NIS2-Richtlinie
Managed SOC ist die schlanke Lösung für NIS-2 Anforderungen
NIS2-Richtlinie
Stichtag 1. Oktober 2024: Die sogenannte NIS2-Richtlinie muss dann umgesetzt sein. NIS-2 (Network and Information Systems) ist die aktuelle EU-weite Gesetzgebung, um die allgemeine Cybersicherheit in der Europäischen Union zu erhöhen. Das trifft niemanden unerwartet – viele kleine und mittlere Unternehmen aber hart. Wie können diese die Cybersicherheitsmaßnahmen jetzt noch umsetzen?
Darüber haben wir mit Hannes Wierer gesprochen. Er ist Managing Director von Nomios Germany , einem führenden Security- und Networking-Anbieter.
Herr Wierer, die NIS2-Richtlinie muss bis Oktober 2024 umgesetzt werden. Wie bewerten Sie aktuell den Zustand der Netzwerke und IT-Systeme bei den ca. 30.000 deutschen Unternehmen, die davon betroffen sind?
Die eine Bewertung für alle 30.000 Unternehmen gibt es selbstredend nicht. Da kommt es ganz auf den Reifegrad der individuellen IT-Strategie und deren Implementierung an. Im Zentrum stehen dabei Faktoren wie die Daten, mit denen ich als Unternehmen hantiere, der Entwicklungsstand meiner Netzwerke und Systeme oder auch schlicht, wie viel Manpower ich in die IT-Sicherheit investieren kann. Deutsche Unternehmen sind da sehr unterschiedlich aufgestellt.
Was man wohl aber zum Querschnitt der deutschen Unternehmen sagen kann, ist, dass wir in Deutschland, was den Bereich von Konnektivität und Sicherheit angeht, noch an der einen oder anderen Stelle Nachholbedarf haben. Das wird sich aber auch durch die anstehende NIS2-Richtlinie bald ändern.
Ist die Umsetzung der NIS2-Richtlinie für die meisten Unternehmen zeitlich überhaupt noch realisierbar?
Es ist eine Richtlinie, die muss nun mal umgesetzt werden. Deshalb ist spätestens jetzt Handlungsbedarf, um im Oktober 2024 bestens aufgestellt zu sein. Aber ich gebe Ihnen recht – viel Zeit bleibt nicht mehr. Deshalb bietet es sich an, sich Unterstützung von einem Partner zu holen. Ein gangbarer Weg ist eine Managed-SOC-Lösung, wie wir sie bei Nomios Germany anbieten.
Hält die EU mit NIS2 nicht vielen deutschen Unternehmen die Pistole vor die Brust?
Sicherlich kann man der EU vorwerfen, ab und zu stark zu reglementieren und damit auch der freien Wirtschaft zusätzliche Hürden zu setzen. Insgesamt erachte ich es aber als sinnvoll, diese Reglementierung einzuführen, um eben einen einheitlichen Mindeststandard an Sicherheit zu erreichen. Den brauchen wir besonders in Deutschland. Wichtig ist dabei zu betonen, dass am Ende die Unternehmen selbst profitieren – auch wenn NIS-2 auf den ersten Blick nach Mehrarbeit klingt.
Und die Bedrohungslage wird derzeit ja auch nicht kleiner. Vor dem Hintergrund von chinesischen Aktivitäten oder des russischen Angriffskrieges in der Ukraine. Nicht zuletzt auch durch die neuen Möglichkeiten, die KI den Angreifern bietet.
Zum Glück stellt die künstliche Intelligenz aber auch in der Defensive neue Möglichkeiten. Die muss man aber kennen und wissen, wie sie auszuschöpfen sind. Unternehmen sollten hier dringend Expertise aufbauen – oder eben von Extern ins Haus holen.
Warum sind ihrer Meinung nach Managed SOC Lösungen, um den NIS-2 Anforderungen gerecht zu werden? Gibt es keine Alternative zum Outsourcing?
Nicht jedes Unternehmen kann und will die Ressourcen für ein Inhouse SOC bereitstellen. Ohne Security Operation Center geht es jedoch nicht. Denn einen wirkungsvollen Schutz vor Cyberangriffen aufrechtzuerhalten, wird fast täglich schwieriger, weil die Angriffe immer komplexer und professioneller werden und auch die Zahl der Angriffe ständig zunimmt. Kein Unternehmen kann sich in diesem Bereich Schwächen leisten, denn Sicherheitsverletzungen und erfolgreiche Angriffe sind rufschädigend. Die Folgekosten gehen in die Millionen.
Mit Managed SOC können Unternehmen zeitnah eine 24/7-Überwachung ihrer IT-Infrastruktur realisieren, ohne selbst größere Investitionen für Securitysoftware, Hardware, Sicherheitsexperten, Schulungen und dergleichen mehr leisten zu müssen. Und schließlich werden es Unternehmen, die noch nicht über diese eigene Infrastruktur verfügen, sehr schwer haben, bis zum Stichtag der Umsetzung der NIS2-Richtlinie bereit zu sein, ohne auf externe Managed SOC oder „SOC as a Services“ zurückzugreifen.
Welche konkreten Vorteile ergeben sich ihrer Meinung nach aus Managed SOC?
Da ist kurzfristig zunächst die Geschwindigkeit der Implementierung und der einhergehende Schutz, welche Unternehmen mit externen Experten genießen. Mittel- bis langfristig bietet Managed SOC darüber hinaus die Möglichkeit, die Entlastung der eigenen Teams und die Cyber-Sicherheit zu skalieren. Am besten suchen sich Unternehmen dazu Partner, die herstellerübergreifend zertifiziert sind, die sich mit den Compliance-Anforderungen und der Regulatorik auskennen.
Um die Komplexität eines SOC nochmal auf den Punkt zu bringen: Unternehmen müssen die nötigen Ressourcen stellen – auch auf Compliance-Seite. Dann müssen die richtigen Techniker eingearbeitet sein, wie interne IT-, Security- und Netzwerk-Spezialisten, die dann alle miteinander koordiniert werden und interdisziplinär miteinander arbeiten und sprechen müssen.
Konkret bietet Manages SOC also die Entlastung der eigenen Teams, Kosten- und Zeitersparnis.
Scheitert Managed SOC nicht auch wieder am Geld?
Die Alternative wäre ja, ein eigenes SOC aufzubauen und zu betreiben. Da sind die Investitionen in Hardware und Personal ein Gegenargument. Und gar nicht zu handeln, ist schon wegen der NIS2-Richtlinie keine Option mehr – und war auch noch nie ratsam. Denn die Gefahr, Opfer eines Cyberangriffes zu werden, ist am Ende teurer als die richtige Vorsorge.
