BSI-Chefin hofft auf NIS2-Umsetzung „Anfang 2026“ – | Barracuda lanciert Backup-Dienst für Microsoft Entra ID | ChannelPartner
srcset=”https://b2b-contenthub.com/wp-content/uploads/2024/08/original-5-7.jpg?quality=50&strip=all 1600w, https://b2b-contenthub.com/wp-content/uploads/2024/08/original-5-7.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2024/08/original-5-7.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2024/08/original-5-7.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2024/08/original-5-7.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2024/08/original-5-7.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2024/08/original-5-7.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2024/08/original-5-7.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2024/08/original-5-7.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2024/08/original-5-7.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>Bei der Umsetzung der NIS2-Richtlinie in deutsches Recht ist laut BSI-Präsidentin Claudia Plattner “jetzt wirklich Tempo gefordert“.Jan Waßmuth
Die Bundesregierung will die NIS2-Richtlinie, eine EU-Richtlinie für den verpflichtenden Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen in Deutschland, bis Anfang 2026 gesetzlich verankern. „Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran“, sagte Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der Deutschen Presse-Agentur. “Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann.“
Zu dem Entwurf, der unter anderem die Pflicht zur Risikoanalyse und zur Meldung von Sicherheitsvorfällen bestimmt, wurden laut Innenministerium Anfang Juli die Länder und betroffene Verbände angehört. „Wichtig ist, dass die Unternehmen und Institutionen den Startschuss hören“, betont die BSI-Chefin.
Den Startschuss hätten sie eigentlich schon längst hören sollen: Schließlich sollte die Umsetzung eigentlich schon 2024 erfolgt sein. Eine verspätete Eilentscheidung konnte die vorherige Bundesregierung nicht mehr durchbringen. Deshalb fing mit der neuen Regierung der gesamte Gesetzgebungsprozess erneut an.
Ziele der NIS2-Richtlinie
Mit der Umsetzung der europäischen NIS2-Richtlinie sollen Unternehmen und Institutionen verpflichtet werden, mehr Cybersicherheit zu schaffen. Betroffen sind knapp 30.000 Firmen, die als wichtige Einrichtung im Sinne des Gesetzes gelten. Dazu gehören unter anderem größere Unternehmen der Sektoren Energie, Verkehr, Trinkwasser, Lebensmittelproduktion, Abwasser und Telekommunikation. Denn wenn sie nicht mehr arbeitsfähig wären – etwa weil Kriminelle ihre Daten verschlüsselt oder den Zugriff darauf blockiert hat – hätte das erhebliche Auswirkungen auf die Bevölkerung.
Seit ungefähr vier Monaten ist ein „NIS-2-Betroffenheitstest“ des BSI online. Damit können Einrichtungen herausfinden, ob die strengeren Regeln für sie gelten oder nicht. Der Test wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: „Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm.“
Umsetzungsfrist verpennt
Die Frist für die NIS2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland hat ebenso wie zahlreiche andere EU-Staaten die Frist nicht eingehalten.
Die Ampel-Koalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag.
„Dadurch, dass wir es in der letzten Legislaturperiode nicht mehr geschafft haben, ist da jetzt wirklich Tempo gefordert“, mahnt die BSI-Präsidentin. Aus ihrer Sicht sei es besser, die Richtlinie rasch umzusetzen und später gegebenenfalls noch einmal nachzubessern.
BSI-Präsidenten zur Cyber-Sicherheitslage
Deutsche Unternehmen, Behörden, Forschungsinstitute und auch Einrichtungen in der Politik würden derzeit auf einem relativ hohen Niveau dauerhaft angegriffen. Das Gesetz werde dafür sorgen, das Risiko zu reduzieren, dass diese Angriffe erfolgreich sind, erklärt Plattner.
Aktuell beobachtet das BSI nach eigenen Angaben viele Lieferketten-Angriffe. Dabei geht es etwa um Ingenieursbüros oder IT-Firmen, bei denen sich hinterher oft herausstellt, dass nicht der Dienstleister das eigentliche Angriffsziel war, sondern Firmen oder Institutionen, die ihre Kunden sind. „Das können auch Behörden oder Institutionen aus dem politischen Raum sein“, sagt Plattner.
Manchmal sei auch nicht ganz klar, ob es um eine rein kriminelle Operation geht oder womöglich auch ein staatlicher Akteur im Hintergrund eine Rolle spielt. In einigen Fällen sei beides relevant. „Es gibt da unheilige Allianzen zwischen finanziell motivierten und politischen Akteuren“, berichtet die BSI-Präsidentin.
Ein Angriff hatte in den vergangenen Tagen etwa einen massiven IT-Ausfall verursacht und für Probleme in den deutschen Einrichtungen des Gesundheitskonzerns Ameos gesorgt. In Sachsen-Anhalt waren am Donnerstag mehrere Internetseiten von Ministerien kurzzeitig nicht aufrufbar. Grund sei ein DDoS-Angriff einer prorussischen Hackergruppe auf das Landesportal, gewesen, hieß es.
Bei Musterschülern reichen Bordmittel
Der Aufwand, den die einzelnen Unternehmen und Einrichtung betreiben müssen, um die Verpflichtungen aus der NIS2-Richtlinie zu erfüllen, ist nach Einschätzung von Plattner nicht pauschal zu beziffern. Wer eine gute IT-Abteilung habe und sich auch jetzt schon um Cybersicherheit kümmere, werde die Herausforderungen häufig auch „mit Bordmitteln“ bewältigen können.
Bei denjenigen, die sich noch nie um das Thema gekümmert hätten, werde dagegen „die Lernkurve deutlich steiler sein“. Die Leiterin der Bundesbehörde, die ihren Hauptsitz in Bonn hat, verspricht hier Unterstützung. „Wir bemühen uns, das mit unseren Informations- und Beratungsangeboten für die Unternehmen so schmerzfrei wie möglich zu machen.“ Ein Werkzeug, mit dem MSPs und Unternehmen prüfen können, wie weit sie mit ihren NIS2-Bemühungen bereits vorangekommen sind, bietet zudem auch Security-Spezialist Sophos an. (Anne-Beatrice Clasmann, dpa / pma)
Systemhäuser und die NIS2-Richtlinie
Keine Angst vor der NIS2-Umsetzung
NIS2 verschoben– was jetzt zu tun ist
Wie Remote-Zugriff mit der NIS2-Richtlinie aussehen sollte
Jan Waßmuth
Die Bundesregierung will die NIS2-Richtlinie, eine EU-Richtlinie für den verpflichtenden Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen in Deutschland, bis Anfang 2026 gesetzlich verankern. „Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran“, sagte Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der Deutschen Presse-Agentur. “Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann.“
Zu dem Entwurf, der unter anderem die Pflicht zur Risikoanalyse und zur Meldung von Sicherheitsvorfällen bestimmt, wurden laut Innenministerium Anfang Juli die Länder und betroffene Verbände angehört. „Wichtig ist, dass die Unternehmen und Institutionen den Startschuss hören“, betont die BSI-Chefin.
Den Startschuss hätten sie eigentlich schon längst hören sollen: Schließlich sollte die Umsetzung eigentlich schon 2024 erfolgt sein. Eine verspätete Eilentscheidung konnte die vorherige Bundesregierung nicht mehr durchbringen. Deshalb fing mit der neuen Regierung der gesamte Gesetzgebungsprozess erneut an.
Ziele der NIS2-Richtlinie
Mit der Umsetzung der europäischen NIS2-Richtlinie sollen Unternehmen und Institutionen verpflichtet werden, mehr Cybersicherheit zu schaffen. Betroffen sind knapp 30.000 Firmen, die als wichtige Einrichtung im Sinne des Gesetzes gelten. Dazu gehören unter anderem größere Unternehmen der Sektoren Energie, Verkehr, Trinkwasser, Lebensmittelproduktion, Abwasser und Telekommunikation. Denn wenn sie nicht mehr arbeitsfähig wären – etwa weil Kriminelle ihre Daten verschlüsselt oder den Zugriff darauf blockiert hat – hätte das erhebliche Auswirkungen auf die Bevölkerung.
Seit ungefähr vier Monaten ist ein „NIS-2-Betroffenheitstest“ des BSI online. Damit können Einrichtungen herausfinden, ob die strengeren Regeln für sie gelten oder nicht. Der Test wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: „Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm.“
Umsetzungsfrist verpennt
Die Frist für die NIS2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland hat ebenso wie zahlreiche andere EU-Staaten die Frist nicht eingehalten.
Die Ampel-Koalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag.
„Dadurch, dass wir es in der letzten Legislaturperiode nicht mehr geschafft haben, ist da jetzt wirklich Tempo gefordert“, mahnt die BSI-Präsidentin. Aus ihrer Sicht sei es besser, die Richtlinie rasch umzusetzen und später gegebenenfalls noch einmal nachzubessern.
BSI-Präsidenten zur Cyber-Sicherheitslage
Deutsche Unternehmen, Behörden, Forschungsinstitute und auch Einrichtungen in der Politik würden derzeit auf einem relativ hohen Niveau dauerhaft angegriffen. Das Gesetz werde dafür sorgen, das Risiko zu reduzieren, dass diese Angriffe erfolgreich sind, erklärt Plattner.
Aktuell beobachtet das BSI nach eigenen Angaben viele Lieferketten-Angriffe. Dabei geht es etwa um Ingenieursbüros oder IT-Firmen, bei denen sich hinterher oft herausstellt, dass nicht der Dienstleister das eigentliche Angriffsziel war, sondern Firmen oder Institutionen, die ihre Kunden sind. „Das können auch Behörden oder Institutionen aus dem politischen Raum sein“, sagt Plattner.
Manchmal sei auch nicht ganz klar, ob es um eine rein kriminelle Operation geht oder womöglich auch ein staatlicher Akteur im Hintergrund eine Rolle spielt. In einigen Fällen sei beides relevant. „Es gibt da unheilige Allianzen zwischen finanziell motivierten und politischen Akteuren“, berichtet die BSI-Präsidentin.
Ein Angriff hatte in den vergangenen Tagen etwa einen massiven IT-Ausfall verursacht und für Probleme in den deutschen Einrichtungen des Gesundheitskonzerns Ameos gesorgt. In Sachsen-Anhalt waren am Donnerstag mehrere Internetseiten von Ministerien kurzzeitig nicht aufrufbar. Grund sei ein DDoS-Angriff einer prorussischen Hackergruppe auf das Landesportal, gewesen, hieß es.
Bei Musterschülern reichen Bordmittel
Der Aufwand, den die einzelnen Unternehmen und Einrichtung betreiben müssen, um die Verpflichtungen aus der NIS2-Richtlinie zu erfüllen, ist nach Einschätzung von Plattner nicht pauschal zu beziffern. Wer eine gute IT-Abteilung habe und sich auch jetzt schon um Cybersicherheit kümmere, werde die Herausforderungen häufig auch „mit Bordmitteln“ bewältigen können.
Bei denjenigen, die sich noch nie um das Thema gekümmert hätten, werde dagegen „die Lernkurve deutlich steiler sein“. Die Leiterin der Bundesbehörde, die ihren Hauptsitz in Bonn hat, verspricht hier Unterstützung. „Wir bemühen uns, das mit unseren Informations- und Beratungsangeboten für die Unternehmen so schmerzfrei wie möglich zu machen.“ Ein Werkzeug, mit dem MSPs und Unternehmen prüfen können, wie weit sie mit ihren NIS2-Bemühungen bereits vorangekommen sind, bietet zudem auch Security-Spezialist Sophos an. (Anne-Beatrice Clasmann, dpa / pma)
Systemhäuser und die NIS2-Richtlinie
Keine Angst vor der NIS2-Umsetzung