Eset-Weckruf: Das müssen Systemhäuser jetzt über NIS2 wissen

NIS2 bei Kunden fristgerecht umzusetzen, ist ein dickes Brett, das der Channel zu bohren hat, so Eset-Manager Maik Wetzel. Und das unter enormem Zeitdruck. Wer betroffen ist, über welches zusätzliche Marktvolumen für IT-Security reden wir, wo die Risiken, aber auch Chancen für den Channel liegen.

IT-Sicherheitsgesetze verpflichten bereits rund 5.000 deutsche Unternehmen der kritischen Infrastruktur zu sehr hohen IT-Sicherheitsstandards. Mit der im kommenden Herbst 2024 in Kraft tretenden EU-Richtlinie NIS2, die am 17. Oktober in den 27 EU-Staaten nationales Recht wird, wird der Kreis der Unternehmen erheblich erweitert. Rund 40.000 Firmen müssen ab diesem Tag ihre IT-Sicherheitsmaßnahmen ausweiten, unter anderem Systeme zur Angriffserkennung implementiert haben, beim BSI registriert sein und ab da Cyberangriffe binnen 24 Stunden nach Kenntnisnahme dieser Behörde melden.

NIS2 bei Kunden noch nicht angekommen

"NIS2 ist noch immer nicht bei den betroffenen Firmen angekommen", sagt Maik Wetzel. Der Manager beim IT-Sicherheitshersteller Eset hat aus mehreren Gründen einen erheblichen Einfluss auf die gesetzgeberische Gestaltung von NIS2 und deren Umsetzung durch vielen Tausende Systemhäuser, die Kunden als Berater und letztlich als Erfüllungsdienstleister dieser neuen IT-Sicherheitsrichtlinie zur Seite stehen können, ja müssen.

Wetzel war lange Jahre Channel-Chef von Eset, kennt also die Dienstleistungsbranche sehr gut, ist bestens vernetzt auch mit Systemhaus-Kooperationen wie Synaxon, Kiwiko oder CPN. Manager aller drei Verbände sind bei der Eset-Partnerkonferenz in Berlin an diesem Donnerstag und Freitag anwesend, wo sich rund 150 Eset-Kunden aus dem Channel über Maßnahmen und neue Services informieren, die ihr Hersteller für die NIS2-Umsetzung vorstellen wird. Wetzel ist in seiner neuen Funktion als Kopf des strategischen Business Development bei Eset ein gefragter Experte und Speaker in Sachen Cybersecurity. Er berät Behörden, politische Entscheidungsträger und Verbände, kann Einfluss nehmen auf die Ausgestaltung der aktuell als Referentenentwurf vorliegenden NIS2, besitzt viel Insiderwissen über die Fähigkeiten cyberkrimineller Akteure, die im eigenen oder nationalstaatlichen Auftrag handeln. Eset hat durch seine starke Marktposition in der Ukraine einen ausgezeichneten Überblick, wie Bedrohungsakteure agieren und wie sie effektiv ausgeschaltet werden können.

Seine wichtigste Botschaft an den Channel und deren Kunden: "Jetzt mit NIS2 anfangen, sonst wird die Zeit zu knapp bis zum 17. Oktober". Übergangsfristen gibt es nämlich keine.

Direkt und indirekt Betroffene

Es versteht sich von selbst, ist aber leider keinesfalls selbstverständlich, dass IT-Dienstleister, IT-Service-Provider oder MSPs/MSSPs, bevor sie mit Kunden über höhere Sicherheitsstandards sprechen und diese implementieren, ihr eigenes Haus resilient machen und IT-Security nach dem neusten Stand der Technik einsetzen.

NIS2 wird für Firmen aus 18 regulierten Sektoren relevant, die mehr als 49 Mitarbeitende haben oder ab 10 Mio. Euro Umsatz schreiben. Betrifft mich doch gar nicht als kleiner MSP mit 20 Mitarbeitern? Falsch! Jeder MSP und überhaupt jede Firma, unabhängig von ihrer Größe, muss NIS2 beachten, wenn sie als Zulieferer in die Lieferkette eines Unternehmens eingebunden ist, das NIS unterliegt. Somit wird der Kreis der 40.000 direkt betroffenen Firmen in Deutschland auf indirekt der Regelung unterworfener erheblich ausgeweitet.

Ein für einen Autobauer arbeitender Hersteller für Blinker kann ebenso von NIS2 betroffen sein wie die kleine lokale Brauerei mit eigenem Grundwasserbrunnen. Im Notfall wird der Mittelständler zu einem KRITIS-Unternehmen, weil er seinen Brunnen zur Versorgung der Bevölkerung öffnen muss.

Nächste Seite: "Sanktionskeule" und Marktvolumen

Eset-Weckruf: Das müssen Systemhäuser jetzt über NIS2 wissen

NIS2 bei Kunden fristgerecht umzusetzen, ist ein dickes Brett, das der Channel zu bohren hat, so Eset-Manager Maik Wetzel. Und das unter enormem Zeitdruck. Wer betroffen ist, über welches zusätzliche Marktvolumen für IT-Security reden wir, wo die Risiken, aber auch Chancen für den Channel liegen.

Persönliche Geschäftsführerhaftung

Die persönlich Haftung eines Geschäftsführers beim Verstoß gegen NIS2 wäre die "Sanktionskeule", mit der Dienstleister das Kundengespräch initial anstoßen könnten. Nicht ganz so brutal und vielleicht effektiver: Kunden, zumal kleinere Mittelstandsunternehmen, wünschen sich vor allem Orientierung im Dschungel der IT-Sicherheitsprodukte und -dienstleistungen, wie aus einer Endkundenbefragung von Eset hervorgeht. "NIS2 ist eine sehr gute Gelegenheit, den Kunden diese explizit gewünschte Transparenz darzulegen und für Klarheit zu sorgen", sagt Wetzel. Und zwar sowohl bei der technologischen als auch organisatorischen Umsetzung von NIS2. In immer noch vielen Unternehmen bricht bei einem Cyberangriff Panik aus, weil kein Notfallplan da ist, der Schritt für Schritt die einzuleitenden technischen, kommunikativen und rechtlichen Maßnahmen beschreibt. Dabei ist die Wahrscheinlichkeit, Opfer eines Cyberangriffs zu werden, so sicher wie sich Tag und Nacht abwechseln. Der Cyberangriff in einer digitalisierten Wirtschaft und Gesellschaft ist zum Naturzustand geworden. Leider. Oder zum Glück.

Er ist jedenfalls wie alle Gefahrenabwehr zu einem veritablen Wirtschaftsfaktor der modernen Risikogesellschaft geworden. Versicherungen (seit einigen Jahren auch gegen Schäden aus Cyberangriffen) sind es ebenso wie die IT-Sicherheitsindustrie. Über welches Marktvolumen sprechen wir im Rahmen von NIS2?

NIS2-Marktvolumen in Deutschland

Beim Eset-Pressegespräch fallen Zahlen zum "Erfüllungsaufwand" von NIS2. Initialkosten für betroffene Kunden in Deutschland insgesamt rund 1,37 Mrd. Euro, die zu jährlichen Aufwendungen für entsprechende Services - beispielsweise Managed SOC - von zusammen 1,65 Mrd. Euro führen könnten. Es dürfte das Minimum sein, eine strategisch niedrig gewählte Summe, sonst wäre der Gesetzgeber im Vorfeld der NIS2-Regelungen von Industrieverbänden wohl in der Luft zerrissen worden. So gehen Experten denn auch locker von der doppelten Summe aus, die für die Umsetzung von NIS2 investiert werden muss.

Das zusätzliche Volumen für einen verpflichtend höheren IT-Sicherheitsstandard ist demnach erheblich. Der gesamte deutsche Markt für IT-Security dürfte Eset zufolge bei bis zu 9 Mrd. Euro liegen. Der jährliche Schaden durch Cyberkriminelle wird vom Bitkom auf 223 Mrd. Euro geschätzt. Nichts zu unternehmen und diesen Schaden als Naturgewalt hinzunehmen ist also auch keine Alternative.

Der Channel habe angesichts des Zeitdrucks der NIS2-Umsetzung "ein dickes Brett zu bohren", sagt Maik Wetzel. Wie dick es ist, wird auf der Eset-Partnerkonferenz vermessen. Dort werden auch Werkzeuge und Strategie vorgestellt, mit denen deutsche Eiche und selbst tropisches Hartholz schnell durchlöchert werden sollte. CRN ist dabei und wird nachlegen.