Mobile-Menu

Cybersecurity Projekt „NIS-2“ jetzt starten

Das Gespräch führte Susanne Ehneß 2 min Lesedauer

Anbieter zum Thema

G DATA CyberDefense AG
Materna Information & Communications SE
Mein Videotermin Suite | Voigtmann GmbH
mgm technology partners GmbH

Die ab Oktober 2024 geltende NIS-2-Richtlinie der EU verpflichtet Betreiber kritischer Infrastrukturen (KRITIS) zu schärferen Regeln in puncto IT-Sicherheit. Tim Berghoff von G DATA erklärt im Interview, was das für öffentliche Verwaltungen bedeutet.

Tim Berghoff, Security Evangelist bei G DATA CyberDefense (© G DATA)
Tim Berghoff, Security Evangelist bei G DATA CyberDefense
(© G DATA)

Die neue NIS-2-Richtlinie betrifft auch die Öffentliche Verwaltung. Was bedeutet die EU-Richtlinie konkret für den deutschen Public Sector?

Berghoff: Die Richtlinie beinhaltet konkrete Schritte mit dem Ziel, die IT-Sicherheit in vielen Sektoren nachhaltig zu verbessern. Das bedeutet allerdings auch, dass die hierzu erforderlichen Projekte dringend umgesetzt werden müssen, um zeitnah Compliance herzustellen. Stichtag für NIS-2 ist der 18. Oktober 2024 – ohne Übergangsfrist.
Mit Hinblick auf diesen Stichtag wird dies allerdings eine sehr große Herausforderung. Nicht nur müssen Verwaltungen die entsprechenden Arbeitsgruppen und Gremien ins Leben rufen, sondern auch entsprechende Finanzmittel beschaffen.

Lassen sich die Anforderungen aus der Richtlinie überhaupt vollumfänglich umsetzen?

Berghoff: Zum Stichtag wohl kaum. Das größte Hindernis hierbei dürfte die Bereitstellung der entsprechenden Budgets sein. Das Vergaberecht für bestimmte Projekte ist eben nicht dafür bekannt, schnelle Entscheidungen herbeizuführen.
Was die konkreten Vorgaben angeht, ist eine oft geäußerte Kritik, dass die Begriffsdefinitionen nicht scharf genug umrissen sind. Hier ist allerdings auch Nachbesserung zu erwarten.
Der IT-Planungsrat des Bundes hat jedoch eine für mich nicht nachvollziehbare Bitte geäußert, die öffentliche Verwaltung von den Regelungen der NIS-2 auszunehmen. In anderen Branchen gibt es ähnliche Bestrebungen, ebenfalls mit Verweis auf unzureichende Definitionen und bestehende branchenspezifische Richtlinien. Hier schwingt natürlich auch implizit der Vorwurf mit, dass eine Umsetzung der NIS-2 mit hohen Kosten verbunden ist.

Muss die Öffentliche Verwaltung mit Sanktionen rechnen, wenn die Vorschriften nicht komplett eingehalten werden?

Berghoff: Theoretisch sieht NIS-2 Bußgelder vor, die in zweistellige Millionenhöhe reichen. Bis die ersten Urteile und die ersten tatsächlich verhängten Bußgelder aktenkundig werden, dürften allerdings noch einige Jahre vergehen.

Welchen Zeitplan empfehlen Sie Verwaltungen für die Umsetzung der Richtlinie?

Berghoff: Plakativ würde ich sagen „am besten gestern“. Ein guter erster Schritt ist allerdings die Aufstellung eines Projektteams, welches sich mit der Umsetzung der NIS-2 befasst. Hier sind im Besonderen Geschäfts- bzw. Amtsleitungen, IT-Verantwortliche sowie Datenschutz-Experten zusammenzuziehen.

Ist die NIS-2-Richtlinie das richtige Mittel, um für mehr IT-Sicherheit zu sorgen?

Berghoff: Da die NIS-2 in vielen Teilen dieselben Anforderungen wie die ISO27001 hat, ist die Antwort definitiv „Ja“. Sie enthält viele Vorgaben und Anforderungen, die unter Sicherheitsgesichtspunkten schon immer eine gute Idee waren. Insofern ist die NIS-2 grundsätzlich zu begrüßen.

(ID:49893125)

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung in der Verwaltung

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte