NIS2-Aufklärungsoffensive von Eset: Fast alle IT-Dienstleister sind betroffen
Bis zum 17. Oktober müssen rund 40.000 Unternehmen hierzulande ihre IT-Security nach den Vorgaben des Gesetzes NIS2 ausrichten. Passiert ist bislang so gut wie nichts. "Es ist fünf vor zwölf", warnt Eset-Channel-Chef Peter Neumeier Partner und deren Kunden.
Wäre das Thema nicht so ernst, man könnte an den Sketch von Loriot auf der Pferderennbahn denken: "Wo laufen sie denn, wo laufen sie denn". Gesichtet werden aktuell nur wenige der geschätzten 40.000 Unternehmen, die ihre IT-Sicherheit erhöhen müssen, weil sie unter das kommende Gesetz "Netz- und Informationssicherheitsrichtlinie 2", kurz NIS2, fallen werden. Sie müssten jetzt sofort losrennen, um bis zum 17. Oktober 2024 ins Ziel zu kommen: Dem Tag, an dem NIS2 gelten wird - und das wahrscheinlich ohne eine Übergangsfrist, wovon zumindest IT-Experten ausgehen.
Warum sie es nicht tun? Obwohl doch Hersteller und viele, wenn sich immer noch zu wenige Systemhäuser, ihnen die Peitsche geben, sprich, ihnen die Konsequenzen wie persönliche Geschäftsführerhaftung oder Geldstrafen vor Augen halten: 'wird schon nicht so schlimm kommen', 'Übergangsfrist kommt', 'es gibt doch noch nicht einmal einen Gesetzesentwurf', denken viele Kunden, aber auch Partner. Letzteres stimmt leider, denn ein verabschiedungsreifes nationales Gesetz lässt immer noch auf sich warten. Aber aus dem Referentenentwurf Stand Dezember 2023 geht schon vieler hervor, was definitiv kommen wird. Welche Branchen und Unternehmensgrößen von NIS2 direkt und indirekt betroffen sind, beispielsweise. Es wird nahezu alle IT-Dienstleister treffen. Und so kurios wie logisch auch eine noch so kleine Brauerei, die mit 50 Mitarbeitern, bzw. weniger als 10 Mio. Euro Jahresumsatz eigentlich ausgenommen wäre von NIS2, sollte sie aber einen eigenen Brunnen haben, der im Katastrophenfall zur Trinkwasserversorgung angezapft wird, so ein kleines, aber wesentliches Detail der NIS2.
Fast alle IT-Dienstleister von NIS2 betroffen
Gerade der Lieferkette kommt nämlich bei der Umsetzung der NIS2-Richtlinie eine besondere Bedeutung zu. IT-Dienstleister, wie Managed Service Provider, oder Zulieferer der Automobilindustrie sind als Sektoren in der Richtlinie klar definiert. Aber auch andere Unternehmen der Supply Chain werden die Richtline durch die Hintertür einführen müssen, weil der Konzern die Sicherheit seiner Lieferkette sicherstellen muss.
NIS2 ist eine EU-Richtlinie für alle 27 EU-Staaten, die diese Richtline in nationales Recht umsetzen müssen. Nun startet IT-Security-Hersteller Eset eine großangelegte Kampagne zur Umsetzung der NIS2-Richtline. Motto, das auch ohne Druck seitens des Gesetzgebers eigentlich selbstverständlich sein sollte in einer zunehmend digitalisierten Wirtschaft und Gesellschaft: " Flicken reicht in der IT-Sicherheit nicht aus".
Die Implementierung der von NIS2 geforderten Maßnahmen "stellt Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit", sagt Peter Neumeier, Director of Channel Sales DACH bei Eset. Mit einer gezielten Aufklärungskampagne zu NIS2 will das Unternehmen für mehr Klarheit und Relevanz sorgen. Eine spezielle Webseite hilft mit Whitepapern, Webinaren und Podcasts, Experten stehen mit Rat und Tat zur Seite. Ziel der Initiative ist es, Organisationen objektiv zu informieren und Ratschläge für die technische Umsetzung zu geben.
Viele Unternehmen haben sich bisher mit NIS2 so gut wie gar nicht auseinandergesetzt, obwohl ihnen die eigene Sicherheit am Herzen liegen sollte. In einer repräsentativen Umfrage (Ende März 2024, durchgeführt von YouGov) hat Eset herausgefunden, dass mehr als ein Drittel (36 Prozent) der befragten Firmen NIS2 nicht einmal kennt. Weitere 20 Prozent haben zwar davon gehört, aber wissen nicht, worum es sich handelt und ob sie selbst betroffen sind.
Frust herrscht unter IT-Experten, weil zwar viele Branchen zwingend die in NIS2 geforderten IT-Security-Maßnahmen umsetzen müssen. Nur jene nicht, von denen man fast täglich hört, dass sie durch Cyberattacken lahmgelegt werden und die kommunale Verwaltung. Sie können in ihrem Stall bleiben, der leider oft genug ungeschützt ist.