Sie sind hier: Startseite » IT Security » Security-Tipps, -Hintergründe und -Wissen

NIS2: Wer nicht handelt, verspielt wertvolle Zeit

Gesetzgebungsverfahren zur NIS2-Umsetzung gescheitert
Kein Grund zur Panik – Wie Unternehmen die gewonnene Zeit nutzen können

Von Volker Scholz, Information Security Architect bei Axians

Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz in dieser Legislaturperiode sorgt derzeit für Schlagzeilen und Verunsicherung. Für die meisten Unternehmen besteht dazu jedoch kein Anlass. Nur etwa ein Prozent der Unternehmen sind in Deutschland direkt betroffen, durch ihre Einbindung in die Lieferkette können es insgesamt bis zu sieben Prozent sein. Es handelt sich dabei um Konzerne und KMU, die kritische Infrastrukturen betreiben oder in kritischen Wirtschaftssektoren tätig sind, sowie um wichtige Zulieferer. Mittelständische und kleinere Unternehmen sollten jedoch nicht auf das Wirksamwerden des NIS2-Umsetzungsgesetzes warten. Denn die geforderten Risikomaßnahmen der Richtlinie sind bereits seit Jahren bekannt und nicht Gegenstand der aktuellen politischen Diskussionen. Eine solide Sicherheitsstrategie ist auch unabhängig von regulatorischen Vorgaben sinnvoll, um wirtschaftliche Risiken zu minimieren.

Verzögerungen in Deutschland
Die Gründe für das Scheitern des Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz sind vielfältig. Fest steht jedoch: Wegen der Bundestagswahl 2025 kann ein neues nationales Gesetz erst von der neuen Regierung - also frühestens Ende 2025 - verabschiedet werden. Aber auch ohne ein neues Gesetz gilt die NIS2-Richtlinie bereits in der EU. Wer jetzt nicht handelt, verspielt wertvolle Zeit, die er für die Umsetzung der Vorgaben schon nutzen könnte. Denn mit Wirksamwerden des NIS2-Umsetzungsgesetzes müssen die Maßnahmen bereits umgesetzt sein. Eine Übergangsfrist ist nicht vorgesehen.

Anforderungen sind bekannt
Die zugrunde liegende EU-Richtlinie ist seit 2022 bekannt und ihre Risikomaßnahmen bleiben bestehen. Die Verzögerung bis mindestens Ende 2025 bietet eine gute Gelegenheit, sich angemessen vorzubereiten. Geforderte Maßnahmen wie Risikomanagement, Incident Response und Business Continuity entsprechen bereits seit Jahren dem Stand der Technik und sind keine neuen Konzepte, sondern bewährte Praktiken. Die entscheidende Neuerung ist die ausdrückliche gesetzliche Verantwortung der Geschäftsleitung für die Umsetzung der Maßnahmen. Führungskräfte sollten sich bewusst sein, dass Cyber Security nicht mehr nur eine technische Herausforderung ist, sondern eine strategische Aufgabe auf Managementebene. Unternehmen, die bereits mit Standards wie ISO 27001 oder dem BSI-Grundschutz arbeiten, werden feststellen, dass sie viele der Anforderungen schon e erfüllen. Jetzt geht es darum, diese Standards im Hinblick auf NIS2 zu schärfen und die gesamte Organisation für Cyber-Security-Risiken zu sensibilisieren.

Wer schon e Prozesse etabliert, kann sich einen Wettbewerbsvorteil verschaffen – denn Cybersicherheit ist nicht nur eine gesetzliche Pflicht, sondern auch ein Qualitätsmerkmal. Zudem fällt es Betroffenen leichter, sich auf zukünftige Anforderungen einzustellen, wenn sie sich bereits mit den Grundlagen von NIS2 vertraut gemacht haben. Unternehmen sollten mit diesen fünf Schritten beginnen:

>> Betroffenheitsanalyse durchführen: Falls nicht längst geschehen, sollten Unternehmen abklären, ob sie direkt oder indirekt betroffen sind, um gezielte Maßnahmen zu ergreifen.

>> Sicherheitsorganisation etablieren: Verantwortlichkeiten für Cybersicherheit definieren und sicherstellen, dass die Geschäftsleitung involviert ist.

>> Meldeprozesse entwickeln: Klare Strukturen für Incident Response und Meldungen an das BSI festlegen, um auf Vorfälle vorbereitet zu sein.

>> IT-Risiken identifizieren: Ein strukturiertes Asset Management aufbauen und Sicherheitsrisiken systematisch bewerten.

>> Notfallpläne und Business Continuity vorbereiten: Strategien entwickeln, um geschäftskritische Prozesse auch bei IT-Ausfällen aufrechtzuerhalten und Resilienz zu stärken.

Strategie statt Unsicherheit: Implementation Acts bringen weitere Klarheit
Aktuell liegen bereits zwei Implementation Acts der EU und der Mitgliedsstaaten vor, die die Anforderungen zu NIS2 für IT-Dienstleister und zur Meldung von schwerwiegenden Sicherheitsvorfällen konkretisieren. Es ist davon auszugehen, dass auch weitere branchenspezifische Anforderungen in neuen Implementation Acts spezifiziert werden. Das sollte Unternehmen aber nicht davon abhalten, bereits jetzt grundlegende Maßnahmen umzusetzen. Sie sind gut beraten, die Verzögerung als Chance zu nutzen, anstatt in Unsicherheit und Stillstand zu verfallen. (Axians: ra)

eingetragen: 18.02.25

Axians: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Security-Tipps und Background-Wissen

Technologiegestützte Sicherheit
Im Zeitalter ständiger technologischer Neuerungen hat die digitale Sicherheit für Unternehmen höchste Priorität. Dennoch darf der physische Schutz von Menschen, Eigentum und Vermögenswerten nicht vernachlässigt werden: Ein Angriff auf den Betriebsstandort kann nicht nur weitreichende Auswirkungen auf das Sicherheitsgefühl der Mitarbeiter haben, sondern auch zu großen wirtschaftlichen Schäden führen, die durch Produktionsausfälle oder Störungen im Ablauf entstehen.
ZTNA: Das Rückgrat mobiler Zugriffssicherheit
Mit dem Siegeszug mobiler Kommunikation und der fortschreitenden Dezentralisierung der Arbeitswelt durch Homeoffice und BYOD-Konzepte (Bring Your Own Device) geraten Smartphones, Tablets und allgemein vernetzte Geräte zunehmend in den Fokus von Cyber-Kriminellen. Anders als traditionelle Endgeräte sind sie durch ihre Portabilität, Fragmentierung und die Vielfalt installierter Apps deutlich schwerer zu schützen.
Fehleinschätzungen von Bedrohungen
Beim Notfall-Einsatz zählt jede Sekunde. Ersthelfer suchen dann nicht erst ihre Ausrüstung zusammen, sondern haben bereits alles in ihrer Notfalltasche, um sofort loszulegen. Gleiches gilt heute für IT-Security-Teams. Denn inzwischen ist der Angriffsfall nur noch eine Frage der Zeit. Dann müssen sie alles Notwendige in einer digitalen Notfalltasche haben, damit sie die Attacke möglichst schnell stoppen und die Systeme wiederherstellen können.

Mutmaßlich nordkoreanischer Hintergrund Generationenkonflikt der IT-Security

Fachbeiträge: Hintergrund

Einsatz von Cloud-Umgebungen
Das Thema Cloud ist in fast allen IT-Abteilungen nach wie vor allgegenwärtig. Aber immer häufiger stellt sich auch Ernüchterung ein: Die hohen Erwartungen an Kosteneinsparungen und Komplexitätsreduktion haben sich nicht überall erfüllt - oft ist sogar das Gegenteil eingetreten. Hinzu kommen neue Unsicherheiten durch aktuelle geopolitische Veränderungen und eine neue Wahrnehmung der Bedeutung von Digitaler Souveränität. Daher entscheiden sich immer mehr Unternehmen für eine (teilweise) Verlagerung von Workloads aus der Cloud auf eigene On-Premises-Strukturen. Doch auch da lauern Herausforderungen. Wie behält man die Kontrolle über beide Welten?
Unsicherheiten verändern die Cloud-Landschaft
Die geopolitischen Entwicklungen der letzten Monate haben der Diskussion um digitale Souveränität neue Brisanz verliehen. Unmittelbar beobachten lässt sich eine zunehmende Nachfrage nach Alternativen zu US-amerikanischen Cloud-Diensten. Vielen Unternehmen ist bewusst geworden, dass ihre Abhängigkeit von Anbietern wie AWS, Azure oder Google Cloud ein Risiko darstellt, das weit über abstrakte Datenschutzbedenken hinausgeht.

Fachbeiträge: Grundlagen

Was ist eigentlich eine souveräne Cloud?
Der weltweite Wettlauf um KI-Innovation hat Cloud Computing noch weiter vorangetrieben. Doch der Fokus verschiebt sich von initialen Anwendungsfällen mit oft unkritischen Daten und einer gewissen Zurückhaltung bei der konkreten Nutzung von KI hin zu der Frage, wie man KI mit eigenen Daten verwendet und gleichzeitig das geistige Eigentum oder andere für die Organisation kritische Daten weiterhin schützt und kontrolliert.
Cloud-kompatibel werden
Im Zuge der digitalen Transformation verlangen Geschäftsmodelle nach mehr Kundennähe, digitale Produkte und Services werden in immer kürzeren Zeitspannen entwickelt und iterativ an wechselnde Kundenansprüche angepasst. Cloud-Technologien sind für Unternehmen ein wichtiger Baustein, um in dem Tempo, das der Wettbewerb vorgibt, Innovationen auf den Markt zu bringen.

IT Security

Unberechenbarere US-Politik
Die angekündigte Übernahme von Hornetsecurity durch Proofpoint lässt aufhorchen: Kritische Infrastrukturen und sensible Daten geraten zunehmend unter die Kontrolle von US-Konzernen. Um technologische Unabhängigkeit und Innovationskraft zu sichern, sind jetzt entschlossene politische Maßnahmen gefordert, die den Bezug von Cloud- und Sicherheitsdiensten auf europäische Anbieter beschränken.
Compliance in der Cloud
enclaive und Utimaco geben ihre Zusammenarbeit bekannt. Die Partnerschaft ermöglicht es Unternehmen, ihre Schlüsselverwaltung, Data Security und Compliance in der Cloud signifikant zu verbessern. Zahlreiche Unternehmen sind bereits in die Cloud migriert. Hier stehen sie allerdings gleich vor mehreren Herausforderungen: Es gilt, über mehrere Systeme verstreute Credentials zu schützen, kryptographische Schlüssel über verschiedene Clouds hinweg sicher zu managen und dabei gesetzliche Vorgaben wie die DSGVO oder PCI DSS einzuhalten.

IT Security - Angriffe & Lecks

Aufstieg von DragonForce findet statt
Check Point Software Technologies wirft einen Blick auf die Ransomware-Gruppe DragonForce, die mutmaßlich hinter den Cyber-Attacken in Großbritannien steckt. DragonForce wurde erstmals im Dezember 2023 gesichtet, als die Bande ihre Website DragonLeaks im Darknet startete. Seitdem berichtet sie dort über erfolgreiche Attacken. Einige Sicherheitsforscher führen die Gruppe auf DragonForce Malaysia zurück, eine Hacktivisten-Gruppierung. Die neue Truppe ist jedoch weit entfernt von rein ideologisch getriebenen Angriffen.
Finanzieller Gewinn und Krypto-Bonusse
Die Experten der Bitdefender Labs beobachten aktuelle Malvertising-Kampagnen auf Facebook. Vehikel für die Angriffe mit Malware sind vor allem bekannte Kryptowährungsseiten wie Binance, Trading View, ByBit, SolFlare, MetaMask, Gate.io oder MEXC. Angebliche Markenbotschafter sind Influencer und Prominente wie Elon Musk oder Cristiano Ronaldo. Die cyberkriminellen Träger der Malware-Kampagnen verwenden fortgeschrittene Techniken, um sich zu tarnen.

IT Security - Fachbeiträge

Von Wannacry bis zu bösartiger KI
Am 12. Mai 2025 fand der Anti-Ransomware-Tag statt, eine von INTERPOL und Kaspersky ins Leben gerufene globale Sensibilisierungsinitiative, die an eine der erfolgreichsten Cyber-Attacken der Geschichte erinnert: die WannaCry-Attacke im Jahr 2017. Innerhalb weniger Stunden fegte die Ransomware-Kampagne über den Globus, legte Krankenhäuser in Großbritannien lahm, stoppte Produktionsstraßen und unterbrach wichtige Dienste auf fast allen Kontinenten.
APTs - eine globale Gefahr
Laut einer aktuellen Studie von Armis sind fast neun von zehn (87 Prozent) der IT-Führungskräfte besorgt über die Auswirkungen von Cyberwarfare auf ihr Unternehmen. Es gibt immer mehr Belege dafür, dass China, Russland und Nordkorea weiterhin kritische Infrastrukturen in den USA angreifen. Die Wurzeln dieser staatlichen Cyberangriffe, die als ATPs (Advanced Persistent Threats) bezeichnet werden, reichen dabei fast zwei Jahrzehnte zurück.

IT Security - Tipps / Hintergrund / Wissen

Effektives Patch-Management
Laut dem renommierten ifo-Institut arbeiten 24,5 Prozent der Beschäftigten in Deutschland zumindest teilweise von zu Hause aus. Diese Zahl ist in den letzten Jahren stabil geblieben und trotz mancher Diskussion ist das Thema Homeoffice in vielen Unternehmen fest etabliert. Im Zuge dessen hat sich die Anzahl von Endpunkten entsprechend erhöht und auch die Möglichkeit für potenzielle Schwachstellen für die IT-Systeme.
Technologiegestützte Sicherheit
Im Zeitalter ständiger technologischer Neuerungen hat die digitale Sicherheit für Unternehmen höchste Priorität. Dennoch darf der physische Schutz von Menschen, Eigentum und Vermögenswerten nicht vernachlässigt werden: Ein Angriff auf den Betriebsstandort kann nicht nur weitreichende Auswirkungen auf das Sicherheitsgefühl der Mitarbeiter haben, sondern auch zu großen wirtschaftlichen Schäden führen, die durch Produktionsausfälle oder Störungen im Ablauf entstehen.