Cybersicherheit stärken. Jetzt beginnen.
29. Januar 2024Jonny Seifert ist in den Cybersicherheits-Tag 2024 am 17. April 2024 im Leipziger KUBUS involviert. Im Gespräch mit uns berichtet er über „NiS-Gruppen“, die Umsetzung von europäischem Recht in nationales Recht, Cybersicherheitsmaßnahmen, die Initiative #CyberSafe360° sowie neben anderen Themen über die Arbeit eines ITQ-Auditors:
WIRTSCHAFT ONLINE: Guten Tag, Herr Seifert. Im Vorfeld des Cybersicherheits-Tags Sachsen 2024 wollen wir möglichst viele Facetten des Themas beleuchten. Im Kontext IT-Sicherheit wird derzeit die europäische NIS-2-Richtlinie in nationales Recht umgewandelt. Worum geht es in dieser Richtlinie?
Jonny Seifert: Guten Tag und danke für die Möglichkeit, zu diesem komplexen Thema und der dadurch entstehenden großen Chance gegenüber der wachsenden Cyberkriminalität, ein Interview geben zu dürfen.
NiS steht für „Network and Information Security“undist die EU-weite Gesetzgebung zur Cybersicherheit. Mit der Novelle der Netzwerk- und Informationssicherheitsrichtlinie (NIS2) legt die EU Mindeststandards für die Cybersicherheit fest und verpflichtet betroffene Unternehmen und Organisationen zu Sicherheitsmaßnahmen und Meldepflichten.
Mit der Einführung der NIS-2-Richtlinie (EU) 2022/2555 rückt die Informationssicherheit also verstärkt in den Fokus. Dies birgt in den kommenden Monaten für viele Unternehmen eine organisatorische Herausforderung. Die Chancen für standardisierte Cybersicherheit, flächendeckend in der Wirtschaft, wird damit jedoch massiv steigen.
Die NIS-2-Richtlinie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU. Dabei wurden die 2016 eingeführten Cybersicherheitsvorschriften der EU durch die 2023 in Kraft getretene NIS-2-Richtlinie aktualisiert. Deutschland muss diese EU-Richtlinie bis Oktober 2024 in nationales Recht umsetzen.
Mit NIS2 wird zudem einepersönliche Haftung von Geschäftsführern und Vorständeneingeführt, die bei Verstößen gegen die Cybersecurity-Pflichten mit empfindlichen Geldbußen rechnen müssen.
WIRTSCHAFT ONLINE: Welche Branchen oder Unternehmen sind betroffen?
Jonny Seifert: Grundsätzlich werden die Unternehmen durch die EU in zwei Kategorien: „essential“ und „important“, also „wesentlich“ und „wichtig“ unterteilt. Für beide Gruppen gelten die gleichen Vorgaben. Zur Gruppe der wesentlichen Organisationen (essential) gehören vor allem KRITIS-Unternehmen, also Betriebe mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall gravierende Folgen hätte. NIS2 nennt hier elf Bereiche, darunter Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit und öffentliche Verwaltung.
Zu den wichtigen Organisationen (important) werden sieben Branchen gezählt: Post- und Kurierdienste, Abfall, Lebensmittel, Chemikalien, digitale Dienste (etwa für Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (unter anderem Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräten) sowie Forschung.
Die Strafen und Sanktionen bei Nichteinhaltung der Vorgaben, sind jedoch unterschiedlich, der jeweiligen Gruppen angepasst. Neben diesen erwähnten Gruppen sind auch die Lieferketten innerhalb der Wirtschaft im Fokus dieser EU-Richtlinie. Es handelt sich dabei um kleinere Unternehmen, die laut der Definition der Gruppen „essential“ und „important“ nicht in die NiS2 Richtlinie rutschen. Damit sind Unternehmen gemeint, die eben weniger als 50 Beschäftigte zu ihrer Belegschaft zählen und deren Jahresbilanzsumme weniger als zehn Millionen Euro beträgt. Es gibt Ausnahmen, bei denen diese Definition bzw. Unternehmensgröße keine Rolle spielt! Um hier eine kleine Aufzählung zu nennen: Anbieter von DNS-Diensten, TLD-Namensregistern sowie öffentlicher elektronischer Kommunikationsnetze oder -dienste. Zusätzlich kann es mittelgroße und kleine Firmen betreffen, wenn sie als Dienstleister und Lieferanten direkt für eine der genannten „NiS2-Gruppen“ tätig sind.
Um es an einem Beispiel deutlich zu machen, kann es passieren, dass ein Automobilhersteller seine Lieferanten verpflichtet, konkrete IT-Sicherheitsmaßnahmen zu treffen bzw. einzuführen, um selbst nicht gegen die NiS2-Vorgaben zu verstoßen, um damit empfindliche Bußgelder zu vermeiden.
WIRTSCHAFT ONLINE: Es gibt den Stichtag 18. Oktober 2024. Was geschieht da?
Jonny Seifert: Am 16. Januar 2023 ist die NiS2-Richtlinie, welche eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit darstellt, in Kraft getreten. Alle Mitgliedstaaten der EU müssen demnach bis zum 17. Oktober 2024 diese Richtlinie in nationales Recht umgesetzt haben, damit am 18. Oktober 2024 die EU-Richtlinie zu einem anwendbaren Gesetz wird. Dazu gibt es in Deutschland einen Entwurf des Bundesministeriums dieser NiS-Richtlinie unter „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“.
WIRTSCHAFT ONLINE: Welche notwendigen Maßnahmen müssen von den betroffenen Unternehmen jetzt ergriffen werden?
Jonny Seifert: Zu den Risikomanagementmaßnahmen zählt man: Unternehmen und Einrichtungen, welche unter die „NiS-Gruppen“ fallen (wichtige und wesentlichen Organisationen) müssen sich darauf einstellen, vor allem technische und organisatorische Maßnehmen zur Umsetzung der EU-Richtlinie und Schutz Ihres Unternehmens bzw. Einrichtung, umzusetzen. Die Maßnahmen können folgende Bereiche betreffen:
- Risikoanalyse
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebes
- Sicherheit der Lieferkette
- Sicherheit bei Entwicklung und Wartung
- Bewertung von Risikomanagementmaßnahmen
- Schulungen im Bereich der Cybersicherheit
- Kryptografie und Verschlüsselung
- Sicherheit des Personals und Konzepte für die Zugriffskontrolle
- Sichere (Notfall-)Kommunikation.
WIRTSCHAFT ONLINE: Bei Nichtbeachtung oder Zuwiderlaufen drohen intensive Strafen. Können Sie dazu etwas sagen?
Jonny Seifert: Es ist bedauerlich, dass Cybercrime-Fälle weiterhin zunehmen. Dies ist mittlerweile auch keine Neuigkeit mehr. Nach Angaben des Bitkom haben sich die finanziellen Schäden von 2019 bis 2021 auf beeindruckende 223,5 Milliarden Euro verdoppelt. Besonders im Bereich Wirtschaftsspionage und Cyberkriminalität sind die Schäden in Deutschland, gemessen am Bruttoinlandsprodukt, am gravierendsten. Um diesem wachsenden Problem entgegenzuwirken, wurden verschiedene Gesetze implementiert, die darauf abzielen, den Datenschutz zu stärken.
Insbesondere bei kleinen und mittelständischen Unternehmen besteht häufig die Herausforderung bei der Umsetzung entsprechender Maßnahmen. Zudem sind sich viele dieser Unternehmen oft nicht bewusst, mit welchen Konsequenzen sie bei Nichteinhaltung rechnen müssen.
Im Falle von Verstößen gegen die Regelungen von NIS-2 drohen Unternehmen empfindliche Bußgelder von bis zu zehn Millionen Euro bzw. 2 Prozent des Jahresumsatzes. Neben dem Bußgeldrisiko geht mit NIS-2 auch ein erhebliches Haftungsrisiko für die Unternehmensleitung einher. Bei Verstößen kann die Geschäftsführung der Betreiber haftbar gemacht werden. Somit wird Cyber-Security spätestens mit NIS-2 zu einem unabdingbaren Bestandteil der Unternehmenssteuerung.
WIRTSCHAFT ONLINE: Sie haben die Initiative #CyberSafe360° mit angestoßen. Welche Inhalte möchte diese Initiative bündeln und was soll mit diesen geschehen?
Jonny Seifert: Die Initiative #CyberSafe360° ist eine Kombination aus Online- und Präsenzveranstaltungen, bezieht sich auf einen Zusammenschluss von Unternehmen und Einrichtungen und bietet Unternehmen besten Know-Transfer und Best Practices durch erfahrene Workshopleiter, IT-Experten und Referenten.
Diese Initiative ist entstanden aufgrund der vielfachen Nachfragen in meinem Alltagsgeschäft als ITQ-Auditor und den stetigen Gesprächen mit Unternehmen und Wirtschaftsverbänden.
Verschiedene Kammern und auch Systemhäuser informieren bereits die Wirtschaft über die Neuerung zu NiS2. Die Initiative #CyberSafe360° geht jedoch noch einen Schritt weiter und zeigt den Teilnehmern direkte Chancen und Lösungen auf, in Form von kleinen Workshops, um aus dem reinen „Vortrags-Format“ herauszutreten und direkt in die Umsetzung zu gelangen. Termine dazu werden online auf LinkedIn, der Webseite und im Newsletter bekanntgegeben.
WIRTSCHAFT ONLINE: Das Thema IT-Sicherheit ist nicht alleinstehend. Hier spielt beispielsweise auch die Ausrichtung vieler Unternehmen auf New Work mit hinein, der Fachkräftemangel sowie die Anforderungen des gewünschten Digitalisierungsgeschehens. Wie verbinden Sie all diese Fäden bei #CyberSafe360°?
Jonny Seifert: Die Initiative #CyberSafe360° richtet ihren Fokus auf die zentralen Themen der Informationssicherheit und wird dabei ergänzt von New Work und modernen Arbeitsplatzumgebungen. Dieser Ansatz macht die Veranstaltung besonders attraktiv und relevant für Entscheidungsträger, insbesondere in Zeiten des Fachkräftemangels.
Während IT-Sicherheit sich auf den Schutz von digitalen Technologien und Daten konzentriert, geht Informationssicherheit darüber hinaus und betrachtet die Sicherheit von Informationen in all ihren Formen sowie die prozessbezogenen und organisatorischen Aspekte, um die Gesamtsicherheit von Informationen in einem Unternehmen zu gewährleisten.
In einer Zeit, in der die Arbeitswelt einem stetigen Wandel unterliegt, ist die Integration von Informationssicherheit in Verbindung mit New Work-Prinzipien von entscheidender Bedeutung. Unsere Veranstaltung bietet eine einzigartige Plattform, um innovative Ansätze und bewährte Methoden im Bereich Informationssicherheit zu erkunden, während gleichzeitig die neuesten Entwicklungen im New Work-Kontext berücksichtigt werden.
Entscheidungsträger haben die Gelegenheit, sich über die Herausforderungen und Chancen im Bereich der Informationssicherheit in Verbindung mit modernen Arbeitsplatzumgebungen zu informieren. Die Initiative #CyberSafe360° bietet praxisnahe Einblicke und Lösungsansätze, die nicht nur den aktuellen Bedarf decken, sondern auch einen Blick in die Zukunft der sich entwickelnden Arbeitswelt ermöglichen. Angesichts des gegenwärtigen Fachkräftemangels stellt diese Veranstaltung eine strategische Investition dar, um die Sicherheit der IT-Infrastruktur zu gewährleisten und gleichzeitig attraktive Arbeitsbedingungen zu schaffen.
WIRTSCHAFT ONLINE: Danke, Herr Jonny Seifert, für Ihre Zeit und Ihr Engagement.
Jonny Seifert: Vielen Dank, dass ich die Chance hatte, Ihre Leser über dieses essential wichtige Thema informieren zu dürfen.
