NIS-2-Umsetzungsgesetz soll 2025 in Kraft treten
Die NIS-2-Richtlinie ist eine EU-Verordnung zur Cybersicherheit von Netz- und Informationssystemen. Sie soll die Widerstandsfähigkeit gegenüber Cyberangriffen stärken und die Reaktionsfähigkeit auf Sicherheitsvorfälle verbessern.
Was regelt sie? Cybersicherheitsanforderungen und Sanktionen für kritische und andere Sektoren sowie für die Lieferkette
Wer ist betroffen? Ca. 30.000 Unternehmen und Organisationen in 18 kritischen Sektoren, darunter auch viele Lieferanten
Was müssen sie tun? IT-Sicherheitsmaßnahmen umsetzen und Vorfälle melden
Wie können sie sich vorbereiten? Maßnahmen ergreifen wie Cyber-Risikomanagement, Verschlüsselung, Zutrittsbeschränkungen
Wie wird sie umgesetzt? Durch das Gesetz zur Umsetzung der NIS-2Richtlinie und zur Stärkung der Cybersicherheit (kurz NIS2UmsuC), das 2025 in Kraft treten soll
Die NIS-2-Richtlinie ersetzt die NIS-Richtlinie aus dem Jahr 2016. Sie gilt für Unternehmen, die Dienstleistungen in der EU erbringen oder dort tätig sind. Praktisch umgesetzt werden soll die Richtlinie durch das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, das NIS2UmsuCG – es soll noch 2025 in Deutschland in Kraft treten. Aufgrund der vorgezogenen Bundestagswahl gibt es aktuell Verzögerungen.
Unser Tipp: Um zu prüfen, ob ein Unternehmen von der NIS-2-Richtlinie betroffen ist, kann die NIS-2-Betroffenheitsprüfung des Bundesamtes für Sicherheit in der Informationstechnik genutzt werden.
IT-Security im Anwenderumfeld: Schutz der SAP-Landschaft
98 der 100 größten Unternehmen der Welt nutzen SAP – hat die Wirtschaftsprüfungsgesellschaft KPMG jüngst ermittelt und zeigt damit auf, wie wichtig ein Schutz der SAP-Landschaft für Unternehmen ist. Denn Cyberangriffe sind nicht nur grundsätzlich häufiger geworden, sondern auch deutlich komplexer und mit einem immer breiter gefächerten Spektrum an Angriffspunkten, bis hin zur Kompromittierung sensibler SAP-Daten.
Warum SAP? KPMG sagt, dass bis vor Kurzem die SAP-Landschaft eines Unternehmens lediglich als ein rein internes Finanzsystem betrachtet worden sei. Dieser enge Fokus habe zu der Annahme geführt, dass Sicherheit schlicht eine Frage der Kontrolle des Benutzerzugriffs, der Beseitigung von Funktionstrennungskonflikten und der Implementierung eines strengen Kontrollmechanismus bezogen auf Systemänderungen gewesen sei.
Aber nach Ansicht der Wirtschaftsprüfer würden SAP-Systeme aufgrund des hohen Werts der darin gespeicherten Daten zunehmend zum Ziel von Cyberangriffen. Zahlen belegen: 64 Prozent aller ERP-Systeme einschließlich SAP seien in den letzten 24 Monaten angegriffen worden. An durchschnittlichen Kosten bei Sicherheitsvorfällen mit Datenverlust in Deutschland seien 5,3 Millionen US-Dollar angefallen. KPMG empfiehlt, dass Unternehmen ganzheitliche SAP-Sicherheits- und Governance-Strategien einführen sollten, die den gesamten SAP-Technologie-Stack sicherten. Dies erfordere die Fähigkeit, Bedrohungen in Bezug auf SAP-Cybersicherheit proaktiv zu erkennen, um Risiken entgegenzuwirken.
Diese Schlüsselfragen gilt es nach Ansicht der Experten zu beantworten:
- Haben Sie eine SAP-Sicherheitsstrategie eingeführt, die alle relevanten SAP-Sicherheitsaspekte abdeckt?
- Sind die Aufgaben und die Verantwortlichkeiten für die Aspekte der SAP-Sicherheit klar definiert?
- Liegt für jedes SAP-System ein Konzept für Rollen und Berechtigungen vor, und existiert eine systemübergreifende Access-Governance-Strategie?
- Wie wird die rechtzeitige Implementierung von SAP-Sicherheitshinweisen gewährleistet?
- Wie werden verdächtige Aktivitäten überwacht?
- Wie werden die Netzwerkschicht, die Betriebssysteme und die Datenbanken gesichert?
Wer hat schon eine Cyberversicherung?
Wenn plötzlich wichtige Daten nach einem Angriff mit Schadsoftware verschwunden sind oder jemand anderes sich im Internet der eigenen Identität bemächtigt und damit Schäden verursacht, können Unternehmen und Anwender:innen zu Opfern von Internetkriminalität werden – und das kann schnell teuer werden. Abhilfe versprechen Cyberversicherungen – sie bieten eine Absicherung gegen unterschiedliche Risiken, die von Police zu Police variieren können. Dazu gehören Vermögensschäden, die oft bis zu einer bestimmten Grenze versichert sind. Die Versicherungen decken auch spezifische Risiken wie Online-Betrug durch Fake-Shops und Identitätsmissbrauch ab. Daneben bieten manche Versicherungen zusätzliche Unterstützung wie einen schnellen Zugriff auf technische oder juristische Beratung sowie Maßnahmen zur Datenrettung. Allerdings haben derzeit die wenigsten Internetnutzer:innen in Deutschland eine entsprechende Absicherung. Nur 2 Prozent haben eine eigenständige Cyberversicherung abgeschlossen, bei 5 Prozent besteht ein vergleichbarer Versicherungsschutz, etwa durch eine Rechtsschutz- oder Haftpflichtversicherung. Das sind Ergebnisse einer repräsentativen Befragung von 1.021 Personen in Deutschland ab 16 Jahren, die das Internet nutzen, im Auftrag des Digitalverbands Bitkom. Drei Viertel (76 Prozent) haben keinen Cyber-Versicherungsschutz und 14 Prozent wissen nicht, ob bestehende Versicherungen möglicherweise solche Risiken abdecken.
Eine breite Mehrheit der Internetnutzer:innen wünscht sich zugleich mehr Einsatz der Polizei gegen Cyberbedrohungen. 91 Prozent fordern, dass die Polizei mehr Präsenz im digitalen Raum zeigen muss und zum Beispiel aktiv soziale Netzwerke oder Online-Foren überwachen sollte. 81 Prozent wünschen sich höhere Strafen für Cyberkriminalität. Und 76 Prozent sagen, die Polizei sollte zusätzliche Befugnisse erhalten, um gegen Cyberkriminalität vorzugehen.
