NIS 2: “Zeitlich wird es knackig”

Es stellt sich nicht die Frage, ob Unternehmen NIS 2 noch schaffen, sondern eher wie, sagt Hannes Wierer von Nomios im Interview.

Herr Wierer, noch ist die NIS-2-Direktive der EU nicht in nationale Recht überführt. Fest steht aber: Noch in diesem Jahr wird es NIS 2 in Deutschland geben. Es bleibt wenig Zeit für die Umsetzung. Wie gut sind deutsche Unternehmen auf NIS 2 vorbereitet?

Hannes Wierer: Da gibt es solche und solche. Insgesamt sind rund 30.000 deutsche Unternehmen davon betroffen. Und der Reifegrad der individuellen IT-Strategie und deren Implementierung unterscheidet sich von Unternehmen zu Unternehmen stark. Das liegt auch an den jeweiligen Geschäftsmodellen und daraus resultierenden Strategien. Im Zentrum stehen dabei Faktoren wie die Daten, mit denen ich als Unternehmen hantiere, der Entwicklungsstand meiner Netzwerke und Systeme oder auch schlicht, wie viel Manpower ich in die IT-Sicherheit investieren kann. Deutsche Unternehmen sind da sehr unterschiedlich aufgestellt. Aber im Querschnitt der deutschen Unternehmen sieht es so aus, dass wir was den Bereich von Konnektivität und Sicherheit angeht, noch an mancher Stelle Nachholbedarf haben.

Welche Auswirkungen haben die neuen Rechtsvorschriften?

Unternehmen und Organisation die als wesentlich eingestuft wurden und die Anforderungen der NIS2 nicht erfüllen, drohen hohe Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes. Personen mit entsprechenden Befugnissen oder Führungsaufgaben im Bereich der Cybersicherheit können persönlich für die Nichteinhaltung der Vorschriften verantwortlich gemacht werden. Es gibt für Unternehmen also viele gute Gründe, spätestens jetzt zu handeln.

Läuft dem deutschen Mittelstand nicht mit Blick auf die Umsetzung der Richtlinie die Zeit weg? Wie können Unternehmen damit umgehen?

Salopp gesagt, wird es zeitlich knackig. Aber eigentlich stellt sich nicht die Frage, ob es Unternehmen noch schaffen, sondern wie. Denn NIS2 ist nunmal eine Richtlinie, die muss umgesetzt werden. Deshalb ist spätestens jetzt Handlungsbedarf, um im Oktober 2024 bestens aufgestellt zu sein. Aber ich gebe Ihnen recht – viel Zeit bleibt nicht mehr. Deshalb bietet es sich an, sich Unterstützung von einem Partner zu holen. Ein gangbarer Weg ist eine Managed-SOC-Lösung, wie wir sie bei Nomios Germany anbieten.

Warum denken Sie, dass viele Unternehmen den Gefahren von Cyberangriffen anscheinend noch keine Priorität einräumen?

Es liegt zum Teil daran, dass die Gefahr eines Cyberangriffs unterschätzt wird. Die betrifft aber nicht nur Behörden oder die ganz großen Unternehmen. Deshalb scheinen sich manche vor der Investition zu scheuen. Aber es sind eben nicht nur DAX-Konzerne, sondern auch erfolgreiche Mittelständler und Hidden Champions zunehmend von einer wachsenden Bedrohung durch Cyberkriminelle betroffen. Ich denke Unternehmen müssen verstehen, dass sich die Prävention lohnt und Vorsicht im Fall von Cybersecurity besser ist, als Nachsicht. Um das zu verdeutlichen helfen vielleicht ein paar Zahlen: Laut einer im August 2023 veröffentlichten Statistik des Bundeskriminalamts und des Branchenverbands Bitkom entstehen für deutsche Unternehmen durch Cyberattacken jährliche Schäden in Höhe von über 200 Milliarden Euro.

Erkennen Sie bei deutschen Unternehmen denn eine intrinsische Motivation, den Gefahren entgegenzutreten?

Ich denke, da wo es die entsprechenden IT-Fachkräfte gibt, die sich mit dem Thema auseinandersetzen und dafür auch das entsprechende Know-How mitbringen, besteht auch bei der dadurch gut informierten Unternehmensführung ausreichend Bewusstsein für die Wichtigkeit des Themas. Man muss aber auch einfach sagen, dass die Suche nach Spezialisten für die Cyber Security vor dem Hintergrund des grassierenden IT-Fachkräftemangels für viele Unternehmen gerade schwierig, langwierig und kostspielig scheint. Gleichzeitig erhöht sich aber der Druck auf Unternehmen durch die rasant wachsende Bedrohungslage professioneller Hacker im Zeitalter der Digitalisierung. Aus diesem Dilemma müssen Unternehmen einen Ausweg finden.

Welche Rolle kann KI bei der Lösung spielen?

Ich sehe hier große Chancen. Die wachsende Bedeutung von KI-Funktionen im sich schnell entwickelnden Bereich der Cybersicherheit bedeutet einen wichtigen Wandel hin zu intelligenteren und autonomeren Cybersicherheitssystemen. Ein Beispiel ist Artificial Intelligence for IT Operations, kurz AIOps. Diese Systeme entlasten die internen Operation Teams signifikant – zum Beispiel mit trainierten Sprachmodellen, die man nach Lösungen bei auftretenden Problemen fragen kann oder auch mit vollautomatisierten Arbeitsschritten. Im Bereich Security nimmt die KI eine ganz wesentliche Rolle ein, Bedrohungsmuster bzw. Patterns selbstständig zu identifizieren, Gegenmaßnahmen einzuleiten bzw. das interne Security Operation Center zu alamieren.

Aber auch wenn die KI eine immer wichtigere Rolle einnimmt, kann sie nicht ohne menschliche Intelligenz existieren. Menschen werden immer gebraucht, um diese KI-gesteuerten Systeme zu überwachen, einzustellen und Ergbenisse im Betrieb zu steuern. Während moderne Systeme bei Aufgaben wie der Sammlung und Analyse von Bedrohungsdaten hervorragende Arbeit leisten, sorgen menschliche Experten für den Kontext und die strategische Entscheidungsfindung, die Maschinen nicht nachahmen können.

Einige Unternehmen bieten Services rund um die NIS-2-Umsetzung an. Wie unterstützt Nomios konkret bei der Umsetzung?

Nomios Germany ist im Verbund mit mehr als 400 europäischen Experten der Gruppe in der Lage, die standardisierten NIS2-Anforderungen passgenau für alle betroffenen Unternehmen zu erfüllen. Und das bereits in Tagen. Dafür analysieren wir den Reifegrad der Organisation und bringen die bestehenden internen Ressourcen in Einklang mit unseren Lösungen. Hierbei setzen wir auf die Mischung aus echten Menschen, führenden Hersteller-Lösungen sowie Automation.

Damit können wir die internen IT-Teams auf Kundenseite vollumfänglich entlasten: Mit dem Managed NOC (Network Operation Center) oder dem Managed SOC (Security Operation Center) werden zum Beispiel komplexe Aufgaben in Netzwerk und Security ausgelagert. Wir übernehmen hier Projekte mit einer Mischung aus echten Menschen sowie dem sinnhaften Einsatz von KI .

Wird NIS2 Ihrer Meinung nach die Cyber-Security-Wende bringen?

Eine generelle Wende nicht – dafür entwickelt sich die digitale Welt zu dynamisch. NIS-2 kann aber die individuelle Wende für Unternehmen bedeuten.

Insgesamt erachte ich es aber als sinnvoll, diese Reglementierung einzuführen, um eben einen einheitlichen Mindeststandard an Sicherheit zu erreichen. Den brauchen wir besonders in Deutschland. Wichtig ist dabei zu betonen, dass am Ende die Unternehmen selbst profitieren – auch wenn NIS-2 auf den ersten Blick nach Mehrarbeit klingt. Und die Bedrohungslage wird derzeit ja auch nicht kleiner. Vor dem Hintergrund von zum Beispiel chinesischen Aktivitäten oder des russischen Angriffskrieges in der Ukraine.

 

Hannes Wierer

ist Geschäftsführer von Nomios Germany.