NIS-2-Richtlinie in der Praxis

00:00:04: Herzlich willkommen zurück bei Comforttalking, der Starface Podcast. In der heutigen Folge reden wir über die NIS-2-Richtlinie, deren Umsetzung ja für

00:00:11: ein gemeinsames Sicherheitsniveau von Netz- und Informationssystemen innerhalb der ganzen EU sorgen soll. Zu Gast bei uns ist Oliver Bauchinger, CPO Cybersecurity der Netz16 GmbH.

00:00:21: Er erklärt uns die Hintergründe der NIS-2-Richtlinie, wie sie im Zusammenhang mit anderen Gesetzgebungen und Normen rund um IT-Sicherheit steht und welche Unternehmen sie überhaupt umsetzen müssen.

00:00:34: wenn sie richtig und konform werden wollen. Wir wünschen euch viel Spaß beim Zuhören. Wir sitzen hier mal wieder heute in digitaler Runde zusammen mit Oliver von netz16.

00:00:45: Oliver, bevor ich dich großartig vorstelle und eure Firma und was ihr alles macht, würde ich einfach mal direkt das Wort an dich abgeben.

00:00:53: Dann kannst du vielleicht einmal kurz unsere Zuhörenden hier abholen, warum du hier bist und was so dein Steckenpferd wäre oder ist.

00:01:01: Ja, hallo an euch. Danke erstmal, dass ich dabei sein darf beim Podcast. Mein Name ist Oliver Dauginger, ich bin bei der NET16 mit unserem Headquarter in Augsburg

00:01:13: verantwortlich für das Thema Cybersecurity, das Portfolio Cybersecurity. Ich bin aber auch oft in Kundengesprächen, um die Kunden strategisch rund um Cybersecurity

00:01:23: zu beraten. Wir sind ungefähr 200 Mitarbeiter im Managed Service Provider, ganz spezifisch auch Managed Security Service Provider. wo wir alle Cyber Security-Themen mit unseren Kunden zur Verfügung stellen.

00:01:37: Okay, guter Rundumschlag, danke dafür. Ja, genau, wir sitzen ja so ein bisschen hier, um uns so ein bisschen mit der NES-2-Richtlinie auseinanderzusetzen,

00:01:47: bzw. im ersten Schritt mit der NES-Richtlinie und dann ja im speziellen Fall der zweiten Version, sage ich jetzt mal davon.

00:01:55: Kannst du mal... einen kurzen Rundumschlag geben, was denn diese Richtlinie umfasst für alle, die jetzt vielleicht nicht so ganz in dem Thema technisch drin sind, dass wir mal so eine Grundlage haben, worauf wir jetzt gerade unsere Unterhaltung hier basiert.

00:02:12: Ja, gerne. Also nehmen wir einfach mal das Thema NIS, Akronym für Network and Information Security, also auf Deutsch Informations. also Netzwerk- und Info Das ist eine damalige EU-Direktive aus dem Jahr schon 2016.

00:02:32: Das ist schon eine ganze Zeit lang her. Und da ging es darum, eigentlich mal grundsätzlich auf EU-Ebene Sicherheit für Netz- und Informationssysteme zu stärken.

00:02:47: Und man muss ja verstehen, das sind EU-Direktiven. die nicht sofort wirksam sind. Das heißt, es muss in den Ländern

00:02:53: erst mal im nationales Recht umgesetzt werden. Das ist auch natürlich geschehen in Deutschland

00:02:59: damals in das sogenannte IT-Sicherheitsgesetz in der Fassung 1.0 damals, mit dem Fokus auf kritische Infrastruktur.

00:03:08: Kritische Infrastrukturen kennt jeder vielleicht mal so ein paar Energie, Strom, Wasserversorgung,

00:03:15: Finanzen, große digitale Infrastrukturen, also die großen Provider, die wir so kennen. Aber natürlich auch Ernährungsbranche war dort mit in der NIS 1 praktisch schon reguliert.

00:03:27: Ok, genau. Jetzt sind wir von der ursprünglichen NES-Richtlinie zu NIS 2 gekommen. Was, also erstmal warum gab es davon, ich sage mal eine zweite Version, was wurde ergänzt,

00:03:42: wie wurde die erweitert und warum ist, ich finde gerade diese NES 2-Richtlinie jetzt so breit diskutiert, gerade auch in unserer Branche natürlich.

00:03:55: Also, wie ich es gerade schon mal erwähnt habe, die NIS 1 ist ja vor 2016. Also das heißt, das ist ja auch schon mittlerweile acht Jahre her

00:04:03: und jeder weiß in der IT Security, da geht es sehr schnell. Und das heißt, es muss natürlich an diese Gegebenheiten

00:04:11: rein technisch angepasst werden. Und jeder weiß, die Welt hat sich schnell weitergedreht. Wir haben massive Cyberbedrohungen, Cyberwars, die auch stattfinden durch auch Kriegsszenarien,

00:04:25: die also nicht nur physisch, sondern auch im Cyberraum durchgeführt werden. Und darauf zieht jetzt auch natürlich die NIST-2-Richtlinie ab, eben auf EU-Ebene die

00:04:36: Unternehmen und die gesamten Organisationen in der IT-Sicherheit zu stärken. Also das sind jetzt mal einfach die Hintergrundthemen, warum es einen NIST 2 gibt.

00:04:45: Die Welt hat sich weiter gedreht, geändert. Die Cyberbetrohung hat sich verschärft und deswegen eben die neue NIST 2,

00:04:53: die sich natürlich mit viel größeren Themen als den NIST 1 befasst, also nicht mehr nur Kritis-Unternehmen sind dort eben drinnen.

00:05:02: Es geht aber auch bei der NIST 2 um die Zusammenarbeit auf EU-Eben, ja, also IT und Digitalisierung macht ja nicht am physischen Landesgrenzen Ende,

00:05:13: sondern das ist sehr übergreifend. Und da geht es jetzt das erste Mal darum, das Ganze zu harmonisieren, also ein Sicherheitsniveau auf EU-Ebene zu generieren,

00:05:24: das dann in den Ländern umgesetzt wird. Zweites Thema in der NIST 2, das Unterschied zur NIST 1, in der ganz groß erweiterte Anwendungsbereich.

00:05:34: Das heißt also viel mehr Branchen als die ursprünglichen Kritikbranchen sind jetzt inkludiert. Und das Dritte, was auch in der NIST 2 ganz markant ist,

00:05:46: es werden wesentlich höhere Sich also nicht nur an die kritischen Infrastrukturen, sondern auch an die neuen Unternehmen, die jetzt unter NIST 2 fallen.

00:05:56: Man spricht dann von den wichtigen und besonders wichtigen Einrichtungen, wie die mit den höheren Sich umzugehen haben.

00:06:09: Das ist eigentlich der große Unterschied zu NIST 2, also hauptsächlich der große Anwendungsbereich.

00:06:14: Viel mehr Unternehmen, die jetzt unter den NIST 2 neu fallen werden. Was sind denn das für Unternehmen, die jetzt, oder ich sag mal, was sind denn...

00:06:23: der größte Stamm an Unternehmen, der jetzt dazugekommen ist und auch unter diese neue Richtlinie fällt, bzw. vielleicht auch, wie kann man rausfinden, ob man als Unternehmen

00:06:33: diese Richtlinie erfüllen muss überhaupt? Also, dann springen wir nochmal zurück zu dem NIS 1-Thema. Da waren so acht Branchen definiert, diese Kritis-Branchen.

00:06:43: Ich nenne mal einfach ein paar Energie, haben wir schon mal gehabt, Transport, Finanzmärkte, Gesundheit waren da drinnen, Trinkwasser. großen digitalen Infrastrukturen drinnen, Lebensmittel.

00:06:54: Und jetzt eben durch den Ness 2 kommen viel andere Branchen dazu, also das Bankwesen zum Beispiel, was natürlich auch sehr viel

00:07:01: neue Kreditinstitute mit reinbringt. Springwasserwarnung ist eins, jetzt ist auch Abwasser- Entsorgung ist auch mit drin, also alle Betriebe,

00:07:11: die die Abwasser-Entsorgung haben. IKT-Dienste, also typischerweise auch die NET16. Vielleicht auch ihr in der Zukunft. Also Managed Service Provider, Managed Security Service Provider,

00:07:24: die IKT-Dienste anbieten am Markt. Dann Weltraum, Bodeninfrastruktur zum Beispiel auch neu. Post-Kurier-Dienste sind neu. Dann ist zwei Abfa Chem

00:07:37: Aber der weiters größte Teil, der Unternehmen betreffen wird, ist dann wirklich die Industrie. Das heißt, produzierende Gewerbe.

00:07:44: Computer, Elektronik, elektrische Ausrüst, Maschinenbau, Kraftfahrzeug, Industrie, Zulieferer für Fahrzeugbauteile. Alles das ist jetzt in der NISS 2 drin und das ist der mit Abstand größte Teil,

00:07:58: der dann neue Unternehmen betreffen wird. Also nur mal zum Vergleich, die NISS 1, ist natürlich schwierig zu sagen, wie viele waren da betroffen. Man spricht so von 1000 Unternehmen unter der NISS 1.

00:08:12: Jetzt wird man schätzen, dass man Richtung 30, 40.000 Unternehmen nur in Deutschland trifft, die jetzt die NIST 2 umsetzen müssen. Und ich glaube, deine Frage war auch nochmal, wo kann man denn das rausfinden, ob man denn NIST 2 relevant ist?

00:08:29: Das ist ja für viele Unternehmen ganz, ganz wichtig, überhaupt mal zu wissen, wie starte ich das Ganze? Also es wird nicht so sein, dass irgendwann mal jemand an die Tür klopft und sagt,

00:08:39: du bist NIST 2 relevant mit deinem Unternehmen. Das wird nicht kommen. Das heißt also, die NIST 2 erwartet sehr stark die Eigeninitiative der Unternehmen,

00:08:47: sich nämlich selbst um diese Themen zu kümmern und sich selbst einzuklassifizieren in diese neue NIST 2. Also sich wirklich zu beschäftigen, was heißt das Ganze.

00:08:57: Es gibt aber auf alle Fälle mal drei Kriterien, die man mal nennen kann. Und es ist schon ein gutes. Rastung rauszufinden, ob man es zweirelevant ist. Die Branchen, da habe ich gerade schonmal

00:09:07: angesprochen, eben diese 18 Branchen, die sind auf freiem Internet findbar. Es ist also nicht schwer, sich darüber zu informieren, welche Branchen betroffen sind. Und jetzt geht es dann um

00:09:18: eben die Unternehmen, die innerhalb dieser Branchen betroffen sind. Da gibt es noch zwei Kriterien, das ist die reine Größe des Unternehmens, nämlich die Mitarbeiterzahl, die dort genannt wird.

00:09:32: Und, oder steht im Gesetzestext drinnen, der Vorjahresumsatz. Und es startet dann für NIS-II-Relevanz schon bei 50 Mitarbeitenden,

00:09:44: das ist nicht viel, deutscher Mittelstand, das ist nicht sehr viel, und einen Vorjahresumsatz, der größer oder gleich 10 Millionen Euro war.

00:09:56: Das heißt, da sieht man auch... dass schon relativ kleine Unternehmen unter die NIS 2 mit der Bran fallen können. Und es sind wie gesagt 30.000 bis 40.000, was man heutzutage schätzt, die dann NIS 2 relevant sind.

00:10:14: Jetzt gibt es ja in puncto Sich eine im IT-Bereich weit verbreitete Norm, die ISO 27001. Inwiefern kann man damit schon den Grundstein legen, um auch mit der NS2-Richtlinie konform zu sein?

00:10:34: Weil das ist ja was, was gerade viele Dienstleister, Hosting-Anbieter etc. ganz stark auf diese Norm ausgerichtet sind, die zu erfüllen. Wo bestehen darin die Unterschiede? Kann man jetzt sagen, wenn ich das schon erfülle,

00:10:48: dann muss ich mir um NIST 2 gar keine Sorgen mehr machen. Was entstehen da noch an zusätzlichen Anforderungen?

00:10:56: Also grundsätzlich ist ja ISO 27001 der de facto internationale Standard für IT-I Und grundsätzlich kann man sagen, wenn man...

00:11:10: sich mit ISO 27001 beschäftigt hat, auch schon diverse Controls von ISO 27001 im Unternehmen eingeführt hat. Und diese auch lebt. Ich spreche überhaupt nicht davon, von einer Zertifizierung nach ISO 27001,

00:11:24: das ist ja kein Zwang, sich nach ISO 27001 zu zertifizieren. Aber wenn man die ISO 27001 in Teilen oder in großen Teilen umsetzt

00:11:33: oder vielleicht auch schon zertifiziert hat, dann ist man auf einem sehr, sehr guten Weg,

00:11:38: den es zwei auch... Ich würde jetzt mal sogar sagen, locker schaffen zu können. Die NIST 2 schreibt nicht vor, dass man ISO 27001 als Framework für Info verwenden soll.

00:11:53: Aber die Realität ist es, dass viel in NIST 2 aus der ISO 27001 übernommen ist. Das heißt also... Warum sollte sich auch die Nu etwas komplett Neues in Info ausdenken,

00:12:06: wenn es ein komplett globales Info Framework für ISO 27001 und den zusätzlichen Normen auch schon gibt?

00:12:15: Also, lange Rede, kurzer Sinn, mit ISO 27001 ist man sehr, sehr gut unterwegs. Aber es ist kein Zwang, das zu tun. Umgekehrt ist es aber auch so, wenn man ISO 27001 schon...

00:12:30: implementiert hat oder in der Impl ist, heißt es noch nicht, dass man deckungsgleich alles von NIST 2 auch automatisch erfüllt. Ich mache mal ein Beispiel. Wenn man zum Beispiel ISO 27001 einführt, kommt man als erstes Mal zu dem Thema, man muss einen Scope setzen.

00:12:49: Einen Scope heißt, ich suche mir heraus, was soll denn die ISO 27001 in meinem Unternehmen regeln, regulieren? und überwachen. Und wenn ich diesen Scope sehr klein wähle, vielleicht auch nur auf eine

00:13:04: Unternehmenseinheit in meinen großen Konzern machen, dann kann ich dort eine ISO 27001-Zertifizierung erlangen. Das heißt aber, ich habe den Scope so klein wie möglich gemacht, um meinen Aufwand

00:13:15: sehr klein zu halten, was ja grundsätzlich sinnvoll ist. Deswegen auch ein kleiner Hint für alle, die zuhören und die sagen, ich arbeite mit Unternehmen zusammen, die ISO

00:13:24: 27001-zertifiziert sind. Einfach mal das Zertifikat anschauen. Da steht nämlich immer der Scope dieser ISO 27001 drauf.

00:13:33: Und dann kann man eigentlich erst wirklich sehen, was ist denn dann wirklich konfront zur ISO 27001. Und das kann sehr gering und sehr klein sein.

00:13:41: Und das geht eben bei der NIST 2 eben nicht. Man kann sich also nicht einen Scope raussuchen.

00:13:46: Ich mache nur einen Teil der NIST 2 oder ich lasse auch die NIST 2 nur auf einen kleinen Teil meines Unternehmens oder meiner Produkte und Services, die ich anbiete, wirken.

00:13:56: Das ist in NIST 2 nicht möglich. Das heißt also, wenn ich mich in ISO 27001 beschränkt habe, auf einen sehr geringen Scope, muss ich den bei NIST 2 natürlich wieder groß machen

00:14:07: und auf alle Gefahren, die auf mich wirken, alle Risiken, die auf mich wirken, anwenden. Das ist eigentlich der Unterschied. Aber noch mal dazu, lange Rede, kurzer Sinn, ISO 27001, gute Sache, tun, machen

00:14:20: und dann ist man mit NIST 2 sehr gut aufgestellt. Das heißt, wenn ich jetzt als Unternehmen zum Beispiel Dienstleister habe, auch die nach ISO 27001

00:14:31: zertifiziert sind und ich beschäftige mich mit dem Thema, dass ich bei mir NIS 2-Richtlinien konform werde, lieber nochmal gegenhalten, was in diesem Zertifikat dann wirklich als Scope

00:14:40: festgehalten ist. Genau, das ist auf alle Fälle wichtig, aber auch das ist schon mal ein guter... Grundsatz zusammen, ich habe Dienstleister, die sich mit dem Thema Info

00:14:54: schon beschäftigen und das ja durch eine ISO 27001 Zertifizierung Norm auch bestätigen. Deswegen noch mal der kleine Haken, was ist wirklich der Scope?

00:15:04: Sind es auch wirklich die Dienste, die ich von meinem Provider erhalte? Sind die ISO 27001 konform oder ist es ganz was anderes in dem Teil des Zulieferers,

00:15:14: das eben nicht diesen Info entspricht? Wie sieht es denn allgemein aus bei der NIS-II-Richtlinie? Muss ich die isoliert als Unternehmen in dieses Rasterfeld erfüllen?

00:15:26: Oder inwiefern ist auch meine Lieferkette oder Dienstleistungskette betroffen davon? Also das ist ein ganz wichtiger Punkt, der für viele Unternehmen neu ist,

00:15:39: wenn es um Thema Info geht. Also man hat immer in der Vergangenheit die Info auf sich selbst, auf sein Unternehmen betrachtet.

00:15:48: Und ganz neu ist eben der NIST 2, dass dort ganz spezifisch auch von der Sicherheit in der Lieferkette gesprochen wird. Das heißt also, man muss als NIST 2 relevantes Unternehmen sich auch darum kümmern,

00:16:04: sind meine Zulieferer, die vielleicht kritisch sind für meine Produkte und Services, die ich erbringe am Markt, sind die kritisch und relevant für meine Erbringung von Diensten.

00:16:18: Und dann muss ich dafür sorgen, auch minimum überprüfen, ob diese Zulieferer auch Info so implementiert haben,

00:16:27: dass sie den Kriterien von NIST 2 entsprechen. Das heißt also, wir haben ja vorher gesagt, es geht um die NIST 2 Relevanz von Unternehmen,

00:16:36: 30.000, 40.000 ungefähr. Hier kann auch noch viel mehr Relevanz von Zulieferern dazukommen. Das heißt, es könnten potentiell noch mehr...

00:16:45: Unternehmen in Deutschland relevant werden, zwar nicht NIST 2 direkt relevant, aber als Zuliefer relevant für einen NIST 2 relevanten Kunden in der Lieferkette, dass natürlich

00:16:57: dann auch wieder Info bis in die hinterste Lieferkette Nachsicht ziehen kann. Krass. Du hast gerade eben schon von Beispielen gesprochen.

00:17:09: Jetzt haben wir gerade viel auch Theoretisches gehört, aber ich glaube, das war wichtig, um eine Grundlage zu schaffen für das, worüber wir hier gerade sprechen.

00:17:16: Hast du ein paar Beispiele vielleicht noch aus der Praxis, wo man sagt, okay, das sind so die Top 5 oder wie auch immer von Themen, die in NIST 2 relevanten Unternehmen irgendwie

00:17:29: noch nicht gegeben sind, wo man, dass man sich einfach so ein bisschen... mal was darunter vorstellen kann, über was wir da so sprechen, sage ich jetzt mal.

00:17:38: Okay. Also wir beraten ja viele Unternehmen auch rund um das Thema NIST 2, Info also egal, ob das jetzt technische Maßnahmen, aber auch organisatorische Maßnahmen sind.

00:17:51: Und wenn man jetzt mal so reinschaut, was wir dort draußen finden, also wir auditieren ja auch die Unternehmen und finden spezifische Themen, auch GAPs. Ich würde jetzt mal einfach mal anfangen mit dem, was nicht so stark ausgeprägt ist,

00:18:08: mal im deutschen Mittelstand. Also grundsätzlich, was wir sehen, ist, dass die technischen Umsetzungen eigentlich ganz gut laufen bei vielen Unternehmen.

00:18:18: Und das ist deswegen auch ganz wichtig, weil die NIST 2 immer vom Stand der Technik spricht. Also das heißt, veraltete Technologie darf in Zukunft in der NIST 2 auch nicht mehr eingesetzt werden.

00:18:28: Also der Stand der Technik muss eingehalten werden. Also das finden wir eigentlich ganz gut umgesetzt, die technischen Themen in den Unternehmen.

00:18:37: Was wir weniger gut finden, ist, dass es Prozeduren, Policies, Procedures sehr wenig gibt. Also sehr wenig dokumentiert und verschriftlich das Ganze ist.

00:18:48: Das heißt also, viel von dem Wissen über IT und IT Security ist in den Köpfen von den IT-Administratoren, von den IT-Leitern. Aber wenn der zum Beispiel nicht zur Verfügung steht, aus welchen Gründen ist dieses Wissen

00:19:03: praktisch nicht da verloren. Und das heißt also, was wir wenig finden, ist ein klassisches ISMS, also ein Info das also so eine Struktur, ein Framework gibt mit dokumentierten Prozessen, die auch nachvollziehbar sind,

00:19:19: dass es auch Dritte gut verstehen können, was täglich getan werden muss, eingehalten werden muss. um einfach die Qualität hoch zu halten in der IT-Sicherheit und der Info

00:19:32: Also das finden wir sehr selten, dass wir ein gutes Info finden. Zweites Thema ist, was sehr, sehr prägnant nicht nur in der ISO 27001 ist,

00:19:43: sondern auch in der NISZ-2 Risikomanagement. Das heißt, man braucht ein Risikomanagement, das beschrieben ist,

00:19:50: welche Maßnahmen man auf das Unternehmen wirken lässt. mit den Risiken, die man findet. Das heißt, man muss Risikoanalysen durchführen, die dokumentieren,

00:20:01: die auch immer wieder erneuern, wiederholen. Ja, und dann natürlich auch risikominimierende Maßnahmen einleiten.

00:20:09: Also nicht nur das Risiko feststellen und sagen, das ist schön, ich habe es beschrieben, sondern auch wirklich Maßnahmen umsetzen,

00:20:16: die diese Risiken mitigieren können. Das wäre also das Zweite, was was sehr oft nicht. ausreichend der Fall ist in den Unternehmen. Dann auch ein Thema, was viele auch vergessen ist,

00:20:29: IT und IT Security wird oft nur mit technischen Themen, also Infrastrukturthemen in Verbindung gebracht. Sehr wichtig ist bei allen IT Security Maßnahmen, dass man die Mitarbeiter mitnimmt,

00:20:46: also Personalsicherheit. Also es gibt ja grundsätzlich zwei Angriffspunkte auf die Infrastruktur. Und das Zweite sind die Identitäten oder Menschen im Unternehmen, die angegriffen werden.

00:20:57: Und auch die muss man mitnehmen auf diesem Pfad der Info Das heißt reine im gesamten Lifecycle des Personals, also vor der Einstellung,

00:21:06: während des Arbeitsverhältnisses und natürlich auch, wenn der Mitarbeiter des Unternehmen verlässt, auch da sind, Kontrolls umzusetzen, die natürlich die

00:21:17: Sicherheit garantieren müssen. Also ganz wichtig aber auch bei Personalsicherheit ist die Security-Erwährenis aller Mitarbeiter. Das heißt, die müssen ständig geschult werden

00:21:27: auf die neuesten Themen, Cybe Umgang mit Informationen, mit Daten, mit auch den technischen Infrastrukturen, sei es jetzt Computer, die man frei auch im Homeoffice verwenden kann.

00:21:42: Also alle diese Security-Maßnahmen, die Personen, Personal und Mitarbeiter betreffen. Sicherheit in der Lieferkette haben wir auch schon kurz mal angerissen.

00:21:51: Das ist auch ein Thema, was derzeit bei sehr wenigen Unternehmen überhaupt noch präsent ist. Das muss sehr stark beachtet werden unter dem NIS 2.

00:22:02: Und auch ein Thema, was wir sehen, was nur wirklich in Ansätzen vorhanden ist, ist Business Continuity Management. Also auf Deutschmen ist das ein IT-Notfallmanagement mit einem IT-Notfallplan,

00:22:15: der auch zur Verfügung steht an allen Orten, wo ein Notfall passieren kann. wo dann wirklich sauber beschrieben ist, auch in einer Paniksituation,

00:22:23: wie es umzugehen mit diesem Vorfall, wie komme ich schnellstmöglich wieder in ein normales Niveau meiner Operations. Also auch Backup Management, auch die Härtung des Backups.

00:22:37: Das sind die, ich würde jetzt mal sagen, fünf, sechs, sieben Themen, die wir finden, da sind Gaps noch da im deutschen Mittelstand,

00:22:44: der muss definitiv für NIST 2 überwiesen werden. Eine Frage, die mir da gekommen ist, du hast ja das Thema Risikomanagement angesprochen.

00:22:53: Jetzt macht ihr ja viele Audits in Unternehmen, speziell auch für die NS2-Richtlinie. Inwiefern hast du das Gefühl, dass man als Unternehmen sich selbst immer schwerer tut,

00:23:05: vielleicht bei sich selbst die Risiken zu identifizieren, im Gegensatz zu einem externen Dienstleister, der so einen Check durchführt?

00:23:16: Würde ich absolut bejahen, weil man setzt ja immer seine eigene Brille auf und das sind die Risiken, die ich so täglich kenne. Aber wenn man sich mal mit wirklichen Experten zusammensetzt, die vielleicht schon auch viele andere Unternehmen gesehen haben,

00:23:32: auch analysiert haben, welche Risiken dort auftreten und einfach mal neue Risiken ins Spiel bringen, die vielleicht noch gar nicht in der eigenen Betrachtung waren.

00:23:42: Da kann sehr, sehr viel Neues auch an Ideen entstehen, welche Risiken wirklich auf das Unternehmen wirken.

00:23:49: Es geht ja nicht nur um digitale Risiken, es geht um physische Risiken, Zugangsrisiken, Personalrisiken, die man im Unternehmen hat.

00:23:58: Und da können gleich mal, ich würde jetzt mal sagen, im Mittelstand gleich ein paar hundert Risiken

00:24:02: in so einer Risikoanalyse auftauchen. Wenn man denkt, ich habe so fünf bis zehn Risiken in meiner Risikoanalyse, dann kann ich einfach sagen... Das wird heutzutage nicht mehr passen. Also dreistellige Anzahl von Risiken ist ungefähr

00:24:15: mal die Größenordnung, was heutzutage so ein Mittelständler auch mal betrachten sollte. Ich glaube, manche haben vielleicht auch so das Bild im Kopf, je kleiner das Unternehmen,

00:24:26: desto weniger Risikostellen gibt es. Wie ist da deine Erfahrung? Wächst das wirklich mit der Unternehmensgröße oder ist die Anzahl da nicht groß unterschiedlich, wenn man jetzt

00:24:37: wirklich die Risiken auflistet? Also ich würde jetzt mal auf alle Fälle sagen, je größer das Unternehmen, desto mehr Risiken. Ja, klar. Weil man muss ja sagen, dass das Unternehmen, das größer ist, hat ja vielleicht mehrere Standorte.

00:24:53: Wenn ein kleines Unternehmen nur einen Standort ist, dann habe ich von der physischen Sicherheit natürlich viel weniger Maßnahmen umzusetzen, als zum Beispiel ein vernetztes Unternehmen, das vielleicht sogar global tätig ist, dann habe ich auch politische...

00:25:05: Risiken, die ich mit in mein Unternehmen einrechnen muss. Ja, aber auch natürlich bei Standorten. Die physischen Risiken, die Wasser, Strom und alles.

00:25:19: Die sind natürlich auch viel, viel größer für größere Unternehmen. Also in erster Linie ist da schon Linear, Linearität gegeben.

00:25:28: Zusammen, je größer das Unternehmen, desto mehr Risiken muss ich auch betrachten. Aber trotzdem. auch kleine Unternehmen, wir sprechen bei List 2, klein ab 50 Mitarbeitern,

00:25:38: ja das ist schon ansehliche Anzahl von Mitarbeitern, die jeder einzelne als Risiko betrachtet werden muss, bei der er vielleicht mit Computern unterwegs ist, arbeitet, mit Daten arbeitet, ja.

00:25:52: Und auch kleine Unternehmen können riesige Datenmengen haben. große Infrastrukturen, digitaler Art haben, auch in der Cloud schon sein.

00:26:01: Diese Risiken müssen betrachtet werden. Also auch kleine Unternehmen können sehr viele Risiken in sich bürgen. Hängt natürlich auch davon ab, welches Business sie betreiben.

00:26:11: Digitales Business natürlich sehr viel mit Clou auch. Da kommen sehr viele neue Risiken. Und produzierendes Gewerbe, was sehr lokal, physisch produziert,

00:26:21: weniger IT-Infrastruktur hat, hat natürlich dann auch... weniger digitale Risiken zu betrachten. Okay. Wenn ich mir jetzt das angehört habe bis hierher und ich habe das Gefühl, ohne

00:26:33: jetzt schon den Check gemacht zu haben, ich habe das Gefühl, als Unternehmen, ja, da habe ich mich noch gar nicht mit befasst, bin ich mir aber ziemlich sicher, dass ich

00:26:41: auch unter diese Richtlinie fallen werde. Wo kann ich als erstes ansetzen oder ist es wie bei der DSGVO damals, dass viele erst mal warten, was passiert, ob das jetzt wirklich

00:26:51: Pflicht wird oder wo kann ich ansetzen, um... um auf der sicheren Seite zu sein. Also als erstes muss man ja mal feststellen, der Termin ist der 17.

00:27:03: Oktober und zwar 2024. Das heißt also, wir nehmen ja heute am 17. Juli den Podcast hier auf. Das sind vier Monate, das Ganze.

00:27:13: Was also die Unternehmen noch Zeit haben, gesetzeskonform zu werden? Also wir gehen jetzt mal davon aus. dass das Gesetz am 27. Oktober 2024 auch wirklich in Kraft tritt.

00:27:27: Und dann läuft ja diese Maschinerie los. Das heißt also, man hat als NISZ-II relevantes Unternehmen, dass man ja selber feststellen muss, dass man NISZ-II relevant ist,

00:27:37: innerhalb von drei Monaten die Regi Das heißt, ich muss mich melden als NISZ-II relevantes Unternehmen und gewisse Angaben über mein Unternehmen machen.

00:27:47: Ansprechpartner dort angehen, die in der Kommunikation höchstwahrscheinlich mit den BSI oder den verschiedenen... wie Einrichtungen dann in Kontakt treten müssen.

00:28:07: Das ist mal das Erste, was man grundsätzlich zu tun hat. Was ganz wichtig zu verstehen ist, es geht ja nicht nur darum,

00:28:16: ein Gesetz zu erfüllen, NIS 2, sondern es geht ja ursächlich auch mal darum, das eigene Unternehmen zu schützen, die Mitarbeiter im Unternehmen zu schützen,

00:28:26: das Unternehmen weiter bestehen zu lassen mit... IT-S die die Produktion der Güter oder des Services für die Bevölkerung

00:28:37: hier garantieren sollen. Und wenn ein Vorfall ist, ein IT-S dann sollte der so geringe Auswirkungen wie möglich haben. Also es ist immer grundsätzlich im ureigentlichen Interesse des Unternehmens, diese NIST-2-Norm

00:28:51: zu erfüllen. Zweites Kriterium ist aber natürlich, wenn man das nicht tut, also rein fahrlässig, registriere mich nicht, weil ich denke, ich bin nicht NIS 2 relevant, bin aber NIS 2 relevant,

00:29:04: kann das zu empfindlichen Strafen führen. Also nur die Regi nicht einzuhalten oder Maßnahmen nicht umzusetzen. Also wir sprechen von Bußgeldern, die bei 100.000 Euro

00:29:16: beginnen, aber die bis in die 10 Millionen gehen können, bei großen Unternehmen, die reguliert sind, bis zu sogar 2 Prozent des Umsatzes im Jahr. Also das sind enorme Mengen.

00:29:29: an Geld, die dann fällig werden, wenn gewisse Sachen der NIS 2 reingesetzlich nicht erfüllt worden sind. Das heißt jetzt nicht, dass jede...

00:29:42: Jede Maßnahme, die nicht umgesetzt wird, gleich 10 Millionen Euro Kostenwert. Das wird es nicht sein. Aber grundsätzlich ist es so, dass das BSI durch das NIS 2-Gesetz so gestärkt ist,

00:29:55: dass es wirklich durchgreifen kann und auch kontrollieren kann, ob die NIS 2 richtig angewandt worden ist bei diesen NIS 2-relevanten Unternehmen.

00:30:06: Ich meine, das ist ja auch einer der Gründe, warum wir jetzt hier sitzen. Einfach um nochmal... Natürlich auch im Detail zu erklären, aber überhaupt aufzuzeigen, warum Unternehmen so ein großes eigenes Interesse daran haben sollen.

00:30:18: A. zu checken, muss ich diese Richtlinie erfüllen? Und B. wie gehe ich vor? Weil ich meine, das ist ein Spruch, den man viel hört in letzter Zeit, aber der stimmt halt schon.

00:30:28: Cybe sind heute halt keine Frage mehr des Ob's, sondern des Wanns. Deswegen ist es auf jeden Fall. Wichtig, du hast es vorhin schon kurz angerissen, ihr macht Audits bzw. Checks speziell für

00:30:45: die NIS-II-Richtlinie, also als NET16. Wie kann ich mir das Ganze vorstellen? Wie läuft das ab? Also wir bieten unter anderem sehr viele sogenannte NET16 Analytics-Services an, wo wir also

00:31:00: den, unsere Kunden... auf spezifischen Themen eben analysieren. Das ist sehr detailliert, wie wir dort vorgehen.

00:31:10: Wir machen dort Workshops mit unseren Kunden, haben unser Framework, was wir auf den Kunden mappen. Das ist hauptsächlich Art Audit-Charakter, kann man das sagen,

00:31:19: aber sehr freundliches Audit, kann man dazusetzen. Wir nennen das jetzt spezifisch NET16 NIST 2 Readiness.

00:31:28: Also wir wollen ja dem Kunden sagen, Wie bereit ist er? Wie weit steht er schon mit seinen NIST 2 Aktivitäten? Kontrollieren dann eben die NIST 2 relevanten Themen, also technisch organisatorischen Maßnahmen.

00:31:43: Es sind ungefähr 100 Controls, die wir durchgehen mit dem Kunden. Das dauert so ungefähr drei bis vier Stunden.

00:31:50: Dann nehmen wir diese ganzen Informationen mit, bauen dann saubere Reports, ein Management Report. Das ist ja auch ganz wichtig, das Management mitzunehmen des Unternehmens.

00:32:00: in Form von Ampelmodellen, auch von Scores, die wir den Kunden übergeben, auch in den einzelnen Kategorien, spezifisch auf NIS 2, den Oberkategorien.

00:32:11: Wie konform ist denn der Kunde? Und dann auch noch eine komplette Aufstellung von allen Controls, wie steht der Kunde mit jedem einzelnen Kontrollen.

00:32:21: Und nach dem Ganzen bekommt auch der Kunde von uns dann eben Empfehlungen, was... Hat er gut umgesetzt? Was ist nur in Teilen umgesetzt?

00:32:30: Und was fehlt noch komplett? Und wo sollte er primär ansetzen? In welcher Reihenfolge? Und wir können natürlich auch dem Kunden beraten und natürlich auch helfen,

00:32:39: diese Themen umzusetzen. Und das sollte ja auch grundsätzlich auch klar sein. Die Ressourcen in Unternehmen in Deutschland sind begrenzt.

00:32:49: Und das kommt ja zusätzlich auf die IT und IT Security Ressourcen im Unternehmen zu. Ich kann nur empfehlen, externe Hilfe einzuholen,

00:32:58: besonders bei der kurzen Zeit, die noch über ist, in S2 auch wirklich umzusetzen. Externe Hilfe reinzuholen ins Unternehmen und wirklich auf einen sauber umsetzbaren Ansatz, der mittelstandstauglich ist.

00:33:13: Wir sprechen nicht davon, dass man ISO 27001 in vier Monaten ins Unternehmen bringt. Das ist völlig unmöglich, würde ich jetzt mal sagen.

00:33:22: Aber die Basis setzt... dass kontinuierlich an diesen IT-S den Risi gearbeitet werden kann, um möglichst bald NIS-2 konform zu sein. Gesetzlich heißt es, ab 17.10. konform zu sein.

00:33:38: Diese vier Monate müssen die Unternehmen jetzt nützen, diese Gaps zu überbrücken. Aber natürlich auch, und das wird auch in der Zukunft sein, es wird sicherlich eine NIS-3 geben.

00:33:50: die weitere Anforderungen hat. Das heißt, man muss sich einfach auf diesen Weg begeben. Und dazu gibt es gewisse Themen eben zu adressieren.

00:33:59: Und je früher man die anfasst und umso ernster man diese Themen nimmt, desto besser wird man die auch in der Zukunft einfach adressieren können.

00:34:07: Und wie du sagst, ich meine, der Anspruch an Ressourcen in Unternehmen wird ja nicht sinken in der Zeit. Das heißt, es ist auf jeden Fall gut, wenn man da schon einen Dienstleister

00:34:17: an der Hand hat, der sich auch mit diesem Thema beschäftigt, natürlich wenn man als NIST 2 relevantes Unternehmen eingestuft ist.

00:34:29: Ja, ich glaube du hast uns echt einen richtig coolen Rundumblick gegeben und hoffentlich den Leuten, die zugehört haben,

00:34:35: die Awareness gegeben, dass es da wahrscheinlich beim einen oder anderen wirklich was zu tun gibt.

00:34:41: Also ich bin auf jeden Fall wesentlich schlauer als vorher. Ich schätze unsere Zuhörenden auch. Ich habe von meiner Seite aus jetzt gar keine Fragen mehr.

00:34:51: Josef, hast du noch irgendwas? Wenn man jetzt speziell auf euch als NET16 zugehen möchte, was das Thema angeht, wo kann man euch erreichen bzw. wo kann man vielleicht auch persönlich, du weißt worauf

00:35:06: ich anspiele, euch schon treffen in dieser Zeit? Also es ist relativ einfach. Netz16.de ist unsere Homepage.

00:35:16: Dort findet man jederzeit die Möglichkeit, kontaktet. Da sieht man auch alle unsere Services, auch die Analytics-Service.

00:35:21: NISZ 2 ist dort auch mit drinnen. Aber auch ein Thema, was ich nur spielen kann in dem Podcast. 19.09. WWK-Adena in Augsburg, 2. Augsburger Cybersecurity Talk.

00:35:34: Dort kann man uns als Gesamtunternehmen treffen. Ganz tolle Speaker, die wir dort haben. Die ganze Branche ist da präsent.

00:35:40: Wir zeigen sehr viele Lösungen rund um Cyber Security. Unter anderem wird NIST 2 auch ein Thema sein.

00:35:46: Zero Trust ist ein großes Thema auch drin. Kann ich auch nur gerne einladen. Anmeldung auch gerne über unsere Homepage net16.de

00:35:53: und das soll vielleicht genau das zeigen, was wir machen wollen. Wir wollen Kunden sicherer machen. Und das ist ein Teil davon, NIST 2 auf die Unternehmen zu bringen, die relevant sind.

00:36:06: Genau, Staffel ist auch vor Ort am 19.9. Ich wusste, dass das Event stattfindet. Ich hab erst vorhin gesehen, dass es in der WBK-Arena ist.

00:36:14: Auf jeden Fall eine coole Location. Ja, auf jeden Fall. Sehr cool. Wir können auch gerne noch mal den Link zu eurer Website und so

00:36:21: packen wir hier einmal in die Show Notes oder dann auch auf YouTube in die Information, dass man da euch auch direkt finden kann, damit ihr da auch ein bisschen...

00:36:31: Genau, da noch vertreten seid. Ja, dann soweit auf jeden Fall vielen Dank für den Überblick. Ich glaube, der Ansatz ist klar, wo man ansetzen muss als Unternehmen.

00:36:44: Ich fasse nochmal zusammen, es macht auf jeden Fall Sinn, wenn man sich unsicher ist oder man sagt, habe ich nicht die Ressourcen, das intern zu wuppen,

00:36:53: sich einen Dienstleister an die Hand zu holen, weil solche richtigen Themen nicht weniger werden, schätze ich jetzt mal in Zukunft auch,

00:37:01: weil das Thema Cybersecurity einfach immer, immer wichtiger wird. Ja, also dann sagen wir dir nochmal danke Oliver für deinen Besuch, dass du dir die Zeit genommen hast,

00:37:13: uns und unseren Zuhörenden das Thema glaube ich sehr praxisnah auch einmal zu präsentieren. Genau, wir würden uns dann jetzt verabschieden hier aus Karlsruhe und schicken auch nochmal liebe Grüße dann zu dir.

00:37:27: Und ja, sagen noch mal Danke und hoffen, dass ihr dann im September auch ein großes, erfolgreiches Event bei euch haben werdet.

00:37:35: Und da schon mal auch viel Spaß und noch mal vielen Dank für deinen Input und für deinen Besuch hier in unserem Podcast.

00:37:41: Sehr gerne auch. Vielen Dank an euch und bis dann. Ja, bis dann. Tschüss aus Karlsruhe. Ciao.