. Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander.

Über den Gast Stefan Sander ist Fachanwalt für Informationstechnologierecht. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/).

Stefan Sander ist Autor des aktuellen ESET Whitepapers "NIS2 und die Lieferkette", welches das Thema des Podcasts im Detail beleuchtet. Außerdem ist er Co-Autor des Whitepapers "Stand der Technik in der IT-Sicherheit".

Was ist eigentlich die Supply Chain bzw. Lieferkette?

Die Supply Chain ist ein Teilbereich der Logistik, der sich mit dem Fluss von Waren oder Dienstleistungen vom Rohmateriallieferanten bis zum Endverbraucher befasst. Sie umfasst alle Prozesse, Aktivitäten, Ressourcen und Organisationen, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen.

Im Unterschied zur klassischen Lieferkette ist der Begriff „Supply Chain“ weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung.

Die NIS2-Richtlinie verknüpft ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette, was einige überraschen mag. Unternehmen, insbesondere Managed Service Provider (MSPs), die IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich der Richtlinie. Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor.

Bin ich von NIS2 betroffen?

Im Wesentlichen gibt es zwei Hauptvoraussetzungen zu beachten. Erstens muss eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant ist, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt, solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähnt der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als besonders kritisch, was bedeutet, dass Managed Service Provider in diesem Sektor reguliert werden, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert sind. Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen.

Spannend wird es vor allem für den deutschen Mittelstand: Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme. Unternehmen überschreiten den Schwellenwert, wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten. Die Mitarbeiteranzahl ist ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet werden. Das Ziel ist es, eine faire Behandlung zu gewährleisten. Die EU hat dazu einen Leitfaden herausgebracht, an dem Unternehmen sich orientieren können.

Um kleine Unternehmen (d. h. mit weniger als 50 Mitarbeitern) zu fördern, fallen diese nicht unter die NIS2-Richtlinie, außer sie gehören zu einem Konzern oder einer Konzerngruppe – die Gesamtzahl der Mitarbeiter addiert sich hier aus allen Mitarbeitern aus allen Unternehmen der Gruppe zusammen. Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5000, zählen diese 5000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS2 (bei einem Beteiligungsverhältnis von über 50 Prozent). Komplizierter wird es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote werden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet.

Was bedeutet das...

Nächste Episode

undefined - Wie Security Services die IT-Sicherheit stärken können | Folge 23

Wie Security Services die IT-Sicherheit stärken können | Folge 23

Welche Möglichkeiten gibt es bei Security Services? Für wen lohnen sich diese?

Managed Services gibt es schon seit über 15 Jahren und sie helfen Unternehmen dabei, auch mit einer kleinen IT-Abteilung viele Aspekte einer ganzheitlichen IT abzudecken. Security Services helfen ihnen dabei, sicher vor Hackerangriffen zu bleiben und IT-Sicherheit professionell anzugehen. Der Gedanke dahinter: Anstatt sich selber um die IT-Sicherheit kümmern zu müssen, kaufen Unternehmen Fachexpertise bei spezialisierten Anbietern ein. Wie genau Security Services die IT-Sicherheit stärken, erklärt Michael Schröder, Manager of Security Business Strategy bei ESET, im Gespräch mit WeTalkSecurity.

Über den Gast

Michael Schröder ist als Technologieexperte und Datenschutzbeauftragter für die strategische Ausrichtung von ESET Produkten und Services in Deutschland, Österreich und der Schweiz zuständig. Michael ist seit mehr als 25 Jahren in der IT-Welt unterwegs und kennt die Branche aus verschiedenen Blickwinkeln. Neben seiner umfassenden Expertise im Bereich Datenschutz und -sicherheit verfügt er über ein vertieftes Wissen rund um Authentifizierungslösungen, Verschlüsselung, Cloud-Sandboxing, Endpoint Detection and Response und Threat-Intelligence Services.

** Welche Möglichkeiten gibt es eigentlich bei Security Services? **

Vom temporären Service bis zum 24/7-Angebot: bei Security Services gibt zwei Haupttypen, temporäre und dauerhafte Services. Temporäre Services sind projektbasiert, wo Expertise für spezifische Aufgaben, wie die Implementierung einer EDR-Lösung, benötigt wird. Durch die Einbeziehung von Experten, die täglich solche Aufgaben durchführen, können Unternehmen Zeit sparen und effizienter arbeiten.

Dauerhafte Services hingegen sind rund um die Uhr verfügbar und kommen mit Service Level Agreements (SLAs), die Reaktionszeiten festlegen. Diese Art von Service ist ideal für Unternehmen, die eine ständige Sicherheitsabdeckung benötigen, aber nicht die Ressourcen haben, um dies intern zu bewältigen. Die Wahl des Services hängt vom Schutzniveau und Risikolevel des Unternehmens ab.

** Für wen lohnt’s sich? **

Laut ESET-Umfrage erkennen Unternehmen den Wert von IT-Sicherheit an (88 Prozent), gleichzeitig klagt der Großteil der Unternehmen (64 Prozent) über fehlende Fachkräfte. Die Gründe für diesen Mangel sind mannigfaltig und reichen von budgetären bis hin zu geographischen Einschränkungen. Organisationen in Universitätsstädten finden z. B. leichter neues Personal in Form von Uni-Absolventen als in ländlichen Regionen.

Hier kommen Security Services ins Spiel: Sie erlauben auch Unternehmen ohne weitreichende Ressourcen eine umfassende IT-Sicherheitsstrategie zu fahren.

** Die Vertrauensfrage in der IT **

Zero Trust – also so wenig Vertrauen wie möglich – ist schon seit einigen Jahren das Mantra in der IT. Und das zurecht, garantiert das Konzept doch eine höhere Sicherheit durch u. a. Risikoeindämmung und strengere Rechtevergabe. Beim Outsourcing von IT-Sicherheitsdiensten ergibt sich scheinbar eine Zwickmühle: Auf externe Dienstleister zurückgreifen, die dann den empfindlichsten Bereich der eigenen IT-Infrastruktur verwalten oder alles selbst machen?

Michael Schröder erklärt dazu, dass beim Thema Security Services die Vorteile überwiegen. Hier ist das Outsourcing an externe Dienstleister in der Regel vorteilhaft und wird auch in Zukunft so bleiben, da die Komplexität und der Zeitaufwand für die interne Nachbildung dieser Dienstleistungen oft sehr hoch sind.

** Managed Detection und Response **

Managed Detection und Response (MDR) ist ein Service, der Unternehmen bei der Überwachung und Reaktion auf Sicherheitsvorfälle unterstützt. Michael Schröder unterscheidet zwischen zwei Arten von MDR:

  • Klassisches MDR: Dies ist für Unternehmen mit hohen Sicherheitsanforderungen, die ihre eigenen Server und Software betreiben, aber nicht die Ressourcen haben, um rund um die Uhr zu überwachen oder im Falle eines echten Vorfalls die richtigen Maßnahmen zu treffen. In diesem Fall bietet das MDR-Team 24/7-Unterstützung mit persönlichen Ansprechpartnern.
  • Vereinfachtes MDR: Dies ist für Unternehmen mit geringerem Sicherheitsbewusstsein, die regelmäßige Überprüfungen aller Anomalien benötigen, um sicherzustellen, dass keine Schwachstellen ausgenutzt werden. In diesem Modell läuft die Überwachung größtenteils KI-gestützt im Hintergrund ab, und menschliche Experten schauen nur zu bestimmten Zeiten darauf oder wenn etwas auffällt. Dieses Modell ist kostengünstiger, da die menschliche Komponente nur dann ins Spiel kommt, wenn es ernst wird oder wenn etwas auffällt.

In beiden Fällen behalten die Kunden die Kontrolle über ihre Systeme, während das MDR-Team ihnen beim Betrieb hilft.

** Die Rolle der KI **

ESET überprüft um die 750.000 verdächtige Samples – pro Tag. Hiervon sind ca. 500.000...

Wenn dir diese Episode gefällt, wirst du lieben
ITSPmagazine Podcasts

ITSPmagazine Podcasts

Joomla Beat Podcast | Web design, development, online marketing, social media & website management

Joomla Beat Podcast | Web design, development, online marketing, social media & website management

Aspen Ideas to Go

Aspen Ideas to Go

Pivot

Pivot

How to Fix Democracy

How to Fix Democracy

Kommentare zur Episode

Badge generieren

Erhalte ein Badge für deine Webseite, das auf diese episode

Typ & Größe auswählen
Open dropdown icon
share badge image

<a href="https://goodpods.com/podcasts/wetalksecurity-der-eset-podcast-552598/nis2-wie-ist-der-aktuelle-stand-folge-22-70723677"> <img src="https://storage.googleapis.com/goodpods-images-bucket/badges/generic-badge-1.svg" alt="listen to nis2: wie ist der aktuelle stand? | folge 22 on goodpods" style="width: 225px" /> </a>

Kopieren