Special_02_Online_0304

Special_02_Online_0304_v4

Verlagsbeilage, April 2025 Special NIS-2 Sanktionen und Lösungen NIS-2: Härtere Vorgaben, strengere Regeln – auch für IT-Dienstleister Vertrauenswürdige IT-Sicherheit: Schlüssel zur digitalen Souveränität Datenwäsche: Cyberangriffe stoppen, bevor sie starten Seite 2 Seite 5 Seite 8 Wer erst reagiert, hat schon verloren Seite 11 Automatisierte Bedrohungs erkennung mit ScanBox Sanktionen nach NIS-2 Seite 14 Seite 17 Mitherausgeber Impressum GmbH Augustinusstraße 11 A 50226 Frechen (DE) Tel.: +49 2234 98949 – 30, redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Satz: Dirk Hemke (SatzPro), Krefeld; Markus Miller (Satz + Bild), München Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover Bild: Adobe Stock/ImageKing

Verlagsbeilage 30 000 Unternehmen und Behörden betroffen NIS-2: Härtere Vorgaben, strengere Regeln – auch für IT-Dienstleister Mit der Network-and-Information-Security-Richtlinie 2.0 (NIS-2) hat die Europäische Union (EU) die Anforderungen an die IT-Sicherheit deutlich ausgeweitet. Sie erfasst nun rund 30.000 Unter- nehmen und öffentliche Einrichtungen. Obendrein müssen sich Organisationen, für die bereits NIS-1 und das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) gelten, auf schärfere Kontrollen, strengere Nachweispflichten sowie deutlich höhere Sanktionen einstellen. Das betrifft auch IT-Dienstleister und Rechenzentren. Von Ina Märzluft, noris network AG Mit NIS-2 verdeutlicht der europäische Gesetz- geber, dass er künftig keine Nachlässigkeit mehr im Um- gang mit der Cybersicherheit und der Prävention von Online-Kriminalität dulden wird. So werden betroffene Unternehmen und Einrichtungen der öffentlichen Hand nach NIS-2-Lesart unter anderem fest dazu verpflichtet, robuste Sicherheitskonzepte zu implementieren. Sie um- fassen sowohl technische als auch organisatorische Maß- nahmen und haben zum Ziel, Netz- und Informations- systeme bestmöglich zu schützen. Ein besonderes Auge wirft die EU auf kritische Infrastrukturen (KRITIS) und Finanzinstitute. Sie sind dazu angehalten, umfassende Strategien zur Risikominimierung zu entwickeln und zeit- nah umzusetzen. Dazu gehören unter anderem die Analyse und Bewertung potenzieller Bedrohungen und deren Verhin- derung, beispielsweise durch die Einführung von Intru- sion-Detection- und Prevention-Systemen sowie starken Authentifizierungs- und Autorisierungskonzepten. Hier haben sich Multifaktor-Authentifizierung (MFA) und Zero-Trust-Architekturen (ZTA) beziehungsweise biome- trische Verfahren durchgesetzt. Ebenso sind Notfallpläne für Disaster-Recovery und Business-Continuity mit Ri- sikoanalysen und Hochverfügbarkeitsstrategien – Stich- wort Georedundanz – künftig essenziell, um im Krisenfall schnell reagieren zu können. Auch proaktive Maßnahmen wie regelmäßige Penetrationstests und ein professionelles Schwachstellenmanagement spielen eine entscheidende Rolle, um Risiken zu minimieren und den Schutz der IT- Systeme weiter zu optimieren. Ebenso sind Incident-Res- ponse-Pläne sowie regelmäßige Schulungen für Mitarbei- tende in der NIS-2-Novelle nicht mehr optional: Durch gezielte Trainings und Sensibilisierungsmaßnahmen für Mitarbeitende hofft die EU, wachsende Cybergefahren und Sicherheitslücken möglichst im Keim zu ersticken. Strenge Audit-Pflichten für Unternehmen Um die Sicherstellung der Einhaltung und die Wirksamkeit des Risikomanagements zu gewährleisten, sieht die NIS-2 Audits als wesentliche Bestandteile vor. Sie dienen dazu, Prozesse, Systeme und Organisationen systematisch und regelmäßig zu überprüfen und zu be- werten. Unternehmen müssen innerhalb dieser Audits nachweisen, dass sie die gesetzlichen Anforderungen der Direktive erfüllen. Dies betrifft besonders KRITIS-Be- treiber, die gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dokumentieren müssen, dass ihre IT-Sicherheitsmaßnahmen tatsächlich den NIS- 2-Vorschriften entsprechen. Auditpflichten umfassen sowohl regelmäßige ex- terne und interne Sicherheitsprüfungen zur Erkennung von Schwachstellen als auch umfassende Berichtspflichten gegenüber Aufsichtsbehörden über die Wirksamkeit der Sicherheitsmaßnahmen. Zudem sind Unternehmen und Behörden verpflichtet, alle sicherheitsrelevanten Prozesse und Vorfälle lückenlos zu dokumentieren. Banken und Finanzmarktinfrastrukturen sind dabei zusätzlich an die 2 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025

l a i c e 2 p - S I S N Anforderungen der Europäischen Bankenaufsicht (EBA) gebunden; sie verzahnt NIS2-konforme Sicherheits- maßnahmen eng mit den bestehenden IT-Governance- Richtlinien. NIS-2 umfasst neue Branchen NIS-2 teilt jetzt auch kleinere Unternehmen in „sehr kritische“ sowie „kritische Sektoren“ ein. Be- troff en sind jetzt auch neue Branchensegmente wie Hersteller chemischer Stoff e, Produzenten medizini- scher Geräte, Betriebe aus dem Segment der Lebens- mittelverarbeitung und Organisationen, die Dienste für soziale Netzwerke bereitstellen. Allerdings gilt die NIS-2-Richtlinie vorerst nur für Einrichtungen, die wesentliche oder wichtige Dienste anbieten, besonders jene mit mindestens 50 Mitarbeitenden beziehungs- weise einem Jahresumsatz ab zehn Millionen Euro. Verschärfte Meldepfl ichten bei Sicherheitsvorfällen Im Rahmen der Meldepfl ichten stehen Unterneh- men laut NIS-2 in der Pfl icht, „erhebliche Sicherheitsvor- fälle“ innerhalb von 24 Stunden an das zuständige Com- puter-Security-Incident-Response-Team (CSIRT) oder eine nationale Behörde zu melden. Zusätzliche Berichte sind innerhalb von 72 Stunden sowie nach maximal einem Monat erforderlich. Ein erheblicher Sicherheitsvorfall liegt vor, wenn kritische Systeme betroff en, fi nanzielle oder be- triebliche Auswirkungen erheblich sind oder Datenlecks beziehungsweise Datenschutzverstöße eintreten. Die früh- zeitige Identifi kation von Bedrohungen durch umfassende Monitoring-Systeme ist daher essenziell. matisierung und Netzwerkverbindungen redundant und hochverfügbar zur Verfügung stehen. Finanzdienstleister und Betreiber kritischer Infrastrukturen profi tieren von der Implementierung dieser Standards, da sie nicht nur Compliance-Anforderungen erfüllen, sondern auch das Vertrauen von Kunden und Partnern stärken. Vor allem für Banken und deren IT-Dienstleister haben sich Zertifi - zierungen längst zum entscheidenden Wettbewerbsfaktor entwickelt, da sie ihre Fähigkeit zur sicheren Verarbeitung sensibler Finanzdaten belegen. NIS-2 setzt neue Standards in der Cybersicherheit Klar ist: Mit der NIS-2-Richtlinie verschärft die EU die Anforderungen an Cybersicherheit erheblich. Be- sonders betroff en sind die Finanzbranche und KRITIS- Unternehmen – sowie ihre IT-Dienstleister und Rechen- zentrumsbetreiber –, die umfassende Sicherheitskonzepte umsetzen, strenge Audit-Anforderungen erfüllen und an- erkannte Zertifi zierungen nachweisen müssen. Unterneh- men, die sich rechtzeitig auf die neuen Vorgaben einstel- len, sichern nicht nur ihre Compliance, sondern stärken auch ihre Widerstandsfähigkeit gegen Cyberangriff e. Un- bestritten ist damit aber auch: Der Weg zur erfolgreichen Umsetzung von NIS-2 erfordert eine enge Zusammen- arbeit zwischen IT-Sicherheitsverantwortlichen, Behörden und unabhängigen Prüfi nstanzen, um höchste Sicher- heitsstandards zu gewährleisten. Damit profi tieren alle Be- teiligten von der erhöhten Cybersicherheit, während das vorausschauende Sicherheitsmanagement zum Schlüssel für eine nachhaltige Resilienz gegenüber den Bedrohun- gen der digitalen Welt wird. ■ Zertiﬁ zierungen als Nachweis der IT-Sicherheit NIS-2 kompakt: Ein zentraler Aspekt der NIS-2-Umsetzung ist der Nachweis durch anerkannte Zertifi zierungen. Sie bestäti- gen, dass Unternehmen die notwendigen Sicherheitsstan- dards einhalten. Besonders für KRITIS-Unternehmen und Finanzdienstleister spielen Standards wie ISO 27001, der BSI-Grundschutz sowie TÜViT TSI Level 4 eine wich- tige Rolle. ISO 27001 bildet die Basis für ein wirksames Informationssicherheits-Managementsystem, während der BSI-Grundschutz als umfassendes Framework für IT- Sicherheit in Deutschland dient. Das TÜViT TSI Level 4-Zertifi kat richtet sich besonders an Rechenzentren und bestätigt, dass höchste Sicherheitsanforderungen erfüllt werden. Dazu gehören unter anderem der Brandschutz und das Notfallmanagement für den Katastrophenfall. Außerdem stellen Zertifi zierungen sicher, dass kritische Infrastrukturkomponenten wie Stromversorgung, Kli- Erweiterter Geltungsbereich: Gilt für mehr Sektoren und Unternehmen, darunter kritische und wichtige Einrichtungen. Strengere Cybersicherheitsmaßnahmen: Einführung von Risikomanagementmaßnahmen wie Incident Response, Verschlüsselung und Zugangs- kontrollen. Meldepfl ichten: Verpfl ichtung zur Meldung schwerwiegender Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde. Haftung und Sanktionen: Geschäftsleitung ist für Cybersicherheitsmaßnahmen verantwortlich; hohe Bußgelder bei Verstößen. Erhöhte Zusammenarbeit: Verbesserte Kom- munikation und Informationsaustausch zwischen EU-Mitgliedstaaten und Unternehmen. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025 3

NIS-2: Die neue Superheldin der Cybersicherheit für Unternehmen Aufgepasst, liebe Unternehmerinnen und Unternehmer! Sind Ihre IT-Systeme fit für die Zukunft? Rechtssicher durch den Cyberdschungel Die Bedrohung im Cyberraum ist so hoch wie nie zuvor. Wussten Sie, dass laut einer Bitkom Umfrage1 in 2024, 8 von 10 Unternehmen in Deutschland in den letzten 12 Mo- naten von Datendiebstahl, Spiona- ge oder Sabotage betroffen waren? Die neue NIS-2-Richtlinie der EU ist die Antwort auf diese alarmierende Entwicklung. Warum sollte Sie das interessieren? Die NIS-2-Richtlinie betrifft nicht nur Großkonzerne, sondern auch kleine und mittlere Unternehmen (KMU). Sind Sie bereit für die neuen Anforderungen? Welche Maßnah- men müssen Sie ergreifen, um Ihre Cybersicherheit zu stärken? Und was passiert, wenn Sie die Vorga- ben nicht einhalten? Die Vorteile der NIS-2: Ein echter Game-Changer!  Erhöhte Sicherheit: Schutz vor Cyberangriffen durch strenge Sicherheitsmaßnahmen.  Wettbewerbsvorteil: Unterneh- men, die die Richtlinie umsetzen, sichern sich einen Vorsprung.  Rechtliche Sicherheit: Ver- meidung von Bußgeldern und Reputationsverlusten. 1 Quelle: bitkom e.V.-Studie „Wirtschaftsschutz 2024“ Die NIS-2-Richtlinie bringt mehrere wichtige Neuerungen mit sich, die jedes Unternehmen kennen sollte: Geltungsbereich: Sie betrifft jetzt mehr Branchen, zum Beispiel Lebensmittelproduzenten, Online- Marktplätze und Entsorgungs- unternehmen. Sicherheitsmaßnahmen: Unter- nehmen müssen Schutzmaßnah- men einführen oder verbessern. Dazu gehören Risikoanalysen, Notfallpläne, Lieferkettensicher- heit und Multi-Faktor-Authenti- fizierung. Meldepflichten: Organisationen melden Sicherheitsvorfälle inner- halb von 24 Stunden an das BSI. Eine erste Bewertung erfolgt inner- halb von 72 Stunden, ein Abschluss- bericht innerhalb eines Monats. Aufsicht: Das BSI wird Aufsichts- behörde und kann im Notfall die Geschäftsführung eines Unter- nehmens suspendieren. Lieferkette: Unternehmen müs- sen Risiken auch in ihrer Liefer- kette managen. Das betrifft viele Zulieferer. Schulungen: Die Geschäftsfüh- rung muss sich in Cybersicher- heit schulen lassen und Risiken managen. Zeit zu handeln! Nutzen Sie die Gelegenheit, sich umfassend zu informieren und vorzubereiten. Hören Sie unseren Podcast „Wissen kompakt“ Episode: Cybersicherheit ist Chefsache NIS-2 im Fokus – Unwissenheit (bei der Cybersicherheit) schützt vor Strafe nicht. www.tuev-nord.de/ podcast-nis2 Ein Schutzschild für Ihr Business! Mit unseren Weiterbildungen qualifizieren Sie sich oder Ihre Mitarbeiter für diese wichtigen Aufgaben und setzen die hohen Anforderungen der NIS-2-Richt- linie an Unternehmen sicher um. Stellen Sie die Weichen für eine starke IT-Sicherheit in Ihrem Unternehmen! Alle Details zu den TÜV NORD Akademie Seminaren zur NIS2-Richtlinie

Verlagsbeilage Vertrauenswürdige IT-Sicherheit: Schlüssel zur digitalen Souveränität Aktuelle geopolitische Entwicklungen machen klar: Nie war der Schutz digitaler Infrastrukturen und sensibler Daten wichtiger als heute. IT-Sicherheitsprodukte „Made in Germany“ sind das Mittel der Wahl, um regulatorische Anforderungen zu erfüllen, Abhängigkeiten von ausländi- schen Anbietern zu reduzieren und die eigene digitale Souveränität zu stärken. l a i c e 2 p - S I S N Von Arnold Krille, genua GmbH Für Unternehmen und Behörden öff net die fort- schreitende Digitalisierung viele Chancen, gleichzeitig stresst sie die IT-Sicherheit: Mit jedem neuen Netzwerk- anschluss wächst die potenzielle Angriff sfl äche. Nicht zu- letzt aufgrund aktueller geo- und sicherheitspolitischer Entwicklungen gewinnt daher das Th ema digitale Souve- ränität schnell an Bedeutung. Digitale Souveränität beschreibt die Fähigkeit von Organisationen, ihre digitalen Infrastrukturen und sensib- len Daten eigenständig zu kontrollieren, uneingeschränkt darüber verfügen zu können und sie vor externen Einfl üs- sen und Bedrohungen zu schützen. Digitale Souveränität ist die Grundlage für die souveräne Erfüllung des Auftrags einer Organisation, sowohl bei Wirtschaftsunternehmen als auch bei staatlichen Institutionen. Abhängigkeiten von ausländischen IT-Anbietern können dabei zum Problem werden. Das ist besonders relevant angesichts zunehmen- der staatlicher und wirtschaftlicher Spionage. Auch die sich ändernden geopolitischen Bündnisse sorgen hier für Unsicherheiten und Risiken. Vertrauenswürdige IT-Sicherheitsprodukte spie- len in diesem Zusammenhang eine Schlüsselrolle. Die genua GmbH als deutscher Hersteller bietet mit ihren vom Bundesamt für Sicherheit in der Informationstech- nik (BSI) zugelassenen IT-Sicherheitslösungen essenzielle Bausteine, um regulatorische Anforderungen zu erfüllen und die eigene digitale Souveränität zu stärken. NIS-2: Kritische Infrastrukturen schützen Eine leistungsfähige, resiliente Cybersicherheit ist nicht nur für Einzelunternehmen wichtig. Sie ist ebenso unverzichtbar für das Funktionieren staatlicher und ge- sellschaftlicher Strukturen. Ein besonderes Augenmerk hat die Europäische Kommission daher auf kritische Inf- rastrukturen (KRITIS) gerichtet, die verbindliche Cyber- sicherheitsrichtlinie NIS-2 defi niert und 2023 in Kraft ge- setzt wurde. Die Mitgliedstaaten müssen diese Richtlinie in nationale Gesetze umsetzen. Auch in Deutschland wird es im Jahr 2025 zur verspäteten Umsetzung kommen. Die Vorgaben betreff en Unternehmen mit mindestens 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz. In Deutschland fallen darunter somit schätzungsweise 30 000 Unternehmen aus den 18 KRITIS-Sektoren. Die NIS- 2-Richtlinie verpfl ichtet diese Unternehmen, nachweis- lich angemessene Maßnahmen umzusetzen, welche die Sicherheit und Widerstandsfähigkeit der Netzwerke und Informationssysteme gewährleisten. Diese Maßnahmen umfassen Risikomanagement, technische und organisato- rische Maßnahmen der Informationssicherheit, Meldung von Vorfällen sowie die Umsetzung von Business-Conti- nuity-Maßnahmen. Die genua GmbH bietet eine Reihe von Lösungen an, welche die Organisationen und Unternehmen bei der Umsetzung der NIS-2-Vorgaben unterstützen. Eine der Vorgaben ist, ein System zur Angriff s- erkennung umzusetzen. Dafür eignet sich der cognitix Th reat Defender: Er kombiniert ein Intrusion-Detection- System (IDS) mit einem Intrusion-Prevention-System (IPS) zu einer Komplettlösung, die den Datenverkehr und die Assets im Netzwerk nichtinvasiv analysiert, schnell Anomalien erkennt und dynamische gezielte Gegenmaß- nahmen ermöglicht. Ferner beherrscht die intelligente IDS/IPS-Lösung die Mikrosegmentierung bis auf Anwen- dungsebene (Layer 7) und liefert wertvolle Netzwerkin- formationen für forensische Analysen. Das Lösungs- und © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025 5

Verlagsbeilage Anomalie-Erken- nung: cognitix Threat Defender erkennt den Trafﬁ c von über 3 700 Anwendungen/ Apps und Protokol- len in Echtzeit – und meldet zielsicher Anomalien. (Bild: genua) Einsatzkonzept mit On-Premise-Betrieb sichert dem An- wender 100-prozentige Datenhoheit zu. Gezielte Segmentierung Ein weiterer Punkt zum Schutz kritischer Infra- strukturen ist die zuverlässige Trennung von internen und externen Kommunikationsnetzwerken. An der Nahtstelle zwischen Internet und lokalem Netzwerk sorgt die High Resistance Firewall genugate für ein Höchstmaß an Si- cherheit. Die einzige vom BSI als „highly resistant“ ein- gestufte Firewall der Welt erfüllt höchste Anforderungen: Zwei unterschiedliche Firewall-Systeme – ein Application- Level-Gateway und ein Paketfi lter jeweils auf separater Hardware – sind zu einer kompakten Lösung kombiniert. Mehr Sicherheit für Produktionsnetzwerke ergibt sich durch eine zuverlässige Segmentierung. Mit der In- dustrial Firewall genuwall lassen sich in Produktionsnet- zen (LAN, WAN und VLANs) hochwirksame Barrieren gegen Angriff e aufbauen. Je nach Schutzbedarf werden für einzelne Maschinen, Anlagen oder ganze Produktions- bereiche getrennte Sicherheitszonen geschaff en. Für die Trennung sorgt genuwall. Die Firewall kontrolliert zuver- lässig den gesamten Datenverkehr und lässt ausschließlich die gewünschten Verbindungen zu. Mögliche Risiken bei der digitalen Vernetzung hochkritischer Steuerungssysteme lassen sich mit der Datendiode cyber-diode minimieren. Diese Lösung lässt ausschließlich Einbahn-Datentransfers zu – in Gegen- richtung wird dagegen jeder Informationsfl uss konse- quent geblockt. Geschützt hinter der cyber-diode können Maschinen, Anlagen und IT-Systeme somit Daten über öff entliche Netze versenden, ohne dass die Integrität der Maschine oder Maschinensteuerung gefährdet wird. genubox kombiniert die Vorteile für sichere Fern- wartung mit Privileged-Access-Management-Funktionen. Dazu zählen die Überwachung von Zugriff en auf kritische Ressourcen und die Abwehr unbefugter Handlungen im Netzwerk. Hohes Schutzniveau Angesichts der dynamischen geo- und sicherheits- politischen Entwicklungen gewinnt die digitale Souverä- nität auch im Umfeld der geheimschutzbetreuten Indust- rie an Bedeutung. Schon vor den aktuellen geopolitischen Entwicklungen, aber unter dem Eindruck des russischen Angriff s auf die Ukraine, hat der Gesetzgeber die Anforde- rungen im Geheimschutz-Merkblatt des Bundesministe- riums für Wirtschaft und Klimaschutz (BMWK) spürbar angehoben. Im VS-NfD-Merkblatt (GHB-Anlage 4) sind klare Anforderungen an den Schutz von Verschlusssachen des Geheimhaltungsgrades „VS – Nur für den Dienstge- brauch“ (VS-NfD) formuliert. Die Frist zur Umsetzung der angepassten Anforderungen aus dem VS-NfD-Merk- blatt endet am 1. September 2025. Ist ein VS-NfD-Netzwerk mit Netzsegmenten verbunden, die ein niedrigeres Sicherheitsniveau haben, schreibt das Merkblatt zusätzliche Sicherungsmaßnahmen vor. An der kritischen Nahtstelle beispielsweise zwischen Internet und lokalem Netz soll demnach eine Trennung durch Firewalls in einer sogenannten P-A-P-Struktur (Pa- ketfi lter – Application Layer Gateway – Paketfi lter) und die regelmäßige Überprüfung der Firewallregeln erfolgen. Durch die vorgelagerten Paketfi lter wird das Application- Level-Gateway an beiden Seiten sowohl gegen direkte An- griff e als auch gegen hohe Belastungen optimal geschützt. Mit der zweistufi gen High-Resistance Firewall genugate von genua und einem weiteren Paketfi lter lässt sich dieses hohe Sicherheitsniveau komfortabel erreichen: Sie kombiniert stateful-Paketfi lter (PFL) und Applica- tion-Level-Gateway (ALG) in einer kompakten Lösung. genugate ist zertifi ziert nach EAL4+ mit AVA.VAN.5, zu- dem schützt ein hochsicherer Update-Mechanismus vor Supply-Chain-Angriff en mit zukünftigen Quantencom- putern. Fazit Vertrauenswürdige IT-Sicherheitslösungen bilden die Grundlage für das Erfüllen der NIS-2-Vorgaben, für den Aufbau VS-NfD-konformer IT-Infrastrukturen und letztlich für das Sicherstellen der geschäftlichen Leistungs- fähigkeit durch digitale Souveränität. Die genua GmbH, ein Unternehmen der Bun- desdruckerei-Gruppe, entwickelt IT-Sicherheitslösungen nach höchsten Standards und etablierten Richtlinien wie Security by Design in Deutschland. genua beglei- tet KRITIS-Organisationen von der Konzeption einer rechtssicheren IT-Security-Infrastruktur über die Auswahl und Implementierung konformer IT-Sicherheitsproduk- te bis hin zu Training und Vor-Ort-Support der internen Teams. ■ 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025

Ihr Premium-IT-Dienstleister für zukunftssichere Cloud-Lösungen • Maximale Sicherheit und Vertrauen: Hochsichere, zertifizierte Rechenzentren in Deutschland • Flexibilität nach Maß: Private, Public oder Hybrid Cloud – individuell anpassbar und hochverfügbar • Passgenaue Lösungen: Vielfältige Cloud-Services für Ihre individuellen Anforderungen • Regelkonform und zuverlässig: Expertenwissen für Governance, Compliance und Datenschutz • Transparente Kosten: Keine versteckten Gebühren Jetzt informieren

Verlagsbeilage NIS-2 aktiv statt reaktiv umsetzen Datenwäsche: Cyberangriffe stoppen, bevor sie starten Die Cyberbedrohungslage in Deutschland verschärft sich kontinuierlich – darin sind sich alle Sicherheitsbehörden einig. Für von NIS-2 betroffene Unternehmen ist es kostengünstiger, IT- Risiken frühzeitig zu vermeiden, als später aufwendige Meldungen und Krisenmanagement zu betreiben. Präventive Maßnahmen werden daher immer wichtiger. Von Ramon Mörl, itWatch GmbH Jeder Angriff erfordert ein Stückchen Code, der sich in Daten oder ausführbaren Elementen verbirgt – sei es in Downloads, E-Mails, mobilen Datenträgern, der Firmware angeschlossener Hardware oder sogar in Soft- ware-Patches. Es gibt zahlreiche Einfallstore. Daten aus der Personalabteilung (etwa Bewerbungen), dem Vertrieb, dem Kundenservice, dem Marketing oder der Technik sind nicht zwangsläufig so vertrauenswürdig wie interne Unter- nehmensdaten. Bevor solche Daten intern genutzt werden können, müssen sie überprüft und gesäubert werden. Eine einfache Antivirenprüfung genügt nicht, da selbst infizier- te Dateien wertvolle Informationen oder Bewerbungen für die Personalabteilung enthalten können – schließlich schützt nicht jeder Bewerber sein Smartphone ausrei- chend. Dieser Prozess wird als Datenwäsche bezeichnet. Durch das Öffnen einer Bilddatei im JPG-Format oder eines PDF-Dokuments kann etwa ein Skript geladen werden, das die Konfiguration des Remote-Desktop-Tools so verändert, dass Unbefugte die Rechte des Mitarbeiters übernehmen können. Schädlich, aber kein bekannter Schadcode. Auch verschlüsselte Daten in Archiven wie ZIP und anderen Formaten oder in beliebigen anderen Dateien können schädliche Objekte bis auf die Clients und Server transportieren – und entgehen dabei gängigen Schutzmechanismen. Bekannte Viren können von Antivi- renscannern (AV) nicht erkannt und neutralisiert werden, wenn sie in einer verschlüsselten Datei oder in tief ver- schachtelten Archiven eingebettet sind. Schadsoftware, die zum Beispiel versteckt in ver- schlüsselten E-Mail-Anhängen unbemerkt ins Unterneh- men gelangt und sich im gesamten betriebsinternen Sys- tem ausbreitet, bedroht die eigene kritische IT erheblich. Kritisch ist natürlich auch das Ausbreiten von Schadcode in den Produkten eines Unternehmens, da die gesamte weitere Lieferkette betroffen ist und zudem ein nicht zu m o c . k c o t S i / h c t a W t i : d l i B unterschätzendes und oft unklares Haftungsrisiko ent- steht. Für KRITIS-Organisationen ist deshalb auch die Prüfung zugelieferter Software- und Hardwareproduk- te wesentlich. Leicht kann in einem Rauchmelder, einer Überwachungskamera oder anderen Geräten zusätzliche Funktionalität wie Wi-Fi, Mikrofon und Kamera unter- gebracht sein und so auch in nicht vernetzten Geräten eine Bedrohung entstehen. Cybersicherheit als Enabler In den oben beschriebenen Szenarien ist „Nicht anklicken, nicht öffnen, nicht nutzen“ keine Option! Die kritischen Leistungen und Services müssen in NIS- 2 regulierten Organisationen – trotz möglicher Angrif- fe – erbracht und die damit verbundenen Arbeiten wei- ter erledigt werden. Dazu muss die IT für diese Arbeiten funktionieren. Eine Netztrennung zwischen kritischen IT-Elementen und weniger sensibler Infrastruktur schützt die KRITIS-Elemente, addiert aber Komplexität und wird oft – wie viele präventive Sicherheitsmaßnahmen – vom Anwender als hinderlich wahrgenommen. Das Problem wird durch eine netztrennende Schleuse mit Datenwäsche 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025

l a i c e 2 p - S I S N und Workfl ow nach einem patentierten Verfahren gelöst (itWash.de). Diese netztrennende Datenschleuse ist auch gegenüber dem Internet bezüglich E-Mails aus unsicheren Domänen, Downloads oder Datentransportverfahren wie OneDrive, WeTransfer, S-FTP nutzbar. Jeder unbekannte Code im Datenzufl uss von ex- tern nach intern wird identifi ziert. Datenobjekte dürfen nur bekannte oder vertrauenswürdige Codeelemente ent- halten – signierte Skripte, Makros oder solche, die in einer Whitelist mit ihren authentisierenden Eigenschaften hin- terlegt sind. Eingehender Code, also neue Software, Patches et cetera, wird nur von einem vertrauenswürdigen Kanal übernommen und in seine Bestandteile zerlegt, indem eine Software Bill of Material (SBOM) erstellt wird. Zu jedem Element werden die Verletzbarkeiten (Common Vulnerabi- lities and Exposures, CVE) ermittelt und für das Lifecycle- management hinterlegt. Die Betriebssystemhärtung durch die itWatch Enterprise Security Suite (itWESS.de) über- nimmt die freigegebenen Softwareelemente in ihre White- list. Die CVEs werden zyklisch neu geprüft und bei defi - nierten Schwellwerten geeignet reagiert (Alert oder Sperre). Datenwäsche mit passendem Waschpulver Die Datenwäsche besteht darin, die Daten in ihre Einzelteile zu zerlegen und jedes einzelne Element rekursiv einzeln erneut der Wäsche zuzuführen. Für jeden Daten- typ wird automatisch das richtige Waschprogramm und Waschpulver gewählt. Danach werden die sauberen, also von allem Schmutz befreiten Daten, wieder zusammenge- setzt und der Anwender erhält einen Bericht, ob und was verändert wurde. Schmutzige Elemente werden zur Be- weissicherung gespeichert – natürlich verschlüsselt, damit sie nicht „ausbrechen“ können. Die Voraussetzung für eine Wäsche ist, dass die Daten im Klartext vorliegen – denn eine Wäsche in einer wasserdicht verschlossenen Verpackung würde auch in der analogen Welt keinen Sinn ergeben. itWash verfügt des- halb über eine Erkennung von verschlüsselten Objekten und führt diese vor der Wäsche der Entschlüsselung durch den Anwender zu, ohne dass dessen Betriebssystem auf die Daten zugreifen kann. Ein wesentlicher Vorteil gegenüber anderen Ver- fahren ist, dass jeder Bestandteil rekursiv zerlegt wird und jedes einzelne entstehende Objekt erneut allen Prüfun- gen – Verschlüsselung, Antivirus, Dateitypenauthentisie- rung, Inhaltsprüfung et cetera – unterzogen wird. Hier- bei werden Verschlüsselungen und Modifi kationen sicher erkannt und berücksichtigt. Insofern sind die in itWash angewendeten Verfahren deutlich mächtiger als die unter Content Disarm and Recover (CDR) vermarkteten Lö- sungen und können genauso auf dem Weg „nach drau- ßen“ als Data Loss Prevention (DLP) eingesetzt werden. Während der Wäsche werden automatisch In- formationen zur richtigen Behandlung gewonnen – da- runter der Einlieferer, die Herkunft sowie enthaltene Metadaten wie Geolokationen, Zeitstempel, erkannte Objekte in Bildern oder transkribierter Text aus Sprach- dateien ( Voice2Text). Diese Daten bestimmen das passen- de „Waschmittel“, die gewünschte Standardisierung (z. B. Konvertierung von Mediendaten in MP3 oder MP4) und das Ziel, an das die bereinigten Daten weitergeleitet wer- den sollen. Ein Algorithmus ermittelt das Übertragungs- ziel, setzt dort die passenden Zugriff srechte und wendet bei Bedarf die geeignete Verschlüsselung an. Wenn die eigene IT nicht verändert werden soll oder darf, ist eine Wäsche auch als Service in der Cloud oder in einem Rechenzentrum möglich (siehe Testbeispiel unten). Datenwäsche als mandantenfähiger Managed Service, der sowohl die Datenschutz-Grundverordnung (DSGVO) als auch branchenspezifi sche Regulierungen er- füllt, kann ganze Unternehmensverbünde und Lieferket- ten absichern. Weitere Informationen dazu fi nden Sie im Artikel „Datenwäsche als Cloud-Service“ im <kes>-Special 06/2024. Security „Made in Germany“ itWatch ist einer der wenigen inhabergeführten Cybersecurity-Hersteller in Deutschland und entwickelt patentierte IT-Sicherheitslösungen „Made in Germany“. Die Enterprise Security Suite (itWESS) und die Daten- schleuse (itWash) schützen Tausende als GEHEIM klassi- fi zierte IT-Umgebungen, die auf der Skala der Common- Criteria-Prüfungen höher als eine CC EAL 4+-Prüfung zu bewerten sind, da nicht nur anhand eines hersteller- defi nierten Protection-Profi les geprüft wird. Stattdessen werden alle Facetten der Produkte in realen, vernetzten Einsatzumgebungen getestet und durch professionelle Pentester verschiedenen Angriff sszenarien ausgesetzt. ■ Jetzt Datenwäsche testen! QR Code scannen Zu waschende Dateien an die Mail anhängen (max 2 MB) Mail absenden Dateien werden gewaschen Ergebnis und Report erhalten Sie per Mail Bitte beachten: Keine vertraulichen oder personenbezogenen Inhalte oder Inhalte mit anderweitigen Regulierungen in Bezug auf ihre Vertraulichkeit verwenden. Datenschutzhinweise unter https://www.itwash.de/de/datenschutz. www.itWash.de © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025 9

l a i c e 2 p - S I S N Verlagsbeilage Sicherheitsstrategie im Wandel: Wer erst reagiert, hat schon verloren Durchdachte Sicherheitskonzepte und innovative Ansätze erhöhen die Widerstandsfähigkeit von Unternehmen gegenüber Cyberbedrohungen. Der entscheidende Fortschritt liegt in der Ab- kehr von rein reaktiven Maßnahmen hin zu einer proaktiven Strategie, die Angriffe erkennt und abwehrt, bevor sie Schaden anrichten können. Von diesem Wandel proﬁ tieren alle, nicht nur NIS-2-Organisationen. Von Michael Klatte, ESET Deutschland GmbH Unternehmen investieren weltweit massiv in Cy- bersecurity – und doch steigen die Schäden durch Cyber- angriff e weiter. Laut der Studie „Wirtschaftsschutz 2024“ des Digitalverbands Bitkom beliefen sich die fi nanziellen Verluste durch Cyberkriminalität im vergangenen Jahr auf 267 Milliarden Euro, ein Anstieg von 29 Prozent. 81 Pro- zent der Unternehmen berichteten von Angriff en in Form von Diebstahl, Industriespionage oder Sabotage. Diese Zahlen werfen eine entscheidende Frage auf: Warum füh- ren höhere Investitionen nicht zu besserem Schutz? Ist so- gar die NIS-2-Compliance in Gefahr? Der Grund liegt in veralteten Sicherheitsansät- zen. Viele Unternehmen setzen immer noch auf reaktive Schutzmaßnahmen, die erst eingreifen, wenn der Schaden bereits entstanden ist. Gleichzeitig sind Cyberkriminel- le schneller, professioneller und nutzen zunehmend auf künstliche Intelligenz (KI) basierte Angriff smethoden. Die Konsequenz? Unternehmen müssen ihre Strategie über- denken und den Fokus auf proaktive Sicherheitskonzepte legen, um Bedrohungen bereits im Vorfeld abzuwehren. Warum klassische Sicherheitslösungen nicht mehr ausreichen Die IT-Sicherheit vieler Unternehmen basiert auf traditionellen Maßnahmen wie Firewalls oder Antiviren- programmen. Diese Werkzeuge sind zwar wichtig, aber sie allein reichen längst nicht mehr aus. Ein wesentlicher Schwachpunkt ist die fehlende frühzeitige Bedrohungser- kennung. Angreifer können unbemerkt monatelang Netz- werke infi ltrieren, bevor der eigentliche Angriff erfolgt. Zudem spielen die Herkunft und die Vertrauenswürdig- keit der eingesetzten Sicherheitssoftware eine entscheiden- de Rolle. Ein oft übersehenes Risiko ist die Abhängigkeit von Anbietern, die aus Ländern mit fragwürdigen Da- tenschutzrichtlinien stammen. Die Diskussion um den sogenannten „Kill Switch“ – also die Möglichkeit, dass Hersteller aus Drittstaaten ihre Sicherheitslösungen aus der Ferne deaktivieren können – zeigt die Dringlichkeit, auf vertrauenswürdige europäische Anbieter zu setzen. Si- cherheitsunternehmen aus der Europäischen Union, wie ESET, garantieren hohe Datenschutzstandards und ent- sprechen strengsten Compliance-Anforderungen. Sie bie- ten transparente, technologisch führende Lösungen ohne versteckte Hintertüren, gewährleisten den Stand der Tech- nik und verhelfen zur NIS-2-Compliance. „Prevention First“ Vorbeugen statt heilen – was in der Medizin gilt, muss auch für Cybersecurity zum Standard werden. Pro- aktive Sicherheitsstrategien setzen genau hier an: Bedro- hungen frühzeitig erkennen, Sicherheitslücken schließen und Angriff e verhindern, bevor sie entstehen. Dazu gehö- ren essenzielle Maßnahmen: Patch-Management: Software-Schwachstellen schnell schließen, bevor Angreifer sie ausnutzen können. Multi-Faktor-Authentifi zierung (MFA): Eff ekti- ver Schutz vor unbefugtem Zugriff durch zusätzliche Si- cherheitsebenen. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025 11

Verlagsbeilage Endpoint Detection and Response (EDR): Konti- nuierliche Überwachung von Endgeräten, um Anomalien frühzeitig zu erkennen. Trotz der Verfügbarkeit dieser bewährten Methoden setzen viele Unternehmen weiterhin auf eine rein reaktive IT-Sicherheitsstrategie – eine gefährliche Fehleinschätzung. and Response (MDR). Dabei übergeben Unternehmen ihre IT-Sicherheitsüberwachung an erfahrene, externe Dienstleister. MDR bietet rund um die Uhr Schutz, kom- biniert mit KI-gestützter Analyse, um Bedrohungen in Echtzeit zu erkennen und zu stoppen. ESET MDR über- nimmt zum Beispiel: Prävention mit fachkundiger Hilfe nung Laut einer Umfrage von Cybersecurity Insiders aus dem Jahr 2023 haben 70 Prozent der IT-Experten Schwie- rigkeiten, Sicherheitslösungen effektiv zu implementieren und zu nutzen. Die zunehmende Komplexität der IT- Landschaft und der Fachkräftemangel verstärken dieses Problem. Die Lösung: Security-Services von spezialisier- ten Anbietern, die Unternehmen dabei unterstützen, ihre Sicherheitsarchitektur maßgeschneidert zu optimieren. Anstatt komplexe Systeme in Eigenregie zu imple- mentieren, empfiehlt sich die Zusammenarbeit mit Exper- ten. Unternehmen wie ESET bieten umfassende Security- Services an, die über die bloße Bereitstellung von Software hinausgehen. Denn sie verfolgen den Ansatz des „Prevention first“: Sicherheitslücken schließen, Bedrohungen frühzeitig erkennen und neutralisieren, statt nur auf sie zu reagieren. ESET adressiert diese Herausforderungen mit einem um- fassenden Portfolio unterschiedlicher Security-Services. Diese Dienstleistungen bieten Unternehmen Zugang zu Expertenwissen auf Wunsch und ermöglichen eine konti- nuierliche Optimierung ihrer Sicherheitslösungen. Ferner unterstützen sie bei der proaktiven Gefahrenabwehr und entlasten interne Ressourcen. Beispiele dafür sind ESET Premium Support / Ultimate oder ESET Threat Intelligence. MDR: Die Zukunft der Cyberabwehr Eine besonders effiziente Lösung, um Cyberbe- drohungen frühzeitig zu stoppen, ist Managed Detection Die Services von ESET im Überblick. (Bild: ESET) 24/7-Systemüberwachung und Bedrohungserken- automatisierte Reaktion auf Sicherheitsvorfälle KI-gestützte Analyse zur Abwehr hoch entwickel- ter Angriffe Dank einer Verbindung mit dem ESET-eigenen Security-Information-and-Event-Management-(SIEM)- Tool können Bedrohungen innerhalb von 20 Minuten erkannt und gestoppt werden. Unternehmen profitieren dabei von einer Kombination aus aktueller Technologie und menschlicher Expertise – ein entscheidender Vorteil im Kampf gegen Cyberkriminalität. Fazit Die Zeiten rein reaktiver IT-Sicherheitsmaßnah- men sind vorbei. Unternehmen, die sich weiterhin nur auf klassische Schutzmechanismen verlassen, setzen ihre Systeme und Daten einem unnötigen Risiko aus. Der Schlüssel liegt in einer proaktiven Sicherheitsstrategie, die auf Prävention, kontinuierliche Überwachung und KI-ge- stützte Abwehrmechanismen setzt. Mit Managed Detection and Response, KI-ge- stützter Bedrohungserkennung und professionellen Se- curity-Services können Unternehmen ihre Cyberresilienz deutlich verbessern – und gleichzeitig Compliance-Anfor- derungen wie NIS-2 erfüllen. Europäische Sicherheitsan- bieter wie ESET stellen Lösungen bereit, die den höchsten Datenschutzstandards entsprechen und Unternehmen umfassenden Schutz bieten. ■ 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025

EU-Sicherheitsrichtlinie NIS-2: Verpfl ich- tungen, Fristen und Risiken im Überblick Die NIS-2-Richtlinie ist seit Januar 2025 für viele Unternehmen in Europa eine verbindliche Vor- gabe. Die nationale Umsetzung in Deutschland verzögert sich jedoch. Das NIS2-Umsetzungsge- setz (NIS2UmsuCG) sollte ursprünglich bis zum 17. Oktober 2024 in Kraft treten, wurde jedoch aufgrund der politischen Lage und der anstehenden Regierungsbildung verschoben. Eine Verabschiedung wird frühestens im Sommer 2025 erwartet. Trotz dieser Verzögerung soll- ten Unternehmen bereits jetzt Maßnahmen ergreifen, da es keine Übergangsfrist gibt und die Anforderungen unmittelbar gelten, sobald das Gesetz verabschiedet wird. l a i c e 2 p - S I S N 1. Bestehende Sicherheitsstrukturen überprüfen und optimieren, um den gestiegenen Anforderungen ge- recht zu werden. 2. Interne Meldeprozesse anpassen, um sicherzustellen, dass Sicherheitsvorfälle fristgerecht gemeldet werden. 3. Mitarbeitende und Geschäftsführungen sensibilisie- ren, um ein besseres Verständnis für die neuen Pfl ich- ten und Maßnahmen zu schaff en. 4. Lieferketten und Dienstleister einbeziehen, da auch Drittanbieter höhere Sicherheitsstandards erfüllen müssen. Fachliche Weiterbildung als zentrale Maßnahme Eine erfolgreiche Umsetzung der NIS-2-Richtlinie erfordert umfassendes Fachwissen. Die Bitkom Akademie bietet spezialisierte Seminare zur NIS-2-Richtlinie an, die IT-Sicherheitsverantwortlichen, Datenschutzbeauftragten und Entscheidungsträgern praxisnahe und rechtssichere Handlungsempfehlungen vermitteln. Haben Sie Fra- gen zu unseren Seminaren und dem Inhouse-Angebot im Bereich IT-Sicherheit? Dann kontaktieren Sie Vin- cent Bergner. ■ v.bergner@bitkom-service.de Aktueller Stand der NIS-2-Umsetzung Die NIS-2-Richtlinie bringt wesentliche Än- derungen im Bereich der Cybersicherheit mit sich. Der Anwendungsbereich wurde erheblich ausgeweitet und umfasst neben den bisherigen KRITIS-Sektoren auch IT-Dienstleister, digitale Plattformen, Cloud-Anbieter, Rechenzentren und Teile der Lieferkette. Unternehmen müssen strengere Sicherheitsvorgaben umsetzen und ihre Cyber-Resilienz verbessern. Eine zentrale Neuerung ist die persönliche Haftung der Geschäftsführung, die für die Einhaltung der Vorgaben verantwortlich ist. Darüber hinaus sieht die Richtlinie verschärfte Meldepﬂ ichten vor. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet und anschließend detaillierte Berichte vorgelegt werden. Zudem sind umfassende Ri- sikomanagementmaßnahmen erforderlich, um Schwach- stellen in der IT-Infrastruktur zu identifi zieren und pro- aktiv zu minimieren. Konsequenzen bei Nichteinhaltung Die Einhaltung der NIS-2-Richtlinie ist nicht nur eine rechtliche Verpfl ichtung, sondern entscheidend für die langfristige Sicherheit von Unternehmen. Verstöße gegen die Vorschriften können mit erheblichen Sanktio- nen geahndet werden. Vorgesehen sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahres- umsatzes. Empfohlene Maßnahmen zur Vorbereitung Auch wenn das nationale Umsetzungsgesetz noch aussteht, sind die Kernanforderungen bereits bekannt und sollten frühzeitig umgesetzt werden. Unternehmen sollten daher: © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025 13

Verlagsbeilage Automatisierte Bedrohungs- erkennung mit ScanBox Die Umsetzung der NIS-2-Richtlinie ist oft komplex und ressourcenintensiv. Die ScanBox von DECOIT bietet eine einfache, skalierbare Lösung zur Angriffserkennung. Sie erleichtert die Einhaltung der Vorgaben durch intelligente Analyse und Expertenunterstützung. Von Michael Schulte, freier Redakteur in München Die NIS-2-Richtlinie stellt eine umfassende Erweiterung der bisherigen Cybersicherheitsvorgaben dar. Die Umsetzung der Richtlinie verläuft vielerorts schleppend, auch in Unternehmen der kritischen In- frastruktur. Gründe sind unter an- derem der hohe Zeitaufwand, die komplexen Anforderungen und der Fachkräftemangel. Vor diesem Hin- tergrund setzen viele Unternehmen auf technische Lösungen, die sie bei der Einhaltung der Vorgaben unter- stützen. Eine Möglichkeit zur Umset- zung der NIS-2-Anforderungen sind automatisierte Systeme zur Angriffs- erkennung und Netzwerküberwa- chung. Die ScanBox von DECOIT ist ein Beispiel für ein solches Werk- zeug. Sie analysiert Netzwerkverkehr und Systemprotokolle, um Sicher- heitsvorfälle frühzeitig zu erkennen. „Die ScanBox wurde als un- kompliziertes, skalierbares System zur Angriffserkennung entwickelt und nutzt als Basis aktuelle Bedro- hungsdaten, um verdächtige Muster und Anomalien frühzeitig zu identi- fizieren“, zeigt Geschäftsführer Prof. Dr. Kai-Oliver Detken auf. Eine proaktive Verteidigung durch die schnelle Bedrohungserkennung und geeignete Gegenmaßnahmen werden ermöglicht. Durch die Anomalie-Er- kennung werden Compliance-Ab- weichungen identifiziert und die Anzahl an „False Positives“ erheblich reduziert. Die zentrale Benutzerober- fläche der ScanBox (www.scanbox- product.de) ermöglicht proaktives Handeln ohne tiefergehendes Sicher- Das Dashboard zeichnet sich durch Benutzerfreundlich- keit und Übersicht- lichkeit aus. Per Alarmfunktion wird der IT-Administrator unverzüglich über Anomalien unter- richtet. (Bild: DECOIT GmbH & Co. KG) heits- oder Clustermanagementwis- sen. Die Kombination aus benutzer- freundlicher Web-App und direktem Zugang zu Security-Analysten stellt ein Alleinstellungsmerkmal dar und ermöglicht eine erhebliche Zeit- und Personalentlastung. Die ScanBox braucht nicht permanent an einen Mirror-Port an- geschlossen werden, da die Switches zu sehr belastet werden und wertvolle Analysedaten verloren gehen können. Dafür wird bei der Netzwerkanalyse auf das Protokoll NetFlow gesetzt. Bei der Logfile-Analyse werden ent- sprechende Agenten auf den Client- und Serversystemen ausgerollt, die zusätzlich einen Anti-Viren-Schutz mitbringen. Die Kombination ver- schiedener Datenquellen verschafft ein Gesamtbild der Bedrohungslage. Ein Experten-Team steht immer di- rekt und persönlich zur Verfügung. Die Umsetzung der NIS-2- Richtlinie stellt Unternehmen vor organisatorische und technische He- rausforderungen. Analysewerkzeuge wie die ScanBox können eine Mög- lichkeit darstellen, die Einhaltung der gesetzlichen Vorgaben zu erleich- tern und gleichzeitig Sicherheitsrisi- ken zu minimieren. Die ScanBox ist gerade für solche Unternehmen at- traktiv, die keine High-End-Lösun- gen benötigen, aber die gesetzlichen Anforderungen der NIS-2-Richtlinie erfüllen müssen. ■ 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: we http://www.kes-informationssicherheit.de/print/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? <ke Einfach kostenfreies Probeheft anfordern unter: http://www.kes-informationssicherheit.de/ benutzerbereich/registrierung/ LESEPROBE <kes> AUF DEN FOLGESEITEN

§ l a i t c h e 2 c p - e S I S R N Recht EU-Regularien Sanktionen nach NIS-2 Bußgelder und Prozessorientierung im neuen IT-Sicherheitsrecht „Wer nicht hören will, muss fühlen“ gilt auch bei Regularien für Unternehmen. Allerdings sind Bußgelder bei Verstößen bei Weitem kein Automatismus – vielmehr gilt es, die genaueren Um- stände zu beachten. Unsere Autoren erklären, wo man besonders aufpassen muss, aber auch, wann und weswegen eine Angst vor Sanktionen unbegründet ist. Von Dennis-Kenji Kipker, Frankfurt/Main, und Julian Zaudig, Köln Die eﬀektive Durchsetzung des neuen BSI-Geset- zes (BSIG) gleicht der sprichwörtlichen Kunst des Mögli- chen: Es gilt, anspruchsvolle Sicherheitsstandards ﬂächen- deckend umzusetzen, ohne Unmögliches zu fordern oder den Innovationsgeist von Unternehmen zu ersticken. Das BSIG verpﬂichtet Unternehmen zu erhebli- chen Investitionen in ihre IT-Sicherheit, oft jenseits des unmittelbaren betriebswirtschaftlichen Nutzens. Der Auf- wand für die gesetzlich erforderlichen Sicherheitsmaßnah- men muss jetzt und in Zukunft nicht betriebswirtschaft- lich durch einen „Sicherheitsgewinn“ amortisiert werden. Vielmehr ist das Gemeinwohl entscheidend: Der Aufwand ist immer dann gerechtfertigt und verpﬂichtend, wenn er im angemessenen Verhältnis zu den wirtschaftlichen und gesellschaftlichen Folgen eines Ausfalls steht. Unternehmen proﬁtieren zwar im Ergebnis, wenn das Sicherheitsniveau in der deutschen Wirtschaft steigt, denn dies fördert eine sichere und resiliente Digitalisie- rung – erforderlich ist hierfür aber, dass das Sicherheits- niveau ﬂächendeckend steigt. Diese Anforderung wirft die Frage auf, wie Maßnahmen durchgesetzt werden können, die sich für einzelne Betriebe – allen voran die vorbildli- chen „First Mover“ – möglicherweise nicht sofort rechnen. An dieser Stelle oﬀenbart sich die oft übersehe- ne Doppelrolle von Bußgeldern im Wirtschaftsrecht: Sie fungieren nicht nur als Sanktionsinstrument, sondern auch als Garant der Wettbewerbsgerechtigkeit, weil sie ermöglichen, bei unrechtmäßig handelnden Unterneh- men und Personen unrechtmäßige Vorteile abzuschöpfen (§ 17 Abs. 4 OWiG). Im IT-Sicherheitsrecht betriﬀt dies besonders Fälle, in denen Unternehmen das BSIG nicht oder nur unzureichend umsetzen, und dadurch gegenüber ihren rechtmäßig handelnden Mitbewerbern Kosten spa- ren. Bußgelder sollen die vermeintlichen Einsparungen in dem Fall nicht nur wettmachen (sog. Abschöpfungsteil), sondern sogar übersteigen (sog. Ahndungsteil). Bußgelder für fairen Wettbewerb? Die Europäische Kommission hatte bei Erarbei- tung der NIS-2-Richtlinie eine klare Vorstellung und rügte ausdrücklich die mangelhafte Vollstreckung der IT-Sicherheitspﬂichten aus der NIS-1-Richtlinie in den Mitgliedstaaten: Insbesondere seien zu wenig Bußgelder verhängt worden – die NIS-2-Richtlinie solle dies ändern (siehe Ex-post-Bewertung in [1]). IT-Sicherheitspﬂichten sollen zwar nach Art. 31 Abs. 2 der NIS-2-Richtlinie [2] risikobasiert beaufsichtigt und staatlich durchgesetzt werden können, um Aufsichts- behörden die Fokussierung von Ressourcen zu ermögli- chen. Allerdings war zentral, auch ein einheitliches und wirksames Aufsichtsniveau zu schaﬀen: Unternehmen sollen sich also im positiven wie im negativen Sinne dar- auf verlassen können, dass IT-Sicherheitspﬂichten durch- gesetzt werden. Gerade Letzteres wird häuﬁg übersehen, denn die gleichmäßige Durchsetzung von IT-Sicherheits- pﬂichten war für die Europäische Kommission von vorn- herein auch eine Frage der Wettbewerbsgerechtigkeit (sie- he Folgenabschätzung in [1]). Aus Sicht eines CISO leuchtet das sofort ein: Ein Informationssicherheits-Managementsystem (ISMS) ent- sprechend dem BSIG, nimmt nicht nur den eigenen Be- trieb in den Blick, sondern auch das Gemeinwohl. Wie soll man diese Aufwendungen gegenüber den eigenen Stakeholdern rechtfertigen, wenn direkte Konkurrenten die gesetzlichen Vorgaben ohne Konsequenzen ignorie- ren? Erschwert die IT-Sicherheitsabteilung dem eigenen Unternehmen dann nicht sogar, sich im Wettbewerb zu behaupten? Die Kommission triﬀt einen praktischen Punkt: Ein Gesetz, das ﬂächendeckend verpﬂichtet, aber nur die Willigen zwingt, leidet an einem grundlegenden Mangel – es ist nicht nur unzweckmäßig, sondern auch noch ungerecht. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025 17

Verlagsbeilage Recht EU-Regularien Das BSI will bei der nationalen Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungs- Gesetz (NIS2UmsuCG, vgl. [4]) dennoch auf Koopera- tion setzen – und dieser Ansatz ist nachvollziehbar wie gleichermaßen positiv. Denn tatsächlich ist der Wert von Kooperation im Rahmen der Aufsicht über die gesetzli- chen Cybersicherheitspﬂichten kaum zu überschätzen, weil das BSIG systematisch auf Kooperation zwischen Aufsichtsbehörde und Unternehmen baut: Das BSI steht in der Mitte des Informationsﬂusses zwischen den wesent- lichen und wichtigen Einrichtungen – es ist und bleibt die zentrale Plattform über den Austausch zu Cybersicherheit und Bedrohungen für ebenjene. Ferner ist es eben nicht bloß Aufgabe des BSI, Unternehmen zu beaufsichtigen, sondern ebenso diese zu beraten. Vom Gesetzestext zur Praxis Eine systematische rechtliche Analyse zeigt auch, dass der Konﬂikt zwischen Beratung und Aufsicht durch und mithilfe von Bußgeldern in der Praxis entschärft sein wird – und zwar mit bewährten Mitteln. Jeder Jurist lernt in seiner Ausbildung sehr früh: Strafrecht – und dazu zäh- len letztlich auch Bußgelder – ist „ultima ratio“, also stets das letzte Mittel. Bußgelder anders anzuwenden, wäre nicht sinnvoll und in vielen Fällen schlicht rechtswidrig. Die erste Frage, die sich in diesem Zusammen- hang stellt, ist die oﬀensichtliche: Darf das BSI von Buß- geldverfahren absehen? Die klare Antwort lautet: ja. In Deutschland muss nicht jede Ordnungswidrigkeit ver- folgt werden. Die Behörden haben hier schon allgemein ein sogenanntes „Aufgreifermessen“, das ihnen erlaubt, Schwerpunkte zu setzen und risikobasiert zu arbeiten. Willkür ist dabei verboten – eine sachlich-pragmatische Entscheidungsﬁndung steht Behörden aber stets oﬀen. Das BSI darf auch Leitlinien für seine Bußgeldentschei- dungen kommunizieren. Die Grenze ﬁndet dieses Aufgreifermessen aber in dem Gesetzesvollzug an sich. Deshalb ist wichtig, dass das BSI erklärt, vorrangig auf Kooperation zu setzen, nicht aber ausschließlich – dies wäre wiederum rechtswid- rig. Denn das Aufgreifermessen verbietet einer Behörde, ein Gesetz schlicht unberücksichtigt zu lassen. In ande- ren Worten: Entscheidet der Gesetzgeber, dass Bußgelder verhängt werden sollen, darf die Behörde entscheiden, in welchen Fällen dies sinnvoll ist. Sie darf sich jedoch nicht zum Gesetzgeber aufschwingen und von Bußgeldern ge- nerell absehen. Die Leitlinie bei Bußgeldentscheidungen wur- de vielmehr vom Europäischen Gesetzgeber ﬁxiert und folgt aus Art. 34 Abs. 1 der NIS-2-Richtlinie: Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Diese Maßgabe muss auch das BSI beachten (sog. unions- rechtskonforme Auslegung). Inhaltliche Reichweite der Tatbestände Für Verantwortungsträger ist dies allerdings nicht endgültig zufriedenstellend: Denn hiernach hat das BSI grundsätzlich Bußgelder in Erwägung zu ziehen; in be- gründeten Fällen kann es bloß auf sie verzichten. Sogar wenn ein Unternehmen sich um Selbstkorrektur bemüht, bedeutet dies deshalb nicht, dass das BSI auch von einem Bußgeld absehen muss. Daraus folgt die Anschlussfrage: Was ist konkret mit Bußgeld bedroht? Das BSIG enthält weitreichende Bußdrohungen, denn es setzt auf sogenannte „Blankett- normen“. Diese zeichnen sich dadurch aus, dass sie keine eigenen Tatbestände enthalten, sondern auf andere Vor- schriften verweisen. Zumindest dem Wortlaut nach ergibt sich deshalb ein automatisches Bußgeldrisiko: Wer eine Sicherheitsmaßnahme aktuell entgegen § 8a Abs. 1 BSIG oder künftig entgegen § 30 Abs. 1 BSIG nicht umsetzt, wird zwar nicht automatisch mit einem Bußgeld belegt, wohl aber gemäß § 14 Abs. 2 Nr. 2 BSIG und künftig gemäß § 65 Abs. 2 Nr. 2 BSIG mit Buße bedroht. Dieser weite Wortlaut erklärt auch, weswegen diese Vorschrif- ten in der öﬀentlichen Wahrnehmung und bei der Ge- schäftsleitung von betroﬀenen Betrieben so hohe Wellen schlagen. Auch rechtmäßige ISMS müssen nicht „perfekt“ sein Für den Sicherheitspraktiker ist diese unbe- schränkte Bußdrohung irritierend, denn aus den Vor- schriften des BSIG geht weder jetzt noch in Zukunft hervor, welche Sicherheitsmaßnahmen konkret zu ergrei- fen sind. Es gibt zwar einen Katalog von Mindestsicher- heitsmaßnahmen (künftig: § 30 Abs. 2 BSIG) – aber auch wenn diese ergriﬀen werden, gewährleistet dies noch nicht die Compliance des eigenen ISMS. Hierfür müssen über die Mindestsicherheitsmaßnahmen hinaus auch die „an- gemessenen“ Sicherheitsmaßnahmen nach § 30 Abs. 1 BSIG implementiert werden, welche im Übrigen dem Stand der Technik entsprechen „sollen“. Diese Rechtsbegriﬀe sind hochgradig abstrakt und weder technisch noch organisatorisch eindeutig um- setzbar. Stattdessen zeigt sich sprachlich Folgendes: Das BSIG zwingt Sicherheitsverantwortliche jetzt und in Zu- kunft zu einer Entscheidung; welche Sicherheitsmaßnah- men umgesetzt werden und welche nicht, zeichnet diese Entscheidung aber nicht konkret vor. In der juristischen Debatte wird dies als „juristisches Patt“ bezeichnet, in dem keine der Handlungsalternativen erkennbar recht- mäßig ist [6]. 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025

l a i c e 2 p - S I S N Hier muss man sich ins Gedächtnis rufen, woraus diese gesetzliche Unschärfe methodisch folgt: Ein ISMS ist hochgradig individuell. Im Kern stehen Prognoseent- scheidungen: Welches Risiko verwirklicht sich und welche Gegenmaßnahmen sind in einem konkreten Betrieb auch wirksam? Diese Prognoseentscheidungen stellen sich erst im Nachhinein als „richtig“ oder „falsch“ heraus. Im Mo- ment ihrer Vornahmen sind sie aber nur sorgfältig begrün- det oder gerade unbegründet. Der Praktiker weiß: Mehr als sorgfältig arbeiten kann man nicht – und auch wenn man sorgfältig arbeitet, kann man keine absolute Sicher- heit erreichen oder versprechen. Technische Normen reagieren darauf mit einer iterativen Selbstüberprüfung und Selbstkorrektur. Nur zu diesem sorgfältigen Prozess, nicht aber zur „richtigen“ Ri- sikoentscheidung, einem „richtigen“ ISMS oder gar zum „Zustand der IT-Sicherheit“ kann das BSIG zwingen (vgl. EuGH-Urteil [7] sowie [8] und [6], S. 292 ﬀ.). Juristen haben auch hierfür schon seit langem einen Begriﬀ: „Ul- tra posse nemo obligatur“ – zu Unmöglichem ist niemand verpﬂichtet. Verfassungskonforme Unschärfe? Sprechen bereits Juristen von einer Pattsituation, erscheint fragwürdig, ob eine solche Regelung überhaupt zulässig ist. Rechtlich stellt sich die Frage nach der „hin- reichenden Bestimmtheit“ einer Vorschrift: Diese ist auch für den Gesetzgeber nicht beliebig, vielmehr setzt die Ver- fassung der Unbestimmtheit von Gesetzen Grenzen. Die Prüfung dieser Grenzen stellt jedoch selbst eine Herausfor- derung dar, denn oﬀensichtlich kann man die „Bestimmt- heit“ eines Gesetzes nicht quantitativ bemessen: Gesetze bestehen aus Sprache und Sprache kann per se nicht ein- deutig sein. Die Rechtsprechung prüft die hinreichende Bestimmtheit einer Norm deshalb anhand einer Abwä- gung und beurteilt, ob bestehende Unklarheiten einer ge- setzlichen Regelung – in Form einer Negativabgrenzung – noch hinnehmbar sind. Aus dieser Abwägung ergibt sich im IT-Sicher- heitsrecht eine ganz wesentliche Unterscheidung: Was im Allgemeinen gilt, muss nicht für die Bußnormen gelten. Denn auch ein Bußgeld stellt verfassungsrechtlich eine Strafe dar – und Strafvorschriften sind an strengeren Maß- stäben zu messen als Rechtsvorschriften im Allgemeinen. Auch hierfür haben Juristen einen seit langem festste- henden Begriﬀ: „Nulla poena, nullum crimen sine lege certa“ – keine Strafe ohne bestimmtes Gesetz. abgestimmte Lösungen erlaubt. Gerade im technischen Bereich arbeitet man deshalb bewusst mit Frameworks statt starrer Pﬂichtenkataloge. Anders ist dies jedoch, wenn jemandem Fehlverhalten vorgeworfen werden soll: Ein Vorwurf muss konkret sein, sonst kann sich der Be- troﬀene weder angemessen verteidigen, noch kann er sich verbessern – schon weil er sonst gar nicht konkret wüsste, was er falsch gemacht haben soll. Dieser im Kern sehr praktischen Einsicht folgt auch die Rechtsprechung des Bundesverfassungsgerichts. Zwar ist grundsätzlich stets zu fordern, dass jedermann vorhersehen kann, was von ihm gefordert wird, um sich rechtmäßig zu verhalten. Auch wenn dies im Einzelfall nicht möglich ist, bleibt der Gesetzgeber allerdings befugt, dennoch Regelungen zu erlassen. Die Unbestimmtheit folgt dann aus der „Natur der Sache“ – im IT-Sicherheits- recht zum Beispiel aus der Dynamik der Bedrohungslage, die statisch zu beschreiben – und rechtfertigt eine Unbestimmtheit von Vorschriften, die etwa Sicherheitsmaßnahmen nach dem „Stand der Technik“ fordern. Sicherheitsmaßnahmen mit dem „Stand der Wissenschaft und Technik“ zu um- schreiben, wurde deshalb auch hinsichtlich der Sicherung von Kernkraftwerken für zulässig gehalten (BVerfG-Urteil vom 8. August 1978, Az. 2 BvL 8/77 „Schneller Brüter“). Sicherheitsmaßnahmen es verbietet, Hinsichtlich der Bußgelder gelten jedoch ande- re Maßstäbe, denn hier gilt das spezielle strafrechtliche Bestimmtheitsgebot nach Art. 103 Abs. 2 des Grundge- setzes (GG – vgl. BVerfG-Urteil vom 11. Januar 1995, Az. 2 BvR 1473/89). Und dieses spezielle Bestimmtheits- gebot fokussiert auf den Schutz des Einzelnen: Jeder muss vorhersehen können, was mit Strafe bedroht ist. Erlaubt sind allenfalls „Randunschärfen“ (vgl. BVerfG-Urteil vom 23. Juni 2010, Az. 2 BvR 2559/08). Diese strafrechtliche Bestimmtheit lässt sich nach der Rechtsprechung des Bundesverfassungsgerichts (BVerfG) auf zwei Arten herstellen: Entweder die Sank- tionsvorschrift kann selbst konkret darstellen, was mit Bußgeld bedroht ist, oder die zu dieser Vorschrift ergan- gene Rechtsprechung muss dies erkennen lassen (BVerfG- Urteile vom 28. Juni 2015, Az. 2 BvR 2558/14, 2 BvR 2571/14 und 2 BvR 2573/14). Diese Konkretisierung von Rechtsvorschriften soll im Bereich des Straf- und Bußgeld- rechts sogar Aufgabe der Rechtsprechung sein (BVerfG a. a. O.). Fehlt eine solche Konkretisierung (noch), erlaubt das Grundgesetz aber keine für den Bürger unvorhersehba- re Strafe – und damit auch kein entsprechendes Bußgeld. Auch dieser Grundsatz ist für den Praktiker ohne Weiteres verständlich: Selbstverständlich ist es häuﬁg hilf- reich, Regelungen nicht allzu detailliert zu fassen, sondern Umsetzungsspielräume zu belassen. Nur so bleiben auf der Arbeitsebene passende, auf den einzelnen Anwendungsfall Deshalb gilt aktuell noch für § 14 Abs. 2 Nr. 2 BSIG beziehungsweise künftig für § 65 Abs. 2 Nr. 2 BSIG: Der Tatbestand dieser Sanktionsvorschriften reicht nicht so weit, wie er sich liest. Niemand darf „raten“ müs- sen, wann er mit einem Bußgeld belegt werden kann – von © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025 19

Verlagsbeilage Recht EU-Regularien einem Zweifelsrisiko ist er zu befreien. Deshalb ergibt sich jetzt und in Zukunft: Mit Buße bedroht sind nur oﬀen er- kennbar unzureichende Sicherheitsmaßnahmen [6]. Jeder Verantwortliche ist jedoch gut beraten, die Rechtsprechung im IT-Sicherheitsrecht engmaschig zu be- obachten, weil sich hieraus in Zukunft jederzeit Änderun- gen ergeben können. Dies ist ein weiterer Umstand, der zeigt: Der CISO füllt aufgrund des BSIG nicht länger eine rein technische, sondern eine interdisziplinäre Rolle aus, die Technik, Recht und Wirtschaftlichkeit vereinen muss. Konkretisierung von Bußgeld-Risiken Aufbauend auf diesen Erkenntnissen lassen sich verschiedene Fallgruppen zum rechtskonformen IT-Si- cherheitsmanagement nach NIS-2 ableiten: „Das betrifft uns nicht“: Wer nicht erkennt, dass er vom BSIG erfasst ist, kann mit einem Bußgeld belegt wer- den. Hier besteht keine unüberwindbare rechtliche Un- sicherheit, denn mit Inkrafttreten des NIS2UmsuCG lässt sich die Betroﬀenheit des eigenen Unternehmens rechts- sicher feststellen. „Abkürzungen“ und „Sparen“ im Rahmen des üb- rigen ISMS: Wessen reguliertes ISMS an grundlegenden Mängeln leidet, kann (und sollte!) mit einem Bußgeld be- legt werden. Zur Illustration kann auf die Beispiele zur Organhaftung in der vorigen <kes> [8] zurückgegriﬀen werden. Es gilt: Wer fahrlässig oder sogar vorsätzlich „Ab- kürzungen“ nimmt und sich dadurch einen illegalen Vor- teil verschaﬀt, dem kann und sollte dieser Vorteil durch ein Bußgeld genommen werden. Weithin unbeachtete betriebliche Sicherheitsrichtli- nie(n): Man kann gar nicht oft genug betonen, dass ein ISMS zwar naturgemäß auf betrieblichen Richtlinien, An- weisungen und Dokumentationen aufbaut, im Rahmen des BSIG dann allerdings nicht die Papierlage, sondern die tatsächliche Umsetzung von Sicherheitsmaßnahmen über- prüft wird (vgl. [7,8]). Wer hier spart, dem droht ebenso ein Bußgeld. Schlichte Fehleinschätzungen und Implementie- rungsfehler: Auch einzelne Fehler, wie ein Augenblicksver- sagen auf der Arbeitsebene, nimmt das Gesetz zuletzt hin, insoweit im Übrigen sorgfältig gearbeitet und korrekt re- agiert wird. Absolute Sicherheit ist unerreichbar, also darf auch kein Bußgeld ergehen, nur weil jemand sie nicht er- reicht. In der Gesamtschau zeigt sich folglich: Ein Auto- matismus dahingehend, dass jeder Verstoß gegen IT-Si- cherheitspﬂichten ein Bußgeld begründet, besteht – un- abhängig von der Praxis des BSI – schon kraft Gesetzes gerade nicht. Hiervor müssen sich also weder CISOs noch sonstige Verantwortungsträger sorgen. Wer aber denkt, er könne im regulierten Bereich „sparen“ oder „Abkürzungen“ nehmen, der bewegt sich auf dünnem Eis: Dies sind Fälle, in welchen Bußgelder sehr naheliegen! Vertrauen ist gut, Compliance ist besser Im Rahmen der Bußgelder ist die Haltung des BSI vor diesem gerade skizzierten rechtlichen Hintergrund eine gute Nachricht. Sie sollte jedoch auch nicht täuschen: Es wird keine rein kooperative Aufsicht geben. Dies wäre erstens rechtswidrig und würde die Bundesrepublik zwei- tens wahrscheinlich in einen Konﬂikt mit der Europäi- schen Kommission führen, welche Bußgelder als zentral zur Durchsetzung der Regelungen von NIS-2 ansieht. Man darf zudem nicht vergessen, an wen sich das BSI mit seinen öﬀentlichen Aussagen wendet: an diejeni- gen, die sich informieren und IT-Sicherheit richtig und rechtmäßig umsetzen wollen – andere jedoch, die den- ken oder sogar darauf spekulieren, NIS-2 werde zukünf- tig nicht vollzogen, sind damit nicht gemeint. Schon die Kommission hat richtig erkannt: In diesen Fällen Bußgel- der zu verhängen, ist nicht nur rechtmäßig, sondern auch eine Frage der Fairness gegenüber allen anderen. Für CISOs ergeben sich daraus zwei wesentliche Schlussfolgerungen: Nicht „Stand der Technik“: Ein Bußgeld kann nicht verhängt werden, weil von technischen Richtlinien – ge- rade des BSI – abgewichen wird. Die Äußerungen des BSI gegenüber Unternehmen sind hier teilweise missverständ- lich: Der Stand der Technik muss eben nicht „langsam aber sicher“ erreicht werden – richtig ist: Der Stand der Technik soll unmittelbar nach Geltung des NIS2UmsuCG eingehalten werden (künftig § 30 Abs. 2 Satz 1 BSIG), muss aber jetzt und in Zukunft nicht flächendeckend er- reicht werden. Eine gut begründete Entscheidung gegen technische Standards ist deshalb rechtmäßig und zieht kein Bußgeld nach sich. Sorgfältige Prozessarbeit ist ein Schutzschild gegen Bußgelder: Wer sich ehrlich um Compliance bemüht, muss keine Sorge vor Bußgeldern haben. Denn auch ein regu- liertes ISMS nimmt einzelne Fehler hin und verlangt keine Perfektion – gerade das ist ja der betriebsorganisatorische Ansatz eines ISMS. Das Vorgehen des BSI zeigt: Es will keine Bußgelder verhängen müssen – dabei ist es aber an Recht und Gesetz gebunden. Dem BSI müssen betroﬀene Unternehmen also Argumente liefern, weswegen ein Buß- geld eben nicht erforderlich oder sogar unverhältnismäßig ist. Deshalb ist eine betriebliche IT-Sicherheits-Dokumen- tation auch von so entscheidender Bedeutung. 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025

Im Verhältnis zur Aufsichtsbehörde kann für die Arbeit der IT-Sicherheitsabteilung deshalb als klare Ziel- setzung deﬁniert werden, dass sie in der Lage sein muss, jederzeit darzulegen, dass und wie man sich auch ohne Ein- schreiten des BSI an Recht und Gesetz hält. Hierfür ist die rechtliche Ebene in die technischen Standards zu inte- grieren: Sicherheitsmaßnahmen sind nicht nur sorgfältig auszuwählen und zu dokumentieren, vielmehr muss man auch festhalten, weswegen man sie für rechtmäßig hält. Das wird leider zu häuﬁg übersehen. Und diese Prägung erfasst auch den PDCA-Kreislauf: Maßnahmen sind nicht nur daraufhin zu überprüfen, ob sie wirksam sind – zu- sätzlich ist darauf zu achten, ob ihre rechtliche Begrün- dung (weiterhin) trägt und ein rechtmäßiger Betrieb si- chergestellt ist. CISOs, die diese interdisziplinäre Arbeit meistern, werden sich der Aufsichtsbehörde als integrer und vertrau- enswürdiger Partner präsentieren können. In Krisensitua- tionen kann das Gold wert sein – nach § 65 Abs. 5 Nr. 1 Lit. a BSIG bis zu 10.000.000 €. All das bedeutet im Ergebnis: Man kann gegen- über betroﬀenen Stakeholdern durchaus auch mit dro- henden Bußgeldern argumentieren, damit die Wirksam- keit des NIS2UmsuCG nicht infrage gestellt wird. Aber dann sollte man richtiger- und fairerweise auch betonen: Sicherheitslücken ziehen nicht automatisch Bußgelder nach sich. Bußgelder sind nicht der „Preis“ für Sicherheits- lücken oder Abweichungen vom Stand der Technik – sie sind vielmehr der Preis dafür, wenn das NIS2UmsuCG insgesamt nicht ernst genommen wird. ■ Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direk- tor des cyberintelligence.institute in Frankfurt am Main. Dr. Julian Zaudig ist Volljurist und wurde von der Universi- tät zu Köln zum IT-Sicherheitsrecht promoviert. Er forscht an der Schnittstelle von Recht und Technik – neben seiner juristischen Ausbildung in Stellen wie der Zentral- und An- sprechstelle Cybercrime NRW sowie der Stiftung Familien- unternehmen und Politik war er auch technisch und unter- nehmerisch tätig. 2 - S I N Literatur für eine [1] Europäische Kommission, Vorschlag Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersi- cherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148, Dezember 2020, https:// eur-lex.europa.eu/legal-content/DE/TXT/?uri=CE- LEX:52020PC0823 [2] Europäische Union, Richtlinie (EU) 2022/2555 Des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes ge- meinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L 333, S. 80, De- zember 2022, berichtigt im Dezember 2023, konsoli- dierte Fassung: https://eur-lex.europa.eu/legal-content/ DE/TXT/?uri=CELEX:02022L2555-20221227 [5] Denis-Kenji Kipker, Auf der Suche nach dem Hei- ligen Gral der Cybersicherheit?, <kes>2024#3, S. 13 [6] Julian Zaudig, Die Regulierung von Risiken durch den Einsatz von Informationstechnik nach dem BSIG, Der rechtmäßige Umgang mit ungewissen Entwicklun- gen durch Unternehmen und Geschäftsleiter im Bereich der IT-Sicherheit, Nomos, August 2024, ISBN 978-3- 7560-1612-9 [7] Europäische Union, Urteil des Gerichtshofs (Dritte Kammer) vom 14. Dezember 2023, VB gegen Natsio- nalna agentsia za prihodite, Rechtssache C-340/21, De- zember 2023, https://eur-lex.europa.eu/legal-content/ DE/TXT/?uri=CELEX:62021CJ0340 [8] Dennis-Kenji Kipker, Julian Zaudig, Schutzschild gegen Haftungsrisiken, Wie die Rolle des CISO unter NIS-2 neu gedacht werden muss, <kes> 2024#5, S. 32 [3] Dario Scholz, Dennis-Kenji Kipker, EU-Cyberse- curity Version 2.0, Bringt NIS-2 das lang ersehnte Up- date für wesentliche und wichtige Einrichtungen?, <kes> 2023#1, S. 19 [4] Dennis-Kenji Kipker, NIS2UmsuCG: Das NIS- 2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz kommt – ein Überblick über den Status quo, <kes> 2023#4, S. 70 [9] Bundesministerium des Innern und für Heimat (BMI), Entwurf eines Gesetzes zur Umsetzung der NIS- 2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundes- verwaltung (NIS-2-Umsetzungs- und Cybersicherheits- stärkungsgesetz), Gesetzentwurf der Bundesregierung, Juli 2024, www.bmi.bund.de/SharedDocs/gesetzge- bungsverfahren/DE/Downloads/kabinettsfassung/CI1/ nis2-regierungsentwurf.pdf?__blob=publicationFile © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2Sanktionen und Lösungen, April 2025 21