Wissen im Service | USU Blog

Im Interview zu NIS-2 mit Frank Meinecke, CISO der USU

Geschrieben von Frauke Hübner-Kirsch | Aug 15, 2024 8:59:56 AM

Im Gespräch mit Frank Meinecke, CISO der USU: Was die neue EU-Richtlinie NIS-2 für deutsche Unternehmen bedeutet, wie die USU selbst auf NIS-2 vorbereitet ist und wir wir andere Unternehmen bei der Umsetzung unterstützen können

 

Die neue EU-Richtlinie NIS-2 bringt einige Änderungen mit sich. Frank, kannst Du einen Überblick über den aktuellen Stand für deutsche Unternehmen geben?

Frank Meinecke:  Sehr gerne. Die NIS2-Richtlinie (Abkürzung für: Network and Information Systems Directive) ist eine EU-Verordnung, die die Cybersicherheit in kritischen Sektoren stärken soll, einschließlich IT-Dienstleistern. Sie baut auf der ursprünglichen NIS-Richtlinie auf und erweitert deren Anwendungsbereich und Anforderungen. 
Aktuell gibt es einen Regierungsentwurf vom 22. Juli 2024, der die Umsetzung der NIS-2-Richtlinie in Deutschland regelt. Es ist wichtig zu verstehen, dass die Frist vom 17. Oktober 2024 zur Anwendung von NIS-2 nur für die Bundesregierung gilt. Unternehmen müssen sich jedoch schon jetzt darauf vorbereiten, da das Gesetz mit der nationalen Verabschiedung sofort in Kraft treten wird. NIS-2 betrifft Organisationen und Unternehmen in der Europäischen Union aus 18 Sektoren, die in zwei Kategorien unterschieden werden: Wesentliche bzw. besonders wichtige Einrichtungen und wichtige Einrichtungen. Große Unternehmen (ab 250 Angestellte oder mehr als 50 Millionen Euro Umsatz pro Jahr) zählen dabei zu den wesentlichen bzw. besonders wichtigen Einrichtungen, mittelgroße Unternehmen (zwischen 50 und 249 Angestellten) zu den wichtigen Einrichtungen. 

Unter welche Kategorie fällt die USU bei NIS-2?

Frank Meinecke: Immer wieder gab es zu NIS-2 neue Informationen, Änderungen und auch das Wording änderte sich. Was sind wir jetzt, eine wesentliche oder besonders wichtige Einrichtung? Da kann man sich schnell wie Mitten im Dschungel fühlen. Im Englischen beispielsweise heißt es „essential“ und „important“. Das wird seitens der EU „wesentlich“ und „wichtig“ übersetzt. Im deutschen Regierungsentwurf ist nun aber die Rede von „besonders wichtigen und wichtigen Einrichtungen“. USU als Managed Service Provider fällt jedenfalls unter die Kategorie der digitalen Infrastrukturen und ist somit als wesentliche bzw. besonders wichtige Einrichtung auch betroffen.
 

Du hast es gerade gesagt, schnell kommt das Gefühl auf, sich im Dschungel der Security-Regularien zu befinden. Welche Unternehmen fühlen das so und warum? 

Frank Meinecke: Ich denke das Dschungel-Gefühl haben vor allem kleinere Unternehmen, zum Teil auch Familienunternehmen aus jetzt neu betroffenen Branchen. Diese stehen vor riesigen Herausforderungen. Sie mussten sich die letzten Jahre zum Beispiel nicht mit Security-Audits auseinandersetzen oder mit einer ISO-Zertifizierung. Jetzt fehlt das geschulte Fachpersonal im Unternehmen und sie sind stark auf externe Berater angewiesen für die Umsetzung der NIS-2-Richtlinie.

Wie gut ist die USU selbst auf die Anforderungen der NIS-2-Richtlinie vorbereitet?

Frank Meinecke: USU ist bereits ISO 27001 zertifiziert und hat viele Maßnahmen umgesetzt, die über die ISO-Anforderungen hinausgehen. Unsere internen Prozesse und Sicherheitsstandards sind somit schon sehr gut aufgestellt, um die Anforderungen der NIS-2 zu erfüllen. Wir haben bereits den Großteil der erforderlichen Sicherheitsmaßnahmen implementiert und sind somit gut vorbereitet.

Wie unterstützt USU andere Unternehmen dabei, die Anforderungen der NIS-2-Richtlinie zu erfüllen?

Frank Meinecke: USU bietet eine Reihe von Softwarelösungen an, die Unternehmen dabei helfen, die NIS-2-Anforderungen zu erfüllen. Dazu gehört die USU IT Service Management (ITSM) Suite mit Governance, Risk, and Compliance (GRC) Modulen, sowie das USU IT Asset Management (ITAM) für das Verwalten von Hardware- und Softwareressourcen.

Was würdest Du anderen IT Security Verantwortlichen zum jetzigen Zeitpunkt raten?

Frank Meinecke: Der aktuelle Gesetzesentwurf definiert 10 Themenbereiche für die Umsetzung von NIS-2, wobei viele kleine Handlungsfelder in einem Themenbereich zusammengefasst wurden. Ich würde anderen IT Security Verantwortlichen Folgendes raten: 

Ratschlag 1: Das Thema Multi-Faktor Authentifizierung konsequent umsetzen, das aus gutem Grund als einzige konkrete technische Maßnahme im Gesetzt gelandet ist.

Ratschlag 2: Weitere Informationsquellen zu Rate ziehen: Die AG KRITIS oder die OpenKRITIS Plattform haben sehr hilfreiche Ressourcen und Interpretationen im Angebot. Außerdem gibt es seitens der EU einen ersten Entwurf einer NIS2-Durchführungsverordnung („NIS2-DVO“), der die geforderten Maßnahmen konkretisiert und z.B. Definitionen für einen „erheblichen Sicherheitsvorfall“ beinhaltet.

Ratschlag 3: Zum Verständnis hilft es, sich neben dem deutschen Gesetz auch die englische Originalversion von NIS-2 direkt anzuschauen. Dann wird manches klarer, was sonst vielleicht „Lost in Translation“ ist. 

So geht es beispielsweise bei der "Personalsicherheit” nicht um die Arbeitssicherheit, die Sicherheitsschuhe vorschreibt. Es geht vor allem um Rechte-Rollen-Verteilung und Prozesssteuerung. Hier kommt also wieder ein ITSM-System ins Spiel, welches bei der Steuerung von IT- und Non-IT-Prozessen im Unternehmen grundlegend unterstützt. 
Ebenso ist mit  “Management von Anlagen” nicht etwa das Management von Industrieanlagen gemeint, sondern ein “Asset Management” und damit die Verwaltung von allen Assets des Unternehmens, die einen gewissen Wert für dieses darstellen. Eine Hardwareressource wie ein Arbeitslaptop aber auch ein Domain-Name wie „usu.com“ sind z.B. Assets. Auch hier kann ein ITAM-System die Verwaltung von jeglichen Assets im Rahmen von NIS-2 unterstützen. 

Im Januar 2025 kommt auch noch die DORA-Richtlinie zur Anwendung. Wo siehst Du Überschneidungen zwischen der NIS-2- und der DORA-Richtlinie?

Frank Meinecke: Es gibt einige Überschneidungen, insbesondere bei den Themen Incident Handling und Meldepflichten. Beide Richtlinien fordern, dass Sicherheitsvorfälle gemeldet und entsprechende Maßnahmen ergriffen werden. In Deutschland bedeutet das, dass Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden müssen. Diese gemeinsamen Anforderungen erleichtern es Unternehmen, durch eine einheitliche Strategie beide Richtlinien zu erfüllen.

Was wird in Zukunft für deutsche Firmen wichtig sein, um den Anforderungen der NIS-2 gerecht zu werden?

Frank Meinecke: Ein zentrales Thema wird das Wissensmanagement innerhalb der Unternehmen sein. Firmen müssen langfristig das benötigte Wissen aufbauen und halten können, was gerade für kleinere Unternehmen eine Herausforderung ist. Zudem ist die Bildungspolitik in Deutschland gefordert, mehr Fachkräfte mit digitalen Grundkompetenzen auszubilden. Nur so können wir sicherstellen, dass genügend qualifiziertes Personal zur Verfügung steht, um die steigenden Sicherheitsanforderungen der EU zu erfüllen.

Gibt es noch etwas Frank, was Du anderen Firmen mit auf den Weg geben möchtest?

Frank Meinecke: Ich möchte betonen, dass es wichtig ist, jetzt aktiv zu werden. Unternehmen sollten nicht warten, bis die Fristen näher rücken, sondern sich jetzt mit den Anforderungen der NIS-2-Richtlinie auseinandersetzen und entsprechende Maßnahmen ergreifen. USU steht dabei gerne als Partner zur Seite, um die notwendigen Schritte gemeinsam zu gehen.

Weitere Informationen zu dem Thema



 
Vollständigen Beitrag anzeigen