NIS2-Umsetzung & Null-Toleranz-Strategie


"Die komplexe Bedrohungslage erfordert ein einheitliches Cybersicherheitsniveau"
Umsetzung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes und der Dringlichkeit, notwendige Maßnahmen zur Stärkung der Cyberresilienz zu ergreifen



Von Gerald Eid, Regional Managing Director DACH bei Getronics

148 Milliarden Schaden im vergangenen Jahr – und längst noch kein Ende in Sicht: Die Bedrohungslage ist und bleibt prekär. Zudem sorgen Digitalisierung, Cloud und KI für neue Angriffsflächen und eröffnen den Hackern eine Vielzahl an Möglichkeiten. Dies zeigt auch die jüngste Lünendonk-Studie. Der zu Folge hakt es insbesondere bei der E-Mail-Sicherheit und dem Schwachstellenmanagement. Trotz einer anhaltend massiven Bedrohungslage hat rund ein Drittel der Unternehmen keinen Überblick über den tatsächlichen Cybersecurity-Status. Allerdings steigen, laut der Studienergebnisse, die Investitionen in Sicherheitsmaßnahmen – und das ist auch gut so. Denn nachdem das Bundeskabinett endgültig das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beschlossen hat, drängt die Zeit ohnehin, die notwendigen Maßnahmen auf den Weg zu bringen, um die Cyberresilienz zu stärken.

Zu den Anforderungen, die die Richtlinie zugrunde legt, zählen unter anderem Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management sowie Konzepte zum Einsatz von Verschlüsselung. Strenge Kontrollen durch Behörden und stringente Meldepflichten unterstreichen die Dringlichkeit, das Thema schnellstmöglich zu adressieren und sich auf die Anforderungen der Richtlinie vorzubereiten.

Zuerst gilt es den Anwendungsbereich von NIS2 zu verstehen. Wichtig zu wissen ist hierbei, dass die Vorschriften nicht nur für die Unternehmen gelten, die gemäß der Richtlinie als "wesentlich" oder "wichtig" eingestuft werden, sondern auch für deren Auftragnehmer. Was dann folgt, ist eine Selbstanalyse der Sicherheitslage, die die Praktiken der Cyberhygiene ebenso beleuchtet wie die aktuellen Schwachstellen und die Existenz falsch konfigurierter Konten. Eine Lückenanalyse im Zuge derer aktuelle Sicherheitspraktiken dokumentiert werden, ermöglicht den Abgleich zwischen den bestehenden Maßnahmen und den NIS2-Anforderungen. Die identifizierten Lücken sollten dann anhand ihrer potenziellen Auswirkungen priorisiert werden, um in Anschluss einen detaillierten Aktionsplan zu erstellen.

Der Schutz privilegierter Konten mithilfe eines effektiven Zugriffsmanagement ist einer der wichtigsten Punkt des Maßnahmenkatalogs. Denn er ist in erster Linie dafür verantwortlich, dass Unterbrechungen des Geschäftsbetriebs möglichst minimiert werden. Darüber hinaus müssen Unternehmen Backup-Management, Disaster Recovery, Krisenmanagement und Notfallpläne auf dem Schirm haben, um im Fall der Fälle handelsfähig zu bleiben. Im Wesentlichen empfiehlt sich eine Null-Toleranz-Strategie mit starken Authentifizierungsmethoden, um Angriffe bereits im Vornherein vereiteln zu können.

Allerdings müssen zur Schließung aktueller Lücken und zur Optimierung der Cyberresilienz die nötigen Ressourcen seitens des Unternehmens bereitgestellt werden. Hierunter können sowohl die Investition in neue Technologien und Tools sowie das Hinzuziehen externer Experten oder die Fortbildung der eigenen Mitarbeiter fallen. Wie der Folgeabschätzungsbericht der EU zeigt, könnten die durchschnittlichen Ausgaben für die IT-Sicherheit um zwölf bis 22 Prozent steigen.

Fakt ist: Die bloße Einhaltung von Standards reicht nicht mehr aus. Jetzt braucht es ein durchdachtes und ganzheitliches Risikomanagementkonzept, das alle kritischen Bereiche abdeckt. Und dies nicht nur, weil die NIS2-Richtlinie ausdrücklich die Haftung von Leitungsorganen bei Nichteinhaltung von Verstößen gegen die Anforderungen und die Meldepflichten vorsieht. Erhebliche finanzielle Sanktionen sind nur die eine unangenehme Folge für jene, die sich nicht proaktiv um die Sicherheit ihres Unternehmens bemühen – der Verlust sensibler Daten und, noch schlimmer, des Vertrauens der Kunden dürfte schwerer wiegen. (Getronics: ra)

eingetragen: 10.08.24
Newsletterlauf: 30.10.24

Getronics: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Bedrohungslage ganzheitlich verstehen

    Mit dem Kabinettsbeschluss vom 30. Juli 2025 hat die Bundesregierung einen überfälligen Schritt getan. Die Umsetzung der europäischen NIS-2-Richtlinie kommt damit in die nächste Phase - verspätet, aber mit deutlich geschärften Konturen. Der Regierungsentwurf schafft erstmals einen verbindlichen Rahmen für Cybersicherheit in weiten Teilen der Wirtschaft und verankert Mindeststandards, die weit über den bisherigen KRITIS-Kreis hinausreichen.

  • KI-Assistent ein potenzieller Angriffspunkt

    Der Schwerpunkt des neuen freiwilligen Verhaltenskodexes der Europäischen Union für künstliche Intelligenz liegt verständlicherweise auf der verantwortungsvollen Entwicklung künstlicher Intelligenz. Doch indirekt wirft er auch die Frage nach einem weiteren wichtigen Pfeiler der gewissenhaften Einführung auf: der Sicherheit bei der Nutzung von KI.

  • Umsetzung der E-Rechnungspflicht

    Das Bundesfinanzministerium (BMF) veröffentlichte kürzlich ein neues Entwurfsschreiben zur elektronischen Rechnungsstellung. Darin korrigiert das BMF Fehler des Einführungsschreibens vom Oktober 2024 und nimmt Ergänzungen vor. Für Unternehmen gilt es nun zu verstehen, ob sich aus dem Entwurfsschreiben vom 28. Juni 2025 neue oder geänderte Anforderungen für das interne Rechnungswesen ergeben. Dies ist insbesondere für mittelständische Unternehmen kein leichtes Unterfangen.

  • Globale Regulierung Künstlicher Intelligenz

    Vor einem Jahr, am 1. August 2024, ist der europäische AI Act in Kraft getreten - ein historischer Meilenstein für die globale Regulierung Künstlicher Intelligenz. Europa hat damit umfassende Maßstäbe gesetzt. Doch in Deutschland fehlt der Digitalwirtschaft weiterhin die notwendige Orientierung. Der eco - Verband der Internetwirtschaft e.?V. sieht in der Regulierung neue Chancen für den digitalen europäischen Binnenmarkt, warnt aber zugleich vor Versäumnissen: Unternehmen fehlt es an konkreten Standards, an Rechtssicherheit - und an einer verlässlichen politischen Perspektive. Das Risiko: Deutschland droht, den Anschluss an die nächste Welle der KI-Innovation zu verlieren.

  • VdK prüft Musterklagen seiner Mitglieder

    VdK-Präsidentin Verena Bentele sieht im Haushaltsentwurf 2026 von Bundesfinanzminister Lars Klingbeil keine nachhaltige Lösung für die Sozialversicherungen: "Der Haushaltsentwurf 2026 von Finanzminister Klingbeil verschärft die chronische Unterfinanzierung der gesetzlichen Pflegeversicherung. Statt im kommenden Haushaltsjahr lediglich ein zinsfreies Darlehen in Höhe von zwei Milliarden Euro bereitzustellen und großzügige Bundeszuschüsse auszuschließen, fordere ich die Bundesregierung auf, erst einmal ihre Schulden bei den Pflegekassen zu begleichen. Wir prüfen derzeit Musterklagen von VdK-Mitgliedern, da sich die Bundesregierung konsequent weigert, ihre Verpflichtungen gegenüber den Pflegekassen zu erfüllen."

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen