Get going with Cakewalk and manage all of your accesses
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

I understand that by submitting the form, Cakewalk will use the information collected above to schedule a meeting in accordance with our Privacy Policy.

Deutschland: Wach auf und mach dich bereit für NIS2!

February 6, 2025
Johannes Keienburg
5 mins to read
Home
/
Resources
/
Deutschland: Wach auf und mach dich bereit für NIS2!
Table of Contents
Example H2
Example H3

Der 17. Oktober 2024 war das offizielle Zieldatum für die Umsetzung der bahnbrechenden Gesetzgebung – bekannt als die Network and Information Security Directive (NIS2) – durch die EU-Mitgliedstaaten. Doch in einer Wendung deutscher "Effizienz" haben es z Germans nicht rechtzeitig geschafft – es wird tatsächlich eine neue deutsche Regierung brauchen, um NIS2 umzusetzen...

Da es also eine deutsche Verspätung gibt, bleibt die Frage: Warum haben Sie noch keine Schritte unternommen, um konform zu werden? Fakt ist: Die Cybersicherheitslandschaft verändert sich, und das wird Auswirkungen auf Unternehmen haben – ob sie gesetzlich verpflichtet sind oder nicht...

Werfen wir einen Blick auf einige dieser Auswirkungen und darauf, wie Sie aufholen können, um ein NIS2-Vorzeigebeispiel zu werden.Jeder hat eine Ausrede…

"Das gilt nicht für uns."
"Ist viel zu teuer."
"Wir machen das später."
"Cybersecurity, schmybersecurity"

Schlechte Ausreden, die wir immer wieder  hören… Aber Ausreden für die Nichteinhaltung sind... nun ja, unentschuldbar. Selbst wenn Sie glauben, dass Sie nicht verpflichtet sind, gilt: Unwissenheit ist keine Verteidigung. Proaktives Handeln ist die einzige Möglichkeit, unnötige Geldstrafen und Sanktionen zu vermeiden.

"Unwissenheit ist keine Verteidigung" mit Cakewalk-Cupcake-Logo, frustriert und umgeben von Ausreden

"Was? Was ist NIS2..?"

Oh je… Falls Sie  davon noch nichts gehört haben: NIS2 ist eine neue EU-Richtlinie, die rechtliche Rahmenbedingungen für die Cybersicherheitsmaßnahmen der EU-Mitgliedstaaten festlegt. Sie ist eine Aktualisierung von NIS1, das ähnlich funktionierte, aber NIS2 erweitert den Geltungsbereich erheblich (betrifft mehr Branchen und Unternehmenstypen), stellt striktere Regeln auf und führt neue Haftungsmaßnahmen ein (sprich: höhere Strafen).

Während NIS1 Kernsektoren wie Energie, Gesundheitswesen, Finanzen und Wasserversorgung abdeckte, zieht NIS2 ein deutlich weiteres Netz – siehe unten für mehr Details.

"NIS2-Compliance ist zu teuer!"

Wissen Sie, was teurer ist? Die Konsequenzen der Nichteinhaltung. Es ist verständlich, dass kleinere Unternehmen oft nicht die Ressourcen haben, um ihre Cybersicherheitsinfrastruktur aufzurüsten, und dass Mitarbeiterschulungen zeitaufwändig und kostspielig sind. Allerdings betragen die durchschnittlichen Kosten eines Data Breaches für deutsche Unternehmen 5,13 Millionen Euro (average cost of a data breach) – und dazu kommen noch rechtliche Strafen von 10 Millionen Euro oder mehr. In den meisten Fällen sind Sicherheits-Upgrades der weniger schmerzhafte Weg.

Zudem können Geschäftsführer unter NIS2 persönlich haftbar gemacht werden – eine der wesentlichen Änderungen von NIS1 zu NIS2.

"NIS2-Compliance ist zu teuer" mit Cakewalk-Cupcake-Logo nachdenklich

Dazu kommen indirekte Kosten wie Betriebsunterbrechungen, Reputationsschäden und finanzielle Verluste, die Sie jetzt vielleicht noch gar nicht auf dem Schirm haben.

"Wir haben keine Zeit!"

Verständlich. Der tägliche Betrieb ist schon genug Aufwand und Compliance-Maßnahmen stehen nicht unbedingt an erster Stelle. Aber diese Ausrede ist bestenfalls dünn und schlimmstenfalls einfach falsch. 

Drei Gründe:

  1. Cybersicherheitsvorfälle können Ihren Betrieb lahmlegen und Sie in Panik versetzen – am Ende kostet es mehr Zeit und Geld als ein Compliance-Programm.
  2. Schleichende Veränderungen sind einfacher als ein plötzlicher Komplettumbruch.
  3. Ein externer Experte kann die zeitliche Belastung für Ihr Team deutlich reduzieren.

"Uns interessiert Cybersicherheit nicht."

Nun ja, Cybersicherheit interessiert sich aber für Sie. Sicherheitslücken kleinzureden ist brandgefährlich. Ja, man liest vor allem über große Hacks in den Medien, aber die meisten Angriffe richten sich gegen kleinere Organisationen. Warum? Weil diese ihre Sicherheit oft vernachlässigen.

"Uns interessiert Cybersicherheit nicht" mit Cakewalk-Cupcake-Logo nachdenklich

Ihre Sicherheitsmaßnahmen können darüber entscheiden, ob jemand Ihr Produkt kauft oder nicht. NIS2 legt großen Wert auf Lieferkettensicherheit, da Schwachstellen bei Dritten eine der größten Risiken darstellen.

"Betrifft uns nicht!” 

Auch wenn Sie nicht unter NIS1 fallen - NIS2 hat einen größeren Umfang, der mehr Sektoren abdeckt als zuvor, also ist Vorsicht geboten. Aber da dies die häufigste Ausrede ist, die wir hören, schauen wir uns das ein wenig genauer an.

Ja, es betrifft wahrscheinlich auch Sie - zumindest wird es das irgendwann tun…

Die neue Liste der von NIS2 betroffenen Industrien umfasst: 

  • Energie: Elektrizität, Öl, Gas, etc. 
  • Transport: Logistikdienstleister (einschließlich Post-/Kurierdienste) sowie Luft-, Bahn-, Wasser- und Straßenverkehrsunternehmen 
  • Banken: Alle Finanzdienstleistungs- oder Kreditinstitute 
  • Gesundheitswesen: Pflegeeinrichtungen, Labore und Krankenhäuser 
  • Essenzielle Dienstleistungen: Unternehmen, die Trinkwasser, Abwasserbehandlung/-entsorgung, Rechenzentren, Domain-Service-Anbieter, staatliche Stellen auf regionaler und nationaler Ebene und mehr handhaben. 
  • Lebensmittelproduktion: Jedes Unternehmen, das Lebensmittelprodukte verarbeitet oder vertreibt.
  • Fertigung: Jeder Hersteller, der mit Chemikalien, medizinischen Geräten oder Pharmazeutika zu tun hat.
  • Digitale Dienstleistungen: Dies ist äußerst breit und weitreichend. Es umfasst soziale Netzwerke, Cloud-Dienste, Online-Marktplätze, Suchmaschinen und jede andere Dienstleistung, die digital angeboten wird. 

NIS2 kategorisiert Unternehmen in “Essenziell” und “Wichtig”, je nach Branche und Größe. Sie können mehr über die Bezeichnungen hier lesen. Dieser neue Umfang wird voraussichtlich 30.000 Unternehmen nur in Deutschland und 100,000 EU-weit betreffen. Unternehmen mit 50 oder mehr Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen EUR  werden schließlich den Compliance-Vorgaben unterliegen. Wenn Sie also planen, Ihr Geschäft in der Zukunft auszubauen, sollten Sie frühzeitig mit der Planung für NIS2 beginnen. Zu guter Letzt: Ihre Kunden könnten von NIS2 betroffen sein und möchten, dass ihre Lieferanten ebenfalls compliant sind. Das sehen wir tatsächlich oft… Wir haben es schon gesagt und sagen es daher noch einmal: Nicht-Compliance kann Sie potenzielles Geschäft kosten, wenn andere Unternehmen dies von ihren Anbietern oder der Lieferkette verlangen. Deshalb sagen wir: Ja, es betrifft wahrscheinlich auch Sie, oder zumindest wird es das irgendwann tun.

NIS1 vs. NIS2: Was hat sich geändert?

NIS2 verschärft die Anforderungen, erweitert den Geltungsbereich und erhöht die Strafen. Einige der neuen Anforderungen:

  • Strengere Meldepflichten: Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden.
  • Geschäftskontinuitäts- und Krisenmanagementpläne: Jetzt verpflichtend.
  • Lieferketten-Sicherheit: Unternehmen müssen ihre Drittanbieter auf Sicherheitsrisiken prüfen.
  • Zero-Trust-Prinzipien: Striktere Authentifizierungsverfahren.

Und keine Sorge, zusätzlich zu den neuen, hohen Geldstrafen verlangt NIS2 auch eine persönliche Haftung für Führungskräfte und Unternehmensvorstände - eine bedeutende Veränderung, die das Management von Firmen sicherlich dazu bringen sollte, sich mit den Compliance-Updates auseinanderzusetzen!

NIS2-Maßnahmen, die Sie bereits gestern hätten ergreifen sollen

Aber es ist noch nicht zu spät. Dieser gesamte Prozess könnte bis zu einem Jahr dauern, also je früher Sie anfangen, desto besser!

1. Governance und Risikomanagement

  • Bestimmen Sie eine verantwortliche Person (oder ein Team) für die NIS2-Compliance.
  • Führen Sie regelmäßige Risikoanalysen durch, um Schwachstellen und Bedrohungen zu identifizieren.
  • Entwickeln Sie eine Cybersicherheitsstrategie, die auf den identifizierten Risiken basiert.

2. Vorfallmeldung

  • Implementieren Sie Mechanismen zur Erkennung und Reaktion auf Sicherheitsvorfälle.
  • Melden Sie bedeutende Vorfälle innerhalb von 24 Stunden nach der Entdeckung (erste Benachrichtigung) und einen detaillierten Bericht innerhalb von 72 Stunden an die zuständigen Behörden.

3. Lieferkettensicherheit

  • Stellen Sie sicher, dass Drittanbieter und Partner Ihre Cybersicherheitsstandards erfüllen.
  • Bewerten und mindern Sie Risiken, die mit Abhängigkeiten in der Lieferkette verbunden sind.

4. Technische und organisatorische Maßnahmen

  • Verwenden Sie Best Practices der Branche für Netzwerk- und Systemsicherheit (z. B. Verschlüsselung, Firewalls, Endpunktsicherheit).
  • Aktualisieren und patchen Sie regelmäßig Systeme, um Schwachstellen zu minimieren.
  • Führen Sie Schulungen für Mitarbeiter durch, um Bewusstsein zu schaffen und menschenbedingte Risiken (z. B. Phishing) zu verringern.

5. Geschäftskontinuität und Notfallwiederherstellung

  • Etablieren und testen Sie einen Business Continuity Plan (BCP) und eine Notfallwiederherstellungsstrategie.
  • Stellen Sie sicher, dass kritische Systeme im Falle einer Störung schnell wieder in Betrieb genommen werden können.

6. Zugriffsmanagement

  • Implementieren Sie strikte Access-Management-Richtlinien, um den Zugriff auf Software und Daten zu kontrollieren.
  • Verwenden Sie Multi-Faktor-Authentifizierung (MFA) für sensible Systeme.

7. Überwachung und Prüfung

  • Überwachen Sie regelmäßig Netzwerke auf verdächtige Aktivitäten.
  • Führen Sie regelmäßige Audits und Penetrationstests durch, um Schwächen zu identifizieren.

8. Einhaltung der Melde- und Kooperationsanforderungen

  • Führen Sie klare Dokumentationen der Compliance-Aktivitäten.
  • Kooperieren Sie mit nationalen Behörden, sektorspezifischen CSIRTs (Computer Security Incident Response Teams) und der EU-Agentur für Cybersicherheit (ENISA).

9. Sektorspezifische Compliance

  • Passen Sie Ihre Sicherheitsmaßnahmen an die spezifischen Anforderungen Ihres Sektors an, da die NIS2-Richtlinie unterschiedlich auf essentielle und wichtige Unternehmen angewendet wird.

Ein paar hilfreiche NIS2 Ressourcen:

NIS2-Compliance mit Cakewalk

Cakewalk ist der neue Standard im Zugriffsmanagement, entwickelt, um Sie schnell auf den neuesten Stand in Bezug auf NIS2 und andere Cybersicherheitsanforderungen zu bringen.Wir erkennen Shadow-IT, ermöglichen Self-Service-Zugriff, automatisieren On- und Offboarding, helfen Ihnen bei der Durchführung von Zugriffsüberprüfungen und mehr. Um mehr darüber zu erfahren, wie Sie das Zugriffsmanagement verbessern können, um mit neuen Vorschriften compliant zu bleiben, nehmen Sie noch heute Kontakt auf.Was haben Sie unternommen, um sich auf NIS2 vorzubereiten? Beteiligen Sie sich an der Diskussion auf LinkedIn oder nehmen Sie Kontakt auf, um Ihre Meinung zu teilen!

No items found.
No items found.
1 of 8
No items found.
1 of 8

Related posts

These might also interest you
Knowledge

Deutschland: Wach Auf and Get Ready for NIS2

Read more
Story

Cakewalk awarded as a Higher Performer by G2

Read more
Knowledge

Uncovering and Fixing Shadow IT

Read more
Use cases
VisibilityEmployee self-serviceOn & offboardingAccess reviewsAudits
Role
Information SecurityITCFO
Company
CustomersSecurityAboutResourcesSupport
5 star G2 review of Cakewalk
Image reading "Supported by Google — AI for Cybersecurity"
© Cakewalk 2024
Privacy PolicyImprintLinkedin