NIS-2-Richtlinie: Notwendige Standards, unzureichende Grundlagen

Kim Maike Finck – Cybersecurity-Expertin und Leiterin der NIS-2 Taskforce bei Cisco Deutschland

Mit dem NIS-2-Umsetzungsgesetz, das voraussichtlich im März 2025 in Kraft treten wird, erhöht sich der Druck auf europäische Unternehmen, ihre Cybersicherheitsvorkehrungen anzupassen. Die Richtlinie fordert eine umfassende Erhöhung der Cyber-Resilienz, insbesondere für die kritische Infrastruktur (KRITIS). NIS-2 setzt zudem klare Haftungsregelungen: Geschäftsführer haften künftig persönlich für Sicherheitsverstöße. Diese können zu Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes führen.

Angesichts der jährlichen Schäden durch Cyberangriffe wächst die Notwendigkeit für eine robuste IT- Cybersecurity-Strategie deutlich. Die zentrale Frage bleibt jedoch, wie Unternehmen diese Anforderungen tatsächlich umsetzen sollen.

Kürzungen im Bundeshaushalt gefährden Cybersicherheit

Cyberangriffe treffen die deutsche Wirtschaft stark. Der jährliche Schaden beläuft sich auf 267 Milliarden Euro. Mehr als 90 Prozent der deutschen Unternehmen sind betroffen, wobei Angriffe durch organisierte kriminelle Gruppen und staatlich unterstützte Akteure stetig zunehmen. Besonders die Angriffe aus China und Russland steigen an, was das Risiko für deutsche Unternehmen auf globaler Ebene erhöht. Die NIS-2-Richtlinie hat das Ziel, durch einen EU-weiten Standard Cyberbedrohungen schneller und umfassender zu begegnen. Doch obwohl der wirtschaftliche Schaden durch Cyberkriminalität auf Rekordniveau liegt, wurden im Bundeshaushalt 2025 Kürzungen von etwa 8 Milliarden Euro beschlossen und die Mittel für das Bundesamt für Sicherheit in der Informationstechnik (BSI) um 21 Millionen Euro reduziert.

Pflichten für Unternehmen und den Mittelstand

Neben den finanziellen Belastungen durch Cyberangriffe sehen sich besonders mittelständische Unternehmen mit hohen Investitionsanforderungen konfrontiert. Laut Cisco Cybersecurity Readiness Index 2023 fühlen sich derzeit nur 11 Prozent der deutschen Unternehmen gut vorbereitet auf Cyberangriffe.

Egal ob internationales Bankhaus, Behörde, Produzent im Mittelstand oder E-Commerce-Geschäft: Niemand kann sich Sicherheitspatzer durch veraltete IT-Sicherheitsapplikationen, unterschiedliche Tools, die als Silos in verschiedenen Abteilungen betrieben werden, unzureichendes Reporting bei Breaches oder langsame Reaktionszeiten auf sicherheitsrelevante Ereignisse und geschäftskritische Daten-Leaks leisten. Denn die global agierenden Cyberkriminellen arbeiten zunehmend organisiert und professionell, mit dem Ziel, Unternehmen durch gestohlene und verschlüsselte Daten zu erpressen. Oder sie lassen sich für bestimmte Einsätze von Staaten und anderen AkteurInnen rekrutieren, um die IT-Netzwerke und Geschäftsdaten von Unternehmen und Organisationen auszuspionieren oder zu sabotieren.

Hohe Sicherheitskosten durch fragmentierte Sicherheitstools

Zwischen 70 und 250 unterschiedliche Sicherheitslösungen haben deutsche Unternehmen im Einsatz – oft getrennt für Applikationssicherheit, Benutzer- und Netzwerksicherheit. Diese komplexe und kostenintensive Struktur führt dazu, dass Sicherheitstools in verschiedenen Abteilungen isoliert betrieben werden und unterschiedliche Modelle und Formate erfordern, die nicht vernetzt sind. Je mehr User und Geräte auf das Netzwerk zugreifen, desto komplexer wird die Umgebung, was die Verwaltung und Koordination dieser verschiedenen Sicherheitslösungen erheblich erschwert. Mit einer ganzheitlichen Lösung, wie etwa der Cisco Security Suites, können Unternehmen Zeit- und Kostenfresser eliminieren und ihre IT-Umgebung und sämtliche Geräte einfach schützen. Auch das Switching zwischen Sicherheitstools und Netzwerkgeräten wird dadurch verringert, was Zeit spart und die Sicherheit zusätzlich erhöht.

Strategische Lösungen für Cybersicherheit mit Cisco Security Suites

Cisco bietet verschiedene Sicherheitslösungen an, die gezielt auf die Herausforderungen der NIS-2-Richtlinie abgestimmt sind. Die einfachen Suite-Lösungen ermöglichen es Unternehmen, Sicherheitslücken zu schließen und ihre IT-Umgebung umfassend zu schützen. Die Cisco User Protection Suite gewährleistet sicheren, nahtlosen Zugriff auf alle Endgeräte und Anwendungen, wodurch die Benutzerfreundlichkeit erhöht und gleichzeitig das Risiko von Sicherheitsverletzungen minimiert wird. Die Cisco Breach Protection Suite unterstützt Unternehmen bei der frühzeitigen Erkennung und schnellen Reaktion auf Bedrohungen, um potenzielle Schäden zu minimieren und die Effizienz der Sicherheitsabläufe zu verbessern. Für hybride Multicloud-Umgebungen bietet die Cisco Cloud Protection Suite einen integrierten Ansatz, der Anwendungen, Workloads und Daten effizient schützt und die Komplexität des Sicherheitsmanagements verringert. Diese Suites basieren auf dem Zero-Trust-Prinzip und nutzen die Vorteile einer KI-Infrastruktur, um BenutzerInnen zu schützen und die effektive Abwehr von Angriffen zu beschleunigen.

Gemeinsame Verantwortung für mehr Cybersicherheit

Die NIS-2-Richtlinie stellt Unternehmen vor signifikante Herausforderungen, doch mit den richtigen Strategien und Technologien lassen sich diese erfolgreich bewältigen. Cisco Security Suites bieten maßgeschneiderte Lösungen, die nicht nur die Sicherheitsanforderungen der NIS-2-Richtlinie erfüllen, sondern auch die gesamte IT-Infrastruktur der Unternehmen stärken. Mit einem ganzheitlichen Ansatz und einem Zero Trust Network ermöglichen diese Lösungen eine proaktive Verteidigung gegen die wachsenden Cyberbedrohungen.