NIS-2 soll Unternehmen "Nahtoderfahrung"ersparen

IT-Dienstleister wie Fox Group wissen, wie man die neue IT-Security-Richtlinie NIS-2 umsetzt und vor allem: Was sie Geschäftsführen wie Andreas Lederle von Erdwärme Grünwald bringt.

Auf jede neue Richtlinie, jedes neue Gesetz, erfolgt ein Aufschrei von Industrieverbänden nach der immer gleichen Botschaft: „Wir versinken in Bürokratie". Klar, so mache Auflagen sind sinnfrei, können viel Geld kosten und nutzen am Ende nur Dienstleistern oder Rechtsanwälten im Klagefall. Auflagen für mehr IT-Sicherheit aber sind sicher keine Gängelung des Gesetzgebers oder Behörden. Zu mehr Resilienz ihrer Kommunikation und IT-Infrastruktur vor Cyberangriffen und Prävention muss man Geschäftsführer oft leider zwingen. Jetzt mit NIS-2, ausgeschrieben Network and Information Security. Die neue Richtlinien der EU löst NIS (1) ab und tritt im September 2024 in Kraft. Sie betreffe etwa 90 Prozent aller Unternehmen, Firmen ab 50 Mitarbeitern und einem Jahresumsatz ab 10 Mio. Euro.

KRITIS bald für alle

Es gehe darum, „die Cybersicherheitsanforderungen zu erweitern. Unternehmen müssen sowohl in die Abwehr als auch in die Wiederherstellung investieren", sagt Franz Obermayer, IT-Sicherheitsexperte und Chef der Systemhausgruppe Fox IT. Was laut KRITIS-Verordnung schon länger gilt für Unternehmen und öffentliche Einrichtungen wie Versorger und Krankenhäuser (kritische Infrastruktur), wird ab kommenden Jahr Auflage für die allermeisten Unternehmen in den EU: „einen Mindeststandard an Sicherheit zu erfüllen", so Obermayer. Nur ein bisschen Endpoint-Schutz wird also laut der neuen NIS-2 nicht mehr ausreichen.

Künftig werden sich GFs und deren IT-Leiter (sofern vorhanden) damit auseinandersetzen müssen: Cyber-Risikomanagement, Kontrolle und Überwachung, sowie Umgang mit Zwischenfällen und Geschäftskontinuität. „Dazu gehören zum Beispiel Zugangskontrollen, Prävention, Detektion und Bewältigung von Cyber-Incidents und gesicherte Notfall-Kommunikations-Systeme. Die Betreiber müssen ihre nationale Cyber-Security Behörde unverzüglich über signifikante Störungen, Vorfälle und Sicherheitsbedrohungen ihrer kritischen Dienstleistungen unterrichten, ebenfalls wo möglich die Empfänger (Kunden) ihrer Dienstleistungen", skizziert Obermayer die Anzeigenpflichten.

Trusted Advisor des Kunden

Für seine Fox Group und viele andere IT-Security-Dienstleister ist das nichts neues. Klar, die Kunden leiden unter dem Gesetzes- und Investitionsdruck. Und viel schlimmer noch: vor allem GFs mittelständischer und kleiner Firmen können aus einer unüberschaubaren Zahl immer neuer Security-Anwendungen und -Diensten gar nicht mehr die für sie passende Security-Lösung auswählen. Müssen sie auch nicht. MSSPs, große wie kleine Systemhäuser beraten, sind der Trusted Advisor ihrer Kunden.

Die Obermayers der Branche sind nahe am Kunden, sie gehören selbst dem Mittelstand an, sind Inhaber ihres Systemhauses, bodenständig ohnehin und sprechen die Sprache ihrer Klientel und haben oft eigene Security-Plattformen entwickelt oder vertreiben Lösungen erstklassiger Security-Hersteller, die sie bis ins kleinste technische Detail kennen.

Erdwärme Grünwald in Oberhaching, ein Kunde der Fox Group, betreibt nahe München eine Geothermie-Anlage. Aus 3.700 Metern unter der Erde wird die Wärme in ein Fernwärmenetz gespeist. Dann drohte es für viele Haushalte kalt zu werden, nachdem ein Hackerangriff Daten verschlüsselte. Andreas Lederle, Geschäftsführer von Erdwärme, berichtet von der „Nahtoderfahrung", die ihm Experten der Fox Group dann doch ersparten. Sie konnten schnell eingreifen und die Systeme wiederherstellen. Das aber klappte nur, weil dieser Kunde auf einen potenziellen Angriff gut vorbereitet war.

7 bis 10 Mio. Euro Bußgeld

„Das sollten alle Unternehmen sein", sagt Obermayer. Andreas Lederle weiß den Wert von NIS-2 zu schätzen. Nächster Schritt soll die Einführung von ISO27001 sein, eine internationale Norm für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Alle Firmen Obermayers in der Fox Group sind ISO 27001 und ISO 9001 zertifiziert - ein Vorteil, wenn man an Behörden-Ausschreibungen teilnimmt.

Ein Tipp für den Systemhaus-Vertrieb: Man kann die zaudernde Klientel mit der Marketing-Käule des Bußgeldes in Angst und Schrecken zu versetzen suchen, wie so oft zu beobachten. Je nach Sektor ruft die Exekutive nämlich Strafen zwischen 7 und 10 Mio. Euro bei Verstoß gegen NIS-2 auf. Man kann aber auch mit Kunden ganz rational darüber reden, was ihnen ein Tag Geschäftsausfall kostet und wann der Stillstand in den Nahtod und schließlich in den Exit übergeht.