Herausforderungen bei der Implementierung der NIS2-Anforderungen

Stärkung der Cyberresilienz durch das Gleichgewicht zwischen Compliance und Sicherheitsmaßnahmen.

Die bevorstehende Richtlinie Network and Information Security 2 (NIS2) stellt viele Unternehmen vor erhebliche Herausforderungen. Durch die Ausweitung des Geltungsbereichs sind nun mehr Sektoren betroffen, was bedeutet, dass eine deutlich größere Anzahl an Unternehmen und Organisationen verpflichtet wird, diese Richtlinie zu befolgen. Dies gilt insbesondere für solche, die aufgrund ihrer Sektor Zugehörigkeit und/oder Größe als „wesentliche“ oder „wichtige“ Entitäten eingestuft werden.

Obwohl viele Mitgliedsstaaten der EU noch immer ihre endgültigen Cyber-Sicherheitsrichtlinien nicht verabschiedet haben, sind Organisationen bereits ab dem 18. Oktober 2024 zur Einhaltung verpflichtet – der Countdown läuft! Diese Verpflichtung gilt auch für kleinere Unternehmen, die bei einer Größe von mindestens 50 Mitarbeitern und einem Umsatz von 10 Millionen Euro in einem der betroffenen Sektoren tätig sind.

In den Unternehmen rücken Cybersecurity-Experten zunehmend in den Mittelpunkt, da sie nicht nur bei der Umsetzung der Richtlinie, sondern auch in den Geschäftsprozessen eine zentrale Rolle spielen. Sie sind plötzlich in alle Geschäftsprozesse und auch in Managementberichte eingebunden.

Maximilian Fresner von Plat4mation hat sich mit Finn Hagemann von der Connect2Trust Foundation und Matthias Pohling von Tanium unterhalten, um gemeinsam zu diskutieren, wie sich dies auf die tägliche Arbeit von Cyber-Sicherheitsexperten auswirkt und welche Herausforderungen auf Unternehmen und Organisationen bei der Implementierung der NIS-2-Anforderungen zukommen.

Plat4mation – Ein globaler Technologieberater und führender Elite-Partner von ServiceNow  

Plat4mation berät zahlreiche Kunden nicht nur bei der strategischen Vorbereitung, sondern auch bei der technischen Umsetzung der Anforderungen durch NIS-2. Mit einer spezialisierten Strategic Capability Group, die sich den Themen Security & Trust widmet, konnte Plat4mation in den letzten Monaten mit zahlreichen Experten und Stakeholdern in betroffenen Unternehmen sprechen, deren Herausforderungen verstehen und gemeinsam Roadmaps zur Umsetzung erarbeiten.

Interview über die NIS2-Richtlinie und ihre Auswirkungen auf die Cyber-Sicherheit

Maximilian (Plat4mation):

Heute begrüße ich zwei herausragende Gäste, Finn Hagemann von der Connect2Trust Foundation und Matthias Pohling von Tanium. Finn, könntest du dich kurz vorstellen?

Finn Hagemann (Connect2Trust): 

Ich arbeite seit einigen Jahren als IT-Security Consultant und organisiere als Volunteer von Connect2Trust die CyberSquad Konferenz in Berlin und werde im Blog seine Erfahrungen mit Kunden zum Thema NIS-2 näher bringen, sowie etwas mehr über das Event in Berlin erzählen.

Maximilian (Plat4mation):

Neben Finn ist heute auch Matthias mein Gast. Matthias ist Direktor für Technical Solutions Engineering bei Tanium und kennt daher die Herausforderung der Kunden bei der technischen Umsetzung der Anforderungen sehr gut. Tanium ist einer der führenden Anbieter für Endpunkt-Management und Cyber Security Lösungen und unterstützt Unternehmen bei der technischen Implementierung der NIS-2-Anforderungen. Matthias, könntest du ein paar Worte zu dir sagen?

Matthias Pohling (Tanium):

Meine Rolle bei Tanium ist die des Technical Account Manager. Ich begann meine Karriere ursprünglich in Operations mit Schwerpunkt ServiceNow und habe mich in den letzten Jahre immer mehr Richtung IT-Security entwickelt und werde in diesem Blog mein Wissen rund um die technische Umsetzung und Plattformanforderungen rund um NIS-2 näher bringen.

Maximilian (Plat4mation):

Lasst uns beginnen. Wenn ich mit Kunden über NIS-2 spreche, betrachten viele das Thema hauptsächlich aus der Compliance-Perspektive: Wie können wir die zahlreichen neuen Anforderungen der Richtlinie erfüllen? Aber NIS-2 ist viel mehr als das. Finn, glaubst du, dass die Umsetzung der NIS-2-Richtlinie auch die Art und Weise verändern wird, wie Risiken in Organisationen verwaltet werden?

Finn Hagemann (Connect2Trust)

Maximilian (Plat4mation):

Da stimme ich dir vollkommen zu. Eine weitere Herausforderung, die ich in Gesprächen mit verschiedenen Stakeholdern festgestellt habe, ist, dass die Organisationen oft nicht wissen, wann eine angemessene Umsetzung der Sorgfaltspflicht und Meldepflicht der NIS-2-Anforderungen „gut genug“ ist. Wie siehst du das, Finn? Und Matthias, wie könnt ihr als Technologieanbieter unterstützen?

Maximilian (Plat4mation):

Finn, wir haben ja bereits darüber gesprochen, wie wichtig es ist, die Cyber Security Experten früh bei der Umsetzung einzubinden. Wie können sich vor allem junge Menschen und Berufseinsteiger in diesem Feld dabei einbringen?

Maximilian (Plat4mation):

Viele Unternehmen haben Probleme, die Lage zu verstehen und die richtigen Prioritäten zu setzen. Matthias, wie schon erwähnt, ist es relevant, Bewertungen von internen und externen Angriffsflächen in Unternehmen durchzuführen. Kannst du eventuell etwas näher erläutern, wie du das siehst und was du als das Hauptproblem in Unternehmen siehst?

Matthias Pohling (Tanium)

Maximilian (Plat4mation):

Bei Plat4mation betrachten wir immer alle Säulen gemeinsam: People, Process, Technology und Data. Die Technologie allein, wie ServiceNow oder auch Tanium, bringt natürlich nicht allein die Lösung für alle Herausforderungen. Daher analysieren wir in den Projekten, wo das Unternehmen derzeit steht und wohin es sich entwickeln möchte, um gemeinsam den Weg vorwärtszuplanen. Die technischen Anforderungen für die Umsetzung auf Plattformen wie ServiceNow und Tanium können natürlich auch ein Auslöser sein, dass die anderen Problematiken rund um Governance oder den Prozessen neu betrachtet werden.

Maximilian (Plat4mation):

Finn und Matthias, wie kann das erreicht werden, dass auch die Governance und Organisationsthemen angegangen werden können und man den „Buy-in“ des C-Levels erhält, sodass diese von solchen Plattformen und Cyber Security Projekten profitieren?

Maximilian (Plat4mation):

Finn, wie denkst du können Unternehmen und vor allem CISOs die Denkweise ändern und ein proaktives Risikomanagement in der Organisation aufbauen?

Maximilian (Plat4mation):

Die Umsetzung der NIS-2-Richtlinie führt zu vielen Veränderungen im täglichen Leben der Cyber Security Experten und erfordert die enge Zusammenarbeit von Experten aus rechtlichen, politischen, risikoorientierten und technischen Hintergründen. Finn, was denkst du ist erforderlich, um diese zusammen Arbeit zu fördern und zu verbessern?

Maximilian (Plat4mation):

Wie wird sich das tägliche Leben von vor allem jungen Cyber Security Experten dadurch verändern?

Maximilian (Plat4mation):

Matthias, was bedeuten diese Änderungen und der damit zusammenhängende neue Bedarf für Technologieunternehmen wie Tanium?

Maximilian (Plat4mation):

Um den Fachkräftemangel entgegenzuwirken und jungen Experten eine Bühne zu geben, hat Connect2Trust die CyberSQUAD Veranstaltung ins Leben gerufen. Finn, könntest du uns etwas mehr über das Event in Berlin erzählen und wer daran teilnehmen kann?

Maximilian (Plat4mation):

Wir von Plat4mation wirken als Sponsor und Teilnehmer beim CyberSQUAD am 29. August 2024 mit. Ich freue mich persönlich schon darauf, mich mit anderen jungen Menschen aus der Branche auszutauschen. Auch für uns als Unternehmen ist es sehr wichtig, uns mit anderen jungen Experten auszutauschen, und ich bin mir sicher, ich werde viele interessante Erkenntnisse vom Event mitnehmen.

Maximilian (Plat4mation):

Danke, Matthias und Finn, für eure Zeit und die interessante Diskussion rund um NIS-2 und die Themen, die vor allem junge Cyber Security Experten interessieren werden. Ich freue mich schon auf weitere Gespräche mit euch!