10.12.2024
Plötzlich KRITIS? Keine Angst vor der NIS-2-Richtlinie!
Warum die kommende NIS-2-Gesetzgebung eine große Chance für flächendeckende Cybersicherheit ist – und Ihre MFP-Druckerflotte dabei eine wichtige Rolle spielen wird.
Plötzlich KRITIS durch NIS-2? Mit TA kein Grund zur Sorge!
2025: Neue gesetzliche Vorgaben setzen viele Unternehmen mächtig unter Druck. Workflows müssen auf den Prüfstand gestellt und neue Tools implementiert werden. Nein, dieses Mal ist hier nicht die kommende E-Rechnungs-Pflicht gemeint. Die Rede ist stattdessen von der EU-weiten „Network and Information Security Directive“, kurz-NIS-2. Mit der neuen Rechtslage werden das Ausmaß der Regulierung und die Anforderungen an die IT und Cyber-Security für Tausende von Unternehmen in Deutschland deutlich steigen – darunter auch viele, die sich bislang nicht gerade als Betreiber von Kritischer Infrastruktur (KRITIS) eingestuft hätten.
Falls Sie zu den Betroffenen gehören, haben Sie sich wahrscheinlich bereits intensiv mit der Materie beschäftigt – falls nicht, kann dieser Artikel Ihnen dennoch den ein oder anderen wertvollen Tipp für die Steigerung Ihrer Cybersicherheit geben. Denn das Thema geht uns alle an. Sicherheit – und demzufolge auch eine potenziell gefährliche Sicherheitslücke – beginnt dabei viel früher, als die meisten zunächst denken. Ein simples Beispiel aus dem Berufsalltag:
Ein Mitarbeiter der IT-Abteilung checkt routinemäßig den Zustand der internen Festplatten sämtlicher Multifunktionsprinter (MFPs) im Firmennetzwerk. Da die Geräte mit unterschiedlicher Betriebssoftware laufen, ist ein automatisiertes zentrales Monitoring nicht möglich. Der Mitarbeiter sammelt die Daten in einer Excel-Tabelle, die anschließend noch für die im alteingesessenen Workflow geforderte Papierablage ausgedruckt werden muss. Dafür schickt er das Excel-Sheet an einen der MFPs im Netzwerk zum Ausdruck, der auch prompt erfolgt. Leider erhält der Mitarbeiter aber in diesem Moment einen wichtigen Anruf und ist erstmal abgelenkt. Anschließend geht er kurz zum Rauchen auf den Hof – und vergisst völlig, den Ausdruck abzuholen. Diesen findet kurz darauf eine Kollegin aus der Personalabteilung im Ausgabefach des Druckers. Der Inhalt erscheint ihr kryptisch, aber sie erkennt, dass es sich um ein wichtiges Dokument handeln muss, und gibt das Blatt im Büro ihres Vorgesetzten ab. So findet der Ausdruck seinen Weg zurück in die IT-Abteilung. Der IT-Mitarbeiter wird für sein unvorsichtiges Verhalten gerügt und die Sache ist gerade noch mal gut gegangen. Doch was wäre, wenn … anstelle der umsichtigen Personalsachbearbeiterin der 15-jährige Schülerpraktikant den Ausdruck gefunden, fasziniert mit seinem Smartphone ein Foto davon gemacht und es auf seinen TikTok-Account hochgeladen hätte, um seinen Freunden zu zeigen, mit was für spannender Technik er im Praktikum zu tun hat? Und schließlich: Was wäre, wenn das Unternehmen, für das der unachtsame IT-Mitarbeiter und der unbekümmerte Praktikant tätig sind, die Stromversorgung für eine mittelgroße Stadt verwalten würde? Und es infolge des Sicherheitsvorfalls zu einem erfolgreichen Hacking-Angriff auf die IT-Infrastruktur des Betreibers käme?
Sie sehen: Verstöße gegen die IT-Sicherheit sind schnell passiert – dazu bedarf es auch keinerlei böser Absicht aufseiten der Nutzerinnen und Nutzer. Warum in dem von uns gewählten Beispiel ausgerechnet ein Bürodrucker eine kritische Rolle einnimmt – das können Sie sich möglicherweise denken. Doch uns an dieser Stelle auf ein schlichtes „Mit Geräten von TA Triumph-Adler wäre das nicht passiert“ (wäre es tatsächlich nicht!) zu beschränken, würde unserem Anspruch nicht gerecht. Deshalb holen wir etwas weiter aus, um Ihnen die geplante Gesetzesänderung und ihre Auswirkungen – nicht nur, aber eben auch auf das Druckerflottenmanagement – zu erläutern.
Falls Sie zu den Betroffenen gehören, haben Sie sich wahrscheinlich bereits intensiv mit der Materie beschäftigt – falls nicht, kann dieser Artikel Ihnen dennoch den ein oder anderen wertvollen Tipp für die Steigerung Ihrer Cybersicherheit geben. Denn das Thema geht uns alle an. Sicherheit – und demzufolge auch eine potenziell gefährliche Sicherheitslücke – beginnt dabei viel früher, als die meisten zunächst denken. Ein simples Beispiel aus dem Berufsalltag:
Ein Mitarbeiter der IT-Abteilung checkt routinemäßig den Zustand der internen Festplatten sämtlicher Multifunktionsprinter (MFPs) im Firmennetzwerk. Da die Geräte mit unterschiedlicher Betriebssoftware laufen, ist ein automatisiertes zentrales Monitoring nicht möglich. Der Mitarbeiter sammelt die Daten in einer Excel-Tabelle, die anschließend noch für die im alteingesessenen Workflow geforderte Papierablage ausgedruckt werden muss. Dafür schickt er das Excel-Sheet an einen der MFPs im Netzwerk zum Ausdruck, der auch prompt erfolgt. Leider erhält der Mitarbeiter aber in diesem Moment einen wichtigen Anruf und ist erstmal abgelenkt. Anschließend geht er kurz zum Rauchen auf den Hof – und vergisst völlig, den Ausdruck abzuholen. Diesen findet kurz darauf eine Kollegin aus der Personalabteilung im Ausgabefach des Druckers. Der Inhalt erscheint ihr kryptisch, aber sie erkennt, dass es sich um ein wichtiges Dokument handeln muss, und gibt das Blatt im Büro ihres Vorgesetzten ab. So findet der Ausdruck seinen Weg zurück in die IT-Abteilung. Der IT-Mitarbeiter wird für sein unvorsichtiges Verhalten gerügt und die Sache ist gerade noch mal gut gegangen. Doch was wäre, wenn … anstelle der umsichtigen Personalsachbearbeiterin der 15-jährige Schülerpraktikant den Ausdruck gefunden, fasziniert mit seinem Smartphone ein Foto davon gemacht und es auf seinen TikTok-Account hochgeladen hätte, um seinen Freunden zu zeigen, mit was für spannender Technik er im Praktikum zu tun hat? Und schließlich: Was wäre, wenn das Unternehmen, für das der unachtsame IT-Mitarbeiter und der unbekümmerte Praktikant tätig sind, die Stromversorgung für eine mittelgroße Stadt verwalten würde? Und es infolge des Sicherheitsvorfalls zu einem erfolgreichen Hacking-Angriff auf die IT-Infrastruktur des Betreibers käme?
Sie sehen: Verstöße gegen die IT-Sicherheit sind schnell passiert – dazu bedarf es auch keinerlei böser Absicht aufseiten der Nutzerinnen und Nutzer. Warum in dem von uns gewählten Beispiel ausgerechnet ein Bürodrucker eine kritische Rolle einnimmt – das können Sie sich möglicherweise denken. Doch uns an dieser Stelle auf ein schlichtes „Mit Geräten von TA Triumph-Adler wäre das nicht passiert“ (wäre es tatsächlich nicht!) zu beschränken, würde unserem Anspruch nicht gerecht. Deshalb holen wir etwas weiter aus, um Ihnen die geplante Gesetzesänderung und ihre Auswirkungen – nicht nur, aber eben auch auf das Druckerflottenmanagement – zu erläutern.
NIS-2-Richtlinie – was heißt das eigentlich?
Das Kürzel NIS-2 für die neue Security-Richtlinie deutet es ja bereits an: Hier werden bereits bestehende Regelungen neu definiert und ergänzt. Denn die aus der NIS-1 von 2016 hervorgegangenen gesetzlichen Pflichten bezüglich Cyber- und IT-Sicherheit haben sich leider in der Realität häufig als „zahnloser Tiger“ erwiesen. Mit der Definition als KRITIS (Kritische Infrastruktur) wurden in Deutschland nur wenige Unternehmen überhaupt dem Kreis der zu regulierenden Betriebe zugeordnet. Es gab kaum wirksame Kontrollmechanismen und zu viele Ausnahmen, etwa für Behörden. Sanktionen für Entscheider bei Verstößen gegen die Regulierungspflicht waren nicht oder nicht ausreichend vorgesehen. Nicht zuletzt bedingt durch die stetig präsente Bedrohung durch internationale Cyberattacken und so manche Negativerfahrung aus der Zeit der Corona-Pandemie aufgrund fehlender europaweit einheitlicher Dokumentations- und Meldepflichten, haben sich die EU-Gesetzgeber zum Handeln entschlossen und die neue Richtlinie „(EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“, die NIS-2, auf den Weg gebracht.
Deutschland hätte diese eigentlich bis Mitte Oktober 2024 in nationales Recht umsetzen sollen, hinkt aber gerade im laufenden Gesetzgebungsverfahren hinterher. Geplant ist aktuell ein Inkrafttreten der neuen Regelungen für Ende März 2025. Der Entwurf für das neue Gesetz hört auf den sperrigen Namen „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (abgekürzt: NIS2UmsuCG). Ersetzt bzw. ergänzt werden dadurch ältere Regelungen wie die EU-weite CER-Richtlinie und die durch das deutsche BSI-Gesetz festgelegten Anforderungen an Betreiber der Kritischen Infrastruktur (KRITIS).
Obwohl die Mehrheit aller deutschen Unternehmen grundsätzlich eine bessere Regulierung auf dem komplexen Spielfeld Cyber- und IT-Security begrüßt, sorgt das Thema aktuell für viel Gesprächsstoff in den Führungsetagen. Der Grund für die Sorge: Durch das neue Gesetz werden wahrscheinlich schon bald sehr viel mehr Unternehmen als bisher von den Regulierungspflichten betroffen sein. Die Rede ist von bis zu 30.000 allein in Deutschland!
Zum Vergleich: Nach alter Rechtslage wurden hierzulande etwa 800 Unternehmen als KRITIS eingestuft und mussten sich entsprechend beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren lassen. Etwa 2.000 bis 3.000 weitere – vor allem aus der Chemie- und Rüstungsindustrie – galten als „Unternehmen im besonderen öffentlichen Interesse“ und waren ebenfalls Regulierungen unterworfen, jedoch in geringerem Maße.
Das NIS-2-Umsetzungsgesetz fasst die früheren Begriffe nun deutlich weiter und nimmt insgesamt 18 Wirtschaftssektoren in die Pflicht. Betroffen sind privatwirtschaftliche Unternehmen, kommunale Betriebe und Vereine oder Genossenschaften gleichermaßen, deren Geschäftstätigkeit darin besteht, zu einer unterbrechungsfreien Versorgung der Bevölkerung mit lebenswichtigen Gütern und Leistungen beizutragen.
Deutschland hätte diese eigentlich bis Mitte Oktober 2024 in nationales Recht umsetzen sollen, hinkt aber gerade im laufenden Gesetzgebungsverfahren hinterher. Geplant ist aktuell ein Inkrafttreten der neuen Regelungen für Ende März 2025. Der Entwurf für das neue Gesetz hört auf den sperrigen Namen „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (abgekürzt: NIS2UmsuCG). Ersetzt bzw. ergänzt werden dadurch ältere Regelungen wie die EU-weite CER-Richtlinie und die durch das deutsche BSI-Gesetz festgelegten Anforderungen an Betreiber der Kritischen Infrastruktur (KRITIS).
Obwohl die Mehrheit aller deutschen Unternehmen grundsätzlich eine bessere Regulierung auf dem komplexen Spielfeld Cyber- und IT-Security begrüßt, sorgt das Thema aktuell für viel Gesprächsstoff in den Führungsetagen. Der Grund für die Sorge: Durch das neue Gesetz werden wahrscheinlich schon bald sehr viel mehr Unternehmen als bisher von den Regulierungspflichten betroffen sein. Die Rede ist von bis zu 30.000 allein in Deutschland!
Zum Vergleich: Nach alter Rechtslage wurden hierzulande etwa 800 Unternehmen als KRITIS eingestuft und mussten sich entsprechend beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren lassen. Etwa 2.000 bis 3.000 weitere – vor allem aus der Chemie- und Rüstungsindustrie – galten als „Unternehmen im besonderen öffentlichen Interesse“ und waren ebenfalls Regulierungen unterworfen, jedoch in geringerem Maße.
Das NIS-2-Umsetzungsgesetz fasst die früheren Begriffe nun deutlich weiter und nimmt insgesamt 18 Wirtschaftssektoren in die Pflicht. Betroffen sind privatwirtschaftliche Unternehmen, kommunale Betriebe und Vereine oder Genossenschaften gleichermaßen, deren Geschäftstätigkeit darin besteht, zu einer unterbrechungsfreien Versorgung der Bevölkerung mit lebenswichtigen Gütern und Leistungen beizutragen.
Für diese Sektoren gelten künftig die Anforderungen der NIS-2-Sicherheitsrichtlinie
- Energie
- Finanzmarktinfrastruktur
- Trinkwasser
- digitale Infrastruktur
- Forschung
- Banken
- Weltraum
- Verwaltung
- Abfall
- Anbieter digitaler Dienste
- Gesundheit
- Transport
- Ernährung
- Post
- Abwasser
- Verwaltung von IKT-Diensten
- gefährliche Chemikalien
- Industrie
Unterschieden werden innerhalb der betroffenen Sektoren künftig die „Betreiber kritischer Anlagen“ (im Wesentlichen der bestehende Kreis der KRITIS-Unternehmen) sowie „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Dabei gilt die einfache Regel: Wer mehr als 50 Beschäftigte oder über 10 Millionen Euro Jahresumsatz hat, zählt als „wichtig“. Um als „besonders wichtig“ eingestuft zu werden, braucht es mehr als 250 Beschäftigte bzw. über 50 Millionen Euro Jahresumsatz. Neu hinzugekommen sind zudem „Anbieter digitaler Dienste“ – hier gelten einige Ausnahmen von den Regeln zur Unternehmensgröße. So können unter Umständen auch kleine oder gar Einzelunternehmen von den NIS-2-Anforderungen betroffen sein – wenn sie etwa hochgradig sicherheitsrelevante Dienstleistungen wie Domain-Name-Services oder digitales Signaturmanagement anbieten.
Das BSI bietet eine (online durchführbare) Betroffenheitsprüfung für Unternehmen an, die bislang nicht als KRITIS eingestuft waren und sich nun fragen, ob sie unter die neuen NIS-2-Kriterien fallen.
Das BSI bietet eine (online durchführbare) Betroffenheitsprüfung für Unternehmen an, die bislang nicht als KRITIS eingestuft waren und sich nun fragen, ob sie unter die neuen NIS-2-Kriterien fallen.
NIS-2-Anforderungen umsetzen: Was auf die betroffenen Unternehmen und Einrichtungen zukommt
- Erarbeitung und Umsetzung von Sicherheitskonzepten für sämtliche Informationssysteme, inklusive Risikoanalysen
- Einsatz technischer Maßnahmen wie zum Beispiel Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation
- Sicherheitsmaßnahmen bezüglich Erwerb, Weiterentwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenanalyse und -management
- Transparente Strategien zur Bewältigung von (Cyber-)Sicherheitsvorfällen und für das Krisenmanagement allgemein
- Bei Störfällen: weitestgehende Aufrechterhaltung des Betriebs ermöglichen, beispielsweise durch effizientes Backup-Management für die Wiederherstellung der Systeme nach einem Notfall
- Garantien für die Sicherheit der gesamten Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern
à Dieser Punkt ist von besonderer Tragweite, denn er bedeutet praktisch, dass auch alle Partner und Lieferanten, die mit einem als NIS-2-relevant eingestuften Unternehmen zusammenarbeiten, die Sicherheitsmaßnahmen umsetzen müssen! - Verschärfte Meldepflicht bei sicherheitsrelevanten Vorfällen: NIS-2-pflichtige Unternehmen müssen binnen 24 Stunden eine vorläufige Meldung an die Behörden entrichten, wenn eine kritische Dienstleistung ausfällt.
- Konzepte für die Zugriffskontrolle, das Anlagenmanagement und die Sicherheit des Personals in kritischen Bereichen
- Umfassende Informationen und Schulungen zum Thema Cybersicherheit für alle Beschäftigten (nicht nur für die IT!)
- Umfassende Dokumentation und regelmäßige Evaluation aller Maßnahmen
Wer im neuen System als „sehr wichtig“ eingestuft wird, muss ebenso wie bislang schon die KRITIS-Betreiber die Umsetzung der geforderten Maßnahmen und ihre Wirksamkeit aktiv nachweisen. „Wichtige“ Unternehmen sind von der Nachweispflicht vorerst nicht betroffen, müssen sich jedoch an denselben Regelkodex halten und damit rechnen, bei einem eventuellen Schadensfall entsprechend genau von den Behörden überprüft zu werden. Auch die Sanktionen bei Verstößen gegen die Anforderungen wurden teils erheblich verschärft: So drohen nun hohe Bußgelder und als wahrscheinlich schärfstes Schwert des neuen Gesetzes sogar die persönliche Haftung der Geschäftsführung bzw. deren Absetzung durch das BSI.
Keine Angst vor der NIS-2: IT-Sicherheit als Chance
Das ist ja doch ein ganz schöner Brocken, mag mancher von Ihnen jetzt denken – doch tatsächlich stellt die Herausforderung durch die neue Gesetzeslage auch eine große Chance dar, gerade für Mittelständler, die neu im Kreis der Betroffenen sind: eine Chance für die Implementierung längst überfälliger Digitalisierungsmaßnahmen ebenso wie für eine (auch mit Blick auf die Zukunft dringend erforderliche) Schärfung des Bewusstseins für Sicherheitsaspekte bei der Belegschaft und nicht zuletzt auch bei der Geschäftsführung selbst.
Die gute Nachricht: Viele der betroffenen Unternehmen setzen Maßnahmen aus diesem Forderungskatalog längst erfolgreich im Betriebsalltag um. Oft wird der Aufwand für nötige Anpassungen also geringer ausfallen als im Vorfeld befürchtet. Und: Niemand wird damit alleingelassen. Mehr denn je können Unternehmen in dieser Situation von einem starken Partner an ihrer Seite profitieren, der die eigene Expertise in Sachen IT-Sicherheit und Maßnahmen für Hardware und Software für die Implementierungsphase der neuen Regeln einbringt. Genau dieser Partner zu sein, das haben wir uns bei TA Triumph-Adler auf die Fahnen geschrieben:
Die gute Nachricht: Viele der betroffenen Unternehmen setzen Maßnahmen aus diesem Forderungskatalog längst erfolgreich im Betriebsalltag um. Oft wird der Aufwand für nötige Anpassungen also geringer ausfallen als im Vorfeld befürchtet. Und: Niemand wird damit alleingelassen. Mehr denn je können Unternehmen in dieser Situation von einem starken Partner an ihrer Seite profitieren, der die eigene Expertise in Sachen IT-Sicherheit und Maßnahmen für Hardware und Software für die Implementierungsphase der neuen Regeln einbringt. Genau dieser Partner zu sein, das haben wir uns bei TA Triumph-Adler auf die Fahnen geschrieben:
- Vorbereitende Hilfe bei der Umstellung auf eine zeitgemäße – und sichere – Druckerflotte bietet wir Ihnen unter anderem mit unserer kostenlosen MDS-Analyse.
- Herauszufinden, wie gut (und wie verbesserungswürdig) Ihre IT-Infrastruktur tatsächlich ist, dabei helfen die Schwachstellenanalyse und ein regelmäßig durchgeführter Penetrationstest.
- Sie möchten noch weiter auf Nummer sicher gehen und streben eine ISO-27001-Zertifizierung für Ihr Unternehmen an – am besten noch bevor diese für Ihre Branche im Zuge von NIS-2 vielleicht verpflichtend wird? Wenden Sie sich an uns! Wir sind selbst ISO-27001-zertifiziert und können Sie in der Vorbereitungsphase und während des Audit-Prozesses effektiv unterstützen.
Kehren wir nun aber abschließend noch einmal zu unserem Beispiel vom Anfang zurück: Die Gefahr eines Sicherheitsvorfalls wie oben beschrieben ließe sich mit aktuellen Tools von TA Triumph-Adler – und unseren modernen MFPs, für die sie konzipiert wurden – tatsächlich auf nahe null senken:
- Wirksame Authentifizierungsmaßnahmen, wie sie unsere MFPs und die damit vernetzten ECM-Systeme bieten, verhindern, dass nicht dafür autorisierte Personen (wie im Beispiel) Zugriff auf sensible Dokumente erhalten können. So sorgt beispielsweise Follow2Print dafür, dass ein Ausdruck erst erfolgt, wenn sich die oder der zuständige Beschäftigte am MFP identifiziert.
- Auf diesem Wege ließe sich auch ein zu früh erfolgter Ausdruck (wie in unserem Beispiel) verhindern: Der IT-Mitarbeiter hätte mit Follow2Print den Ausdruck erst dann ziehen können, wenn er tatsächlich am MFP anwesend gewesen wäre.
- Zudem würde ein digitalisierter Workflow mit ECM-Anbindung und übersichtlichem Druckerflotten-Monitoring mit TA Cockpit® den physischen Ausdruck eines Zustandsberichts höchstwahrscheinlich überflüssig machen.
- Bleibt das Sicherheitsrisiko durch den arglosen Teenager-Praktikanten, der im Firmengebäude mit seinem Smartphone unerlaubt Fotos macht. Da hilft wohl nur: absolutes Handyverbot während der Arbeitszeit und das private Smartphone jeden Morgen an der Pforte abgeben müssen – auch so eine Maßnahme kann Bestandteil einer sinnvollen Cyber-Sicherheitsstrategie sein.
Das könnte Sie auch interessieren
Was ist eine MDS-Analyse?
Welche Bürodrucker und MFPs werden intensiv, welche kaum genutzt? Welche und wie viele Geräte brauchen wir, wo stehen sie am besten? All das findet die MDS-Analyse heraus.
Mehr Flexibilität mit Mobile Printing
Druckaufträge jederzeit und überall aus der Cloud versenden und bearbeiten? Ja, das geht. TA Triumph-Adler erklärt, wie Mobile Printing funktioniert und was es dabei zu beachten gilt.
