NET 3/2025

19 03/25 KR I T I SCHE KOMMUN I K AT I ON Cybersicherheit für KRITIS NIS-2-Richtlinie kostengünstiger umsetzen Kai-Oliver Detken Für viele IT-Abteilungen stellt mitt- lerweile die Aufrechterhaltung der Sicherheit des Unternehmens-Netz- werkes gegenüber Angriffen von außen eine der wichtigsten Auf- gaben dar. Nicht nur, dass Kom- munikations- oder Produktionspro- zesse unterbrochen, sondern auch komplette Unternehmensnetz- werke lahmgelegt werden können. Öffentliche Einrichtungen bzw. sicherheitsrelevante Unternehmen sind mittlerweile ebenfalls ver- mehrt Gegenstand von Cyberan- griffen. Die neue NIS-2-Richtlinie, welche am 17.10.2024 in Kraft getreten ist, legt hierzu strengere Cybersicherheitsstandards fest, die vorher nur durch KRITIS-Unterneh- men erfüllt werden mussten. Prof. Dr.-Ing. Kai-Oliver Detken ist Dozent an der Hochschule Bremen und Geschäftsführer der DECOIT GmbH & Co. KG Was in erster Linie als ein weiterer Schritt zur gestei- gerten Cybersicherheit zu verstehen ist, stellt die betroffenenUnterneh- men vor nicht unerhebliche Herausforderun- gen. Die Erfüllung der Richtlinien erfordert sowohl hohe finanzielle Aufwendungen als auch umfangreichen personellen Einsatz, welcher oftmals nicht vorhanden ist. Die DECOIT bietet hierfür mit der ScanBox eine bedienerfreundliche Lösung zur Analyse und Dokumentation von Cyberangriffen. DieRichtlinie stellt eine umfassende Erweiterung der bisherigenCybersicherheits- vorgaben dar und verpflichtet Unternehmen und Institutionen mit kritischer IT-Infra- struktur zu strengeren Maßnahmen sowie zur Meldung erfolgter Sicherheitsvorfälle. Sie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen inner- halb der EU. Diese sind verpflichtet, ein umfassendes Risikomanagement zu imple- mentieren. Beinhaltet sind unter anderem regelmäßige Sicherheitsanalysen, Absiche- rung kritischer Systeme durch geeignete technische und organisatorischeMaßnahmen sowie die kontinuierliche Überwachung und Reaktion auf sicherheitsrelevante Er- eignisse. Zudem unterliegen sie strengen Meldepflichten für Sicherheitsvorfälle, um eine frühzeitige Reaktion und Schadensbe- grenzung zu gewährleisten. Betroffen sind neuerdings unter anderem KMUs aus den Bereichen Abfall- und Wasserwirtschaft, Produktion & Verarbeitung und Verwalter von IKT-Diensten ab 50 Mitarbeitern und 10Mio. Euro Umsatz. Energieversorger, Ge- sundheitswesen und Finanzdienstleistungen waren bereits seit 2016 betroffen. Bei einer Missachtung der Richtlinie kann dies zu erheblichen Sanktionen führen; darunter hohe Geldstrafen, Einschränkungen imGe- schäftsbetrieb und in besonders schweren Fällen sogar zur persönlichen Haftung von Geschäftsführern und Vorständen. Gleichwohl kommt es bei der Um- setzung der NIS-2-Richtlinie inDeutschland wie auch in weiteren EU-Staaten vielfach zu Verspätungen. Selbst KRITIS-Unternehmen befinden sich oftmals noch mitten im Um- setzungsprozess. Der Grund hierfür liegt zum einen in dem hohen zu investierenden Zeitaufwand, der Komplexität der Aufgabe, Die neue NIS-2-Richtlinie stellt die Erweiterung der bisheri- gen Cybersicherheitsvorgaben dar und stellt Unternehmen vor große Herausforderungen (Foto: Adobe Stock/Decoit)