Der Schutz kritischer Infrastrukturen ist ein zentrales Anliegen der deutschen Regierung und der EU. Mit dem kommenden NIS2-Gesetz wird der Bereich der IT-Sicherheit im Energiesektor erweitert. Deutlich mehr Geschäftsbereiche und Abläufe in Ihrem Unternehmen sind betroffen. IT-Security darf dabei nicht als lästige Pflicht abgehakt werden, sondern sollte als Cyber-Resilienz in die DNA Ihres Unternehmens aufgehen.
Drei Fragen und Antworten:
Warum sollten sich Unternehmen der Energiewirtschaft bereits jetzt mit NIS2 auseinandersetzen?
Der deutsche Gesetzgeber hat das NIS2-Gesetz sehr spät auf den Weg gebracht. Die entsprechende EU-Richtlinie ist bereits im Herbst 2024 in Kraft getreten. NIS2 ist jedoch nur ein Baustein in einer Reihe von Gesetzen und Verordnungen. Welche Anforderungen auf die Unternehmen der Energiewirtschaft zukommen, ist bereits jetzt klar.
IT-Security und Cyber-Resilienz lassen sich jedoch nur über einen längeren Veränderungsprozess erreichen.
Ich befürchte viel neue Bürokratie und Verwaltungsaufwand durch das NIS2-Gesetz! Worauf müssen wir uns einstellen?
Der gesetzliche Rahmen des NIS2-Gesetzes ist für uns alle neu und die Regelungen müssen noch an die Anforderungen des Unternehmensalltags angepasst werden. Wir sehen aber, dass die verantwortlichen Behörden (insbesondere das BSI) niedrigschwellige Angebote zur Unterstützung der Unternehmen bei der „Bürokratie” vorbereiten. Dabei handelt es sich häufig um sehr pragmatische und einfach umzusetzende Lösungen, die auch in KMU (kleinen und mittleren Unternehmen) funktionieren.
Natürlich ist es einfacher, wenn Sie bereits KRITIS-Geschäftsbereiche in Ihrem Unternehmen haben. Die größere Herausforderung bleibt jedoch, die Akzeptanz für Cyber-Resilienz im Unternehmen zu schaffen. Die Einrichtung und der Betrieb von IT-Security-Tools gelingen nur, wenn die Organisation diese Maßnahmen unterstützt. Die Pflichtmeldungen und das Berichtswesen erfolgen dann in der Regel automatisiert über diese IT-Security-Tools.
Wie können wir unser Unternehmen am besten vor Cyber-Attacken schützen?
In unserem Seminar gehen wir auf verschiedene Vorgehensweisen, geeignete IT-Services und Kooperationsmöglichkeiten ein. Letztendlich hängt die Vorgehensweise sehr von Ihrer Unternehmensstrategie und Ihren internen Kapazitäten ab. Die Zusammenarbeit mit spezialisierten IT-Dienstleistern bietet sich an, da IT-Security branchenübergreifend ähnlich ausgestaltet ist.
Die spezifischen Anforderungen des Energiesektors sind jedoch gesondert zu betrachten und erfordern die Zusammenarbeit verschiedener Geschäftsbereiche in Ihrem Unternehmen (Netz, Energiedienstleistungen, MSB, IT, Prozessmanagement, Risikomanagement). Es gibt Besonderheiten wie spezielle Angriffsvektoren und das Zusammenwirken unterschiedlicher Regelungen zur IT-Security in den Lieferketten.