Was sollten wir IT-Dienstleister tun?

Zunächst sollten wir als IT-Dienstleister klären, ob wir direkt oder indirekt von NIS2 betroffen sind. So können bestimmte Kunden und in Folge man selbst in den Geltungsbereich dieser Richtlinie fallen. Das Stichwort hierzu lautet: Lieferkette.

Für wen grundsätzlich – aber nicht ausschließlich – NIS2 gilt, kann man anhand folgender Mindestanforderungen ermitteln:

• Das Unternehmen ist in einem Sektor mit hoher Kritikalität tätig
• Mindestens 250 Mitarbeitende
• Jahresumsatz ab 10 Millionen Euro oder eine Bilanzsumme ab 43 Millionen Euro

Bei mittleren Unternehmen liegen die Schwellenwerte bei

• 50 bis 249 Mitarbeitenden
• Jahresumsatz bis 10 Millionen Euro oder eine Bilanzsumme bis 43 Millionen Euro.

Das klingt zunächst nach viel, aber auch kleinste Unternehmen können aufgrund ihres Tätigkeitsbereichs als Sonderfall gelten und fallen dann ebenfalls in den Geltungsbereich von NIS2.

Und wie bereits erwähnt, ist man als ITler im Rahmen der Lieferkette oder als Erbringer bzw. Verwalter von ITK-Diensten – völlig unabhängig von Mitarbeiterzahl und Umsatz/Bilanz – eventuell ebenfalls betroffen.

Die Ziele von NIS2 sind dabei klar:

• Resilienz schaffen
• Schäden verringern
• Gemeinsames (hohes) Niveau an IT-Sicherheit etablieren

Erstrebenswert und sinnvoll, keine Frage. Schließlich möchte sich niemand von uns – weder ITler noch Kunde – mit einem IT-Sicherheitsvorfall und den unweigerlich daraus folgenden Konsequenzen herumschlagen müssen. Von Reputationsverlusten für alle Beteiligten ganz zu schweigen. Ferner muss man sich diesen Stress schlicht nicht antun, daher gilt das altbewährte Sprichwort: Vorsicht ist besser als Nachsicht.

Awareness einer der entscheidenden Faktoren

Verschiedene Vorfälle in den vergangenen zwölf Monaten haben immer wieder gezeigt, dass mitunter nur durch die Aufmerksamkeit von Administratoren und Benutzern Hacks überhaupt aufgefallen sind.

(Awareness-)Schulungen, wie sie zum Beispiel Hornetsecurity, Kaspersky oder Webroot anbieten, bilden einen Teil dieser Richtlinie ab – und das ist auch gut so, denn Technik allein ist nicht alles. Weitere Punkte sind beispielsweise MFA, Verschlüsselung uvm. – hier halten beispielsweise ESET und Hornetsecurity passende Lösungen parat.

Dass ein „Weiter so“ also gar nicht oder nur schlecht funktioniert, haben diese Hacks und IT-Sicherheitsvorfälle immer wieder eindrucksvoll gezeigt. Daher tut man gut darin, nicht nur sowohl das eigene Mindset als auch das der Kunden zu optimieren, sondern auch in Sachen IT-Sicherheitstechnik aufzurüsten oder Vorhandenes richtig einzusetzen.

NIS2-Informationswebsite bietet alles Notwendige

Es ist letztlich entscheidend, die Richtlinie zu studieren, denn diese definiert nicht nur den Geltungsbereich sowie Maßnahmen, sondern zudem die Mindestsanktionen. Anders ausgedrückt: Im nationalen Recht wird es nicht einfach in der Umsetzung und auch nicht „billig“, falls es zu einer Sanktion kommen sollte.

Neben dem Studium der Richtlinie sind zudem weitere Angebote zur Information und Schulung empfehlenswert. Die ausführliche NIS2-Informationswebsite von EBERTLANG bietet hier Inhalte, die perfekt auf uns ITler zugeschnitten sind: Expertentipps eines renommierten Rechtswissenschaftlers, prägnante Videos, ein Whitepaper mit Lösungsmatrix sowie viele weitere Materialien, die zeigen, wie sich NIS2 erfolgreich und sogar noch gewinnbringend umsetzen lässt.

Was tut mein Unternehmen konkret?

Wir selbst befinden uns aktuell noch in Klärung, inwieweit uns, unsere Kunden und Lieferanten die Richtlinie betrifft. Was aber leider auffällt: Bei vielen Unternehmen, unabhängig von der Branche, ist dieses Thema noch gar nicht bekannt oder wurde gar vorausgeplant bzw. angegangen. Mitunter haben sogar noch nicht einmal Rechenzentrums-Betreiber geprüft, ob es sie betrifft – stattdessen macht man es sich einfach und verweist darauf, dass die Kunden proaktiv auf einen zukommen müssten.

Daher: Selbst wenn man mit NIS2 auf den ersten Blick nichts zu tun zu haben scheint, ist es mehr als sinnvoll, sich mit den Neuerungen auseinanderzusetzen. Dabei geht es nicht nur darum, zu erfahren, worum es geht, sondern sich mit besserer IT-Sicherheit generell vertraut zu machen und so für sich sowie seine Kunden Verbesserungen ableiten zu können. Denn ein Mehr an (IT-)Sicherheit können wir alle durchaus gebrauchen.