users lounge

Der Podcast für mehr IT-Sicherheit

#31 NIS-2

Neue Anforderungen, mehr Verantwortung: IT-Sicherheit im europäischen Rahmen stärken

22.11.2024 73 min

Zusammenfassung & Show Notes

NIS-2 kommt – und viele Unternehmen sind betroffen. Wir klären, was sich gegenüber NIS-1 ändert, welche Anforderungen auf uns zukommen und warum die Geschäftsführung jetzt gefragt ist. Themen wie Meldepflichten, Risikomanagement und Vergleich zu ISO 27001 stehen im Fokus.

Mit NIS 2 steht uns eine der weitreichendsten Veränderungen in der europäischen Cybersicherheitslandschaft bevor. Auch wenn die Richtlinie aktuell noch nicht rechtsverbindlich ist, bereiten wir uns aktiv auf die kommenden Anforderungen vor – denn die Zeit zu reagieren ist jetzt.
Im Vergleich zur ersten Version wurde der Anwendungsbereich deutlich erweitert, und damit sind nun viele Unternehmen betroffen, die sich bislang nicht mit dieser Thematik auseinandersetzen mussten. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Geschäftsführung, die Verantwortung übernehmen und Entscheidungen aktiv mitgestalten muss.
Wir setzen uns mit den neuen Anforderungen im Bereich Risikomanagement, Meldepflichten und Sicherheitsvorfällen auseinander. Klare Meldewege, gute Dokumentation und kontinuierliche Schulungen sind für uns essenziell, um gesetzeskonform zu handeln und im Ernstfall handlungsfähig zu bleiben.
Der Vergleich zu Standards wie ISO 27001 hilft uns, bestehende Maßnahmen einzuordnen und gezielt weiterzuentwickeln. So schaffen wir eine Sicherheitskultur, die NIS 2 nicht nur erfüllt – sondern aktiv lebt.

Takeaways
  • NIS-2 ist ein heißes Thema in der Cybersecurity.
  • Die NIS-2-Richtlinie hat noch keine rechtlichen Verpflichtungen für Unternehmen.
  • Unternehmen sollten sich proaktiv auf NIS-2 vorbereiten.
  • Die Geschäftsführung trägt die Verantwortung für die Cybersecurity.
  • Die Meldepflichten wurden in NIS-2 konkretisiert.
  • NIS-2 erweitert den Anwendungsbereich auf mehr Sektoren.
  • Die Sanktionen für Verstöße gegen NIS-2 sind gestiegen.
  • Es gibt Unsicherheiten über die Betroffenheit von Unternehmen.
  • Die Definition der Betroffenheit ist nicht klar und variiert.
  • Die Diskussion über NIS-2 ist wichtig für die Compliance-Strategie. NIS-2 unterscheidet sich grundlegend von NIS-1.
  • Unternehmen müssen sich nach Kritikalität kategorisieren.
  • Risikomanagement wird umfassender und dokumentationspflichtig.
  • Meldepflichten sind zeitkritisch und erfordern schnelle Reaktionen.
  • Die Integration von Drittanbietern in das Risikomanagement ist neu.
  • NIS-2 ist nicht gleichbedeutend mit ISO 27.001.
  • Unternehmen müssen sich registrieren, wenn sie kritisch sind.
  • Meldesysteme müssen agil und schnell sein.
  • Sensibilisierung der Mitarbeiter ist entscheidend.
  • Die Geschäftsführung muss in das Risikomanagement eingebunden sein. Meldekanäle müssen klar definiert und geschult werden.
  • Die 24-Stunden-Meldefrist ist eine große Herausforderung für Unternehmen.
  • Erstmeldungen müssen qualifiziert und präzise sein.
  • Die Wortwahl in Meldungen kann rechtliche Konsequenzen haben.
  • Befähigte Personen sind notwendig, um Meldungen korrekt abzugeben.
  • Gute Dokumentation ist entscheidend für die Einhaltung von Fristen.
  • Eine Bestandsaufnahme ist der erste Schritt zur Umsetzung von Datenschutzmaßnahmen.
  • Der Gesetzgeber motiviert Unternehmen zur Verbesserung der Cybersecurity.
  • Technische und organisatorische Maßnahmen sind jetzt Pflicht.
  • Überwachung und kontinuierliche Verbesserung sind essenziell für den Datenschutz.

Transkript

Hallo und herzlich willkommen wieder zurück in der users lounge. Heute wie immer mit mir der Michael. Moin Michael.
Michael
00:00:38
Moin René, grüß dich. Hi. Hi, servus.
René
00:00:40
Ja, wir hatten ja angekündigt, dass wir mal zwischen den, ja zwischen den Episoden der Compliance, dass wir da die NIS-2 mal einmal zwischenschieben, einfach weil es aktuell ist und vielleicht auch mal zwischendurch, um eine kleine Abwechslung reinzukriegen. Und ja, das machen wir heute. Und ich denke, da bist du, also gerade was so das Regulatorische angeht, bist ja wie immer genau der richtige Mann.
Michael
00:01:06
Ich wollte gerade sagen, irgendeiner von uns beiden kam auf die doofe Idee, mal so ein richtig heißes Eisen anzupacken vor Weihnachten. Da haben wir uns überlegt, was ist das, was die meisten umtreibt und wo man so am tiefsten nochmal in die Materie einsteigen muss und gucken muss. Chacka die NIS-2 gefunden. Aber ich denke, klar, da kriegen wir einen schönen Podcast gefüllt. Wir haben ein paar Dinge, wo wir reden können. Ich glaube, so ein paar Mythen und so ein bisschen Philophanz, die man aufklären können am Ende so einen gesunden Menschenverstand, was man machen sollte als Unternehmen, wenn man dann betroffen ist. Genau. Lass uns loslegen. Genau, ich würde, fang an. Nee, dann mach du. Ich wollte gerade sagen, lass uns anfangen. NIS 2 ist, glaube ich, in aller Munde aktuell. Du kommst durch kein soziales Netzwerk, LinkedIn, Insta, whatever, durch keinen Datenschutz und IT-Kram, durch kein Newsletter, durch kein Nichts, ohne dass dir irgendwo die NIS-2 vor die Füße fällt. Und ehrlicherweise gesagt, irgendeiner irgendwelche Panik macht, dass jetzt ganz dringend irgendwelche Unternehmen, irgendwas, am besten alle Unternehmen, irgendwas ganz dringend machen müssen. Und die coolsten Nummern, die ich immer finde, ist, wenn ich so Beiträge lese, wo drinsteht, NIS 2, jetzt nicht warten, sofort ISO 27001 einführen. Das sind eben so Dinge, wo ich so ein leichtes Schmunzeln in die Backe kriege und wo ich will, dass wir das auf jeden Fall heute mal besprechen. Also wir wollen viel... Michael, das ist starkes Marketing. Ja, ja, genau das ist das Problem. Genau das ist die Sache. Und damit will ich anfangen. Und zwar, für mich ist erst mal wichtig, wenn wir über NIS 2 reden, reden wir über eine Richtlinie, die von der EU kommt. Und da muss man erst mal gucken, EU Gesetzgebung, ich bin da auch nicht so ganz pfiffig mit drin, aber es gibt grundsätzlich zwei verschiedene Dinge. Es gibt Verordnungen und es gibt Richtlinien. Verordnungen haben eine direkte Gültigkeit in den Mitgliedstaaten. Bestes Beispiel DSGVO, Datenschutzgrundverordnung. Eine Grundverordnung ist, ohne dass sie in nationales Urrecht umgesetzt werden muss, direkt wirksam in allen Mitgliedstaaten. Merken wir alle, DSGVO ist ein leidiges Thema, ist ein Spaßthema, kennen wir alle seit 20 Jahren. NIS 2, eine Richtlinie ist nicht direkt wirksam im Mitgliedstaat, sondern muss in nationales Recht umgesetzt werden. Somit, und ich habe das eben auch noch mal kurz auch auf der BSI Seite nachgegoogelt, ist die NIS 2 Richtlinie nicht in Stein gemeißelt, was in Unternehmen umgesetzt werden muss, sondern es muss ein NIS 2 Umsetzungsgesetz geben. Das nennt sich in Deutschland NIS 2 Umsetzungs- und Cybersicherheitsgesetz und das ist bindend für die Unternehmen in Deutschland. Und das gibt es noch gar nicht. Und ich glaube, das ist so das erste, was man machen muss und das erste, was ich wahrscheinlich jetzt auch gerade kontrovers in den Raum schmeißen. Natürlich hat die NIS 2 Dinge, die auf jeden Fall übernommen werden und natürlich gibt es auch schon Entwürfe von dem NIS 2 Umsetzungsgesetz. Aber Stand heute aktuell, NIS 2 Umsetzungsgesetz ist noch nicht veröffentlicht, das ist noch nicht rechtswirksam aktiv und die NIS 2, um es ganz überspitzt zu treffen, hat einfach überhaupt keine Verpflichtungen an die Unternehmen in Deutschland. Und das muss man sich einfach ganz am Anfang mal klar werden. Somit könnten wir jetzt sagen, Podcast endet, NIS 2, schönes Wochenende. Bis in 14 Tagen. Ja, ich meine, das war jetzt ein langer Monolog von mir, aber ich denke, das ist wichtig. War dir das so oder ist dir das so bewusst, auch in deiner Beratung rein? Weil ich ganz viel habe, wir müssen es zweimal.
René
00:05:20
Ja, das ist auch so. Also am Ende des Tages ist es bei uns natürlich auch so, dass wir jetzt, ja, es kommt ja dann auch von den Unternehmen heraus und so, die dann eben genau das anfragen. Ja, gerade, dass es noch nicht deutsches Recht ist und noch gar nicht so verpflichtend ist, wie es überall dargestellt wird. Okay, das war mir definitiv nicht bewusst. Ja, ganz viele Unternehmen sagen aber dann, also sie sagen trotzdem so oder so, wir machen es jetzt, weil irgendwann wird es ja kommen. Das heißt, es ist ja jetzt nicht verkehrt, das zu machen. Am Ende des Tages schafft dem Unternehmen das aber entsprechend viel noch Zeit nach hinten raus, um es eben auch fertig zu machen. Das ist nicht das Thema.
Michael
00:06:07
Da bin ich auch voll mit dabei. Wobei ich dir jetzt noch sage, jetzt zeigst du den Podcast auf, kurz nach den US-Wahlen, kurz nachdem unsere Regierung sich überlegt hat, wir machen was anderes, wir wollen auch nicht politisch werden. Aber der aktuelle Zeitplan vor diesem Tag sah halt vor, dass die fest vorhaben, dass dieses Jahr noch so in trockene Tücher und so kriegen, sodass sie den Plan haben, dass das Anfang 2024 veröffentlicht wird, beziehungsweise gesetzt wird. 25. 25, sorry. Ich setze jetzt mal mutig die Vermutung auf, dass die Buben in Berlin aktuell anderes um die Ohren haben werden, wie das Gesetz zu unterschreiben und zu veröffentlichen. Das heißt, auch da kann noch mal ein Verzug reinkommen. Und ich bin vollkommen dafür, dass sich Leute um Cyber Security, um Sicherheit, Informationssicherheit, Kritis, dass wir uns das alles kümmern, wo wir gleich drüber reden, bin ich ein vollkommener Freund von. Und wenn das, wenn das, wenn die NIS, wenn das NIS-2 Umsetzungsgesetz da ist, kann es auch sein, dass es kurze Fristen gibt, bis das, bis das die Anforderungen oder dann, bis sich die Unternehmen auch wirklich dran halten müssen. Das wird ziemlich schnell durchschlagen. Das heißt, ich bin schon ein großer Freund davon, zu sagen, bereitet euch in irgendeiner Art und Weise vor. Und da gibt es halt die Entwürfe vom NIS-2 Umsetzungsgesetz und NIS-2, wo man mal stöbern kann, wo man mal gucken kann, ob man überhaupt betroffen ist. Reden wir auch gleich drüber. Aber ich weigere mich so ein bisschen und ich bin ein bisschen vorsichtig immer bei der Panikmache von Beratungsunternehmen, die jetzt der Meinung sind, irgendwelches Beratergold liegt auf der Straße und die erst mal rausposauen, Unternehmen müssen ab sofort NIS-2 einhalten und es drohen Rotkraftzahlungen und jalla jalla. Und das ist eben so der Punkt, wo ich da kein großer Freund von bin, weil es eben so nicht ist von der Gesetzeslage her. Also ich bin immer auf dem Teil, es gibt immer das, was man tun sollte und es gibt immer das, was man aktuell gesetzmäßig tun muss. Und bei dem, was ich jetzt aktuell heute tun muss, bin ich bei Stand Null, weil ich muss nichts tun. Es gibt das Gesetz nicht, was ich einhalten muss. Bei dem Stand, was ich tun wollte, ist das, was wir jetzt oder tun sollte, ist das, was wir jetzt die nächste Zeit besprechen. Aber das wollte ich einmal am Anfang bitte klar haben. Und wenn ich da daneben liegen sollte, jemand andere Meinung hat, schreibt uns eine Nachricht, kommentiert den Podcast, geht mit uns in einen Dialog, gerne bereit. Und wir lesen es nicht. Doch, wir lesen es auf jeden Fall.
René
00:08:37
Natürlich.
Michael
00:08:39
Wir lesen und antworten und wie gesagt, das ist so meine Sicht der Dinge. Das ist das, was ich auch heute noch mal, dass ich kein Völlefanz erzähle oder ich mir sicher bin, dass ich kein Völlefanz in der Richtung erzähle. Das ist heute noch mal das, was ich alles durchgegoogelt und nochmal durchgeguckt habe, weil es halt echt ein Klopäck-System ist. Aber alle Kanäle, alle Stand der Dinge ist genau das, was ich tue. Das ganz kurz zur Einleitung.
René
00:09:05
Natürlich lesen wir eure Nachrichten. Das war gerade nur so. Es klang so nach Abmoderation an. Wenn ihr was habt, dann egal.
Michael
00:09:12
Nein Spaß. Dann egal, genau. Wir sind natürlich für jede Diskussion offen. Aber gehen wir ins Fachliche, gehen wir ins Sinnvolle, gehen wir in den Kram rein. Was wird denn da auf uns zukommen in der NIS-2? Und wir reden jetzt nicht mehr über die NIS-2 Richtlinie, würde ich sagen, oder nicht mehr in das NIS-2 Umsetzungsgesetz, sondern der Einfachheit halber einigen wir uns darauf. Wir reden jetzt über NIS-2. Dann sind wir vom Wording ziemlich flexibel und variabel und dann ist es ziemlich einfach. Und wir verarsten uns nicht permanent. Ja, was wird NIS-2 auf uns zukommen? Beziehungsweise was will denn NIS-2 überhaupt? Und wenn es eine NIS-2 gibt, gab es überhaupt schon mal eine NIS-1?
René
00:09:51
NIS-1 gab es auf jeden Fall. War aber nie, genau, gibt es ja auch immer noch. Aber es war halt nie so ein Riesenthema, wie es jetzt die NIS-2 ist. Das heißt, die NIS-1 war ja eher so einfach auf Kritis bezogen, also kritische Infrastruktur, war halt sehr, sehr eingeschränkt. Das heißt, da waren nicht so viele Branchen von betroffen, auch nicht so viele in der Breite, die eben mit betroffen sind, sondern ja, das ändert sich halt jetzt genau. Das heißt also jetzt die NIS-2 hat auf jeden Fall einen erweiterten Anwendungsbereich. Bedeutet über NIS-1 hinaus, also sprich über kritische Infrastruktur, was ja zum Beispiel Energie und sowas ist, fallen jetzt Dinge rein wie Gesundheitswesen. Natürlich immer mit Einschränkungen. Da kommen wir gleich zu, wann man betroffen ist. Aber zum Beispiel das Gesundheitswesen, öffentliche Verwaltung, Finanzsektor, so alles Dinge, die dann ja nicht in erster Linie immer ganz kritisch sind, aber trotzdem auch ja, ich sage mal, für das Allgemeinwohl doch schon entscheidend sind. So, die fallen da auch mit rein.
Michael
00:11:10
Ja, es war halt NIS-1 hast du halt, also wenn wir über NIS-1 reden, oder wenn wir über NIS reden, reden wir über Cybersicherheit im größeren Sinn. Und es war halt vorher, sag mal, unterm Radar. Das war für die Leute, die die Kraftwerke betreiben, die kritische Infrastruktur in diesem Sinne haben, Abwasserverbände, also alles das, was wir brauchen, um zu leben, wie du da schon gesagt hast, das ist unter kritische Infrastruktur gefallen. Das macht doch Sinn. Also Kraftwerke, Atomkraftwerke, irgendwelche Wasserwerke, irgendwelche Staudämme, Irgendwas, Edersee, etc., pipi. Das hätte ich gerne schon so ein bisschen kritischer noch abgesichert. Die sind unter diese Richtlinie zur Cybersicherheit gefallen, mussten spezielle Regeln und Spielregeln nochmal einhalten, mussten sich aufdrucken. Und NIS-2 hat den ganzen Kram halt eben erweitert. Nichts wird weniger, wenn was Neues kommt. Wenn was Neues kommt, wird es in der Regel immer mehr. Und das legt halt jetzt auch verschiedene Sektoren, wie du da schon vor kurzem gesagt hast, legt auch verschiedene Sektoren eben durch. Und genau da ist die Unsicherheit. Und lasst uns an der Stelle den Bogen machen. Wer ist denn überhaupt betroffen und wer nicht? Weil das ist, glaube ich, der nächste ganz wichtige Punkt, wenn sich Unternehmen damit auseinandersetzen. Und wo ganz, ganz viel Unsicherheit im Unternehmen, merke ich zumindest in der Beratung, wo Unsicherheit ist, wo Leute sagen, müssen wir jetzt NIS-2. Wir bauen Lutscher, ist das jetzt NIS-2? Wir reparieren Autos, ist das jetzt kritische Infrastruktur? Und das ist eben, weil sich das so erweitert hat, hat halt die NIS-2 einen Annex 1 und einen Annex 2. Man kann in diese NIS-Gesetzreihe, in diese NIS-Richtlinie reingehen, kann durchscrollen, kann den ganzen Zermann oben mal hinter sich lassen und kann mal unten in den Annex 1 und Annex 2 gucken. Weil da sind die Sektoren drin.
René
00:12:53
Also ich würde gerne auch vorab, bevor wir jetzt wirklich auf die Betroffenheit gehen, noch mal einmal darüber sprechen, welche Änderungen, weil wir gerade von NIS-1 und NIS-2 gesprochen haben, wo wirklich die Änderungen zwischen den beiden Teilen sind. Da würde ich kurz noch mal darauf eingehen wollen.
Michael
00:13:09
Sehr gerne.
René
00:13:11
Das heißt, so wie ich gerade schon gesagt habe, natürlich hat sich der Anwendungsbereich geändert, also erweitert. Damals war es halt, also die NIS-1 war halt, wie du gerade auch schon gesagt hast, Energie, Transport, Wasserwirtschaft, Digitalinfrastruktur, also auch die, ich sag mal, meine Internetanbieter und so weiter. Jetzt, wie gesagt, Gesundheitswesen, Abfallwirtschaft, öffentliche Verwaltung, Raumfahrt, die waren tatsächlich vorher auch nicht betroffen, sind es aber jetzt dann doch endlich. Ja, Sicherheitsanforderungen sind auf jeden Fall ein Ding, was sich auf jeden Fall geändert hat. In der NIS-1 gab es natürlich auch schon Vorgaben. Allerdings haben die sich jetzt in der NIS-2 deutlich erweitert. Das heißt, in der NIS-1 wurde nur definiert, was wollen wir gerne behandeln, aber nicht mit welchen Maßnahmen. Und die sind jetzt auch benannt. Das heißt, die Beispiele dafür wären Risikomanagement. Haben wir jetzt in den letzten Episoden mal drüber gesprochen, mehrfach. Dann haben wir Zugangs- und Identitätsmanagement. Bedeutet auch zum Beispiel MFA verpflichtend. Ansonsten erfüllt man die Richtlinie nicht. Netzwerk- und Systemsicherheit, Firewall, IDS, IPS, also sprich wirklich Systeme, mit denen ich Bedrohungen in meinem Netzwerk erkenne oder erkennen kann. Verschlüsselung ist vorgeschrieben. Awareness-Schulungen werden auf jeden Fall vorgeschrieben. Eine Notfallplanung ist notwendig. Ein Auditing brauche ich. Und die Meldepflicht ist ganz klar geregelt. In der NIS-1 war es so, dass die Meldepflicht, da gab es zwar natürlich auch, okay, so, das sind die Wege, die müsst ihr gehen und ihr habt auch nur eine gewisse Zeit. Aber diese Zeit war auch nicht in Stunden definiert. Das hat sich jetzt auch geändert. Die NIS-2 sagt ganz klar, initial muss man Verletzungen quasi innerhalb von 24 Stunden melden. Und dann hat man 72 Stunden Zeit, einen detaillierten Bericht vorzulegen. Dann, was sich auch geändert hat, ist die Verantwortlichkeit. Das heißt, im Normalfall, oder was heißt im Normalfall? Jetzt muss die Geschäftsführung in die Verantwortung gehen und sie ist auch persönlich dafür haftbar. Das bedeutet, dass die Geschäftsführung wirklich auch ganz klar in diesen ganzen Prozess, in alles, was die NIS-2, also meine Cyber Security Sicherheit angeht, dass sie da eingebunden sein muss. Wenn sie es nicht ist, okay, geht sie selber ein hohes Risiko ein, irgendwann mal mit einer Strafe konfrontiert zu werden.
Michael
00:15:52
Ja, und was ich super wichtig finde an dieser Stelle, ein paar andere Punkte gehen mir gerade durch, aber genau bei dem Punkt finde ich es super wichtig, dass in der Richtlinie auch von der Kompetenz der Geschäftsleitung gesprochen wird. Also hier wird auch ganz klar davon gesprochen, dass die Geschäftsleitung kompetent sein muss, die Verantwortung zu tragen bzw. sich damit auszukennen. Und das finde ich jetzt schon ein super spannendes Thema, wie das in der Umsetzung in der Realität aussehen soll. Weil du hast eben über alles drüber gesprochen, eben hast du über Risiko und den ganzen Kram gesprochen und wie die Schulungsmaßnahmen aussehen, um die Kompetenz der Geschäftsleitung nachzuweisen, gemäß dieser Richtlinie kompetent genug zu sein, die Verantwortung zu übernehmen, also die Verantwortung so zu übernehmen und auch die Kompetenz entsprechend zu haben. Das gibt eine tricky Nummer. Das ist eine Cyber Security oder Cyber Sicherheit Schulung für den Mitarbeiter ist das eine, dass die Mitarbeiter eben die Kompetenz nachweisen müssen, beziehungsweise, dass die unterwiesen werden müssen. Klar, das ist cool, aber wie ich das in der Geschäftsführung abdecke und welcher Schulungsanbieter irgendwann welche Schulungsmodule aufbaut, um speziell der Geschäftsführung das notwendige Wissen mit Nachweis im Kopf zu hämmern, damit die ihren Pflichten nachkommen. Das gibt ein spannendes Thema. Finde ich mega spannend.
René
00:17:14
Auf jeden Fall. Ich glaube aber, wir brauchen natürlich nicht davon sprechen, dass die Kompetenz so weit sein sollte, dass sie es selber umsetzen können. Aber die Geschäftsführung muss auf jeden Fall so kompetent sein, dass sie nachher diese Audit Berichte versteht und auch dann KPIs und sowas messen kann, damit sie dann daraufhin Entscheidungen treffen kann. Und das ist auf jeden Fall wichtig.
Michael
00:17:37
Ausdrücklich Geschäftsleitung. Wenn man in ein Management System reingeht, dann steht immer was drin, so ein oberster Leitung und wie auch immer. Also da kannst du immer wälzen und machen und dir immer irgendwas überlegen. Hast du ein QMP, ein ISB, ein whatever, hier steht die Geschäftsleitung. Das kannst du nicht abwälzen, dass du sagen kannst, ich mache jetzt ein One Pager, wo drinsteht, hiermit übertrage ich die Verantwortung der Geschäftsleitung zum Thema NIS-2 an meinen ISB. Datum, Unterschrift, jeder unterschreibt, du bist fertig und du bist raus aus der Nummer. Genau das wird eben nicht gehen und das passiert nicht. Und deswegen ist es die Geschäftsleitung. Und das ist das erste Mal, dass ich das so extrem in der Richtlinie geschrieben stecke.
René
00:18:18
Ja, zwei Punkte haben wir noch. Anforderungen auf EU-Ebene. Das ist halt, ja, das hat sich jetzt eigentlich nicht geändert. Aber es ist halt so, dass vorher so ein bisschen. Ja, es war ja dadurch, dass keine klaren Vorgaben waren, wie die Umsetzung zu machen ist, war es halt so, dass die Umsetzung immer so ein bisschen variierte von EU-Land zu EU-Land, weil die Standards einfach auch andere waren. Das ist halt etwas, das sich jetzt ändert, weil eben auch die Maßnahmen benannt werden. Das heißt, da werden wir einen einheitlichen Standard bekommen. Und Sanktionen. Sanktionen ist ja immer etwas, was dann einhergehend damit ist. Ich finde die, die, ja, die, also bei der NIS-1 wird uns allen, glaube ich, nie wirklich über den Weg gelaufen sein, dass jemand da wirklich eine Sanktion bekommen hat. Also ich habe es zumindest nicht mitbekommen. Bei der NIS-2 ist es so, die Bußgelder und die Sanktionen für Verstöße wurden halt deutlich erhöht, so wie es halt auch immer ist. Und die Begründung dafür ist, um die Unternehmen zur Einhaltung zu motivieren. Ich finde die in Austrakhal super witzig. Kann man so machen. Aber ja, grundsätzlich natürlich. Auch die Sanktionen sind gestiegen.
Michael
00:19:39
Genau, aber auch da, kurz Freak, verständlich, wenn wir über NIS-1 reden und haben eben gesagt, dass NIS-1 kritische Energie, Transport, Wasserwirtschaft und digitale Infrastruktur sind. Das sind eigentlich alles Unternehmen, die auf das Thema Cybersicherheit, Informationssicherheit, die haben einen Fokus auf der Kiste. Die sind sensibilisiert dafür. Die wissen, was sie, also die sollten wissen, was sie tun. Und die haben einen Fokus auf der Nummer. Wenn wir über NIS-2 reden und reden über, wen betrifft es denn jetzt? Welchen wir, wenn man im Internet bisschen rumguckt, die Zahl variiert ein bisschen, aber wir reden so von ca. 30.000 Unternehmen in Deutschland, die von NIS-2 betroffen sein werden, beziehungsweise von dem NIS-2-Umsetzungsgesetz. Und das ist schon eine andere Hausnummer. Das ist schon ein anderer Sack Flöhe, den du rüten musst, auf deutsch gesagt. Und aus der Nummer ergibt sich natürlich, dass du die Sanktionen hochfährst, um die Motivationsumsetzung ein wenig zu rollen und ein wenig sicherzustellen. Das ist von Verständnis. Für mich macht es Sinn, weil es halt einfach wesentlich mehr werden und da auch garantiert welche dabei sein, die sagen, na, eigentlich nee. Und dafür sind die Sanktionen gedacht.
René
00:20:52
Dazu kommt ja auch einfach, wenn man solche Richtlinien durchsetzen möchte, um wirklich einen Standard zu erreichen, das ist ganz normal. Ich meine, gerade wenn die NIS-2 so flexibel variabel auf alles reagiert hat, ja, dann, damit man eben nicht genau das wiedererreicht mit einer neuen Richtlinie, müssen die Sanktionen steigen. Das hört sich immer so abgedroschen an, aber am Ende des Tages muss es genau so sein.
Michael
00:21:22
Aber zumindest den Kunden, die wir betreuen, denen kann Sanktionen vollkommen egal sein, was will passieren. So ist es. Da war ganz kurz, ja. Von daher, easy going.
René
00:21:38
Gut umgesetzt, braucht man sich keine Gedanken machen.
Michael
00:21:40
Genau, gut umgesetzt, also kümmere ich mich drum, braucht man sich keine Gedanken zu machen. Und selbst nicht perfekt umgesetzt, sondern nur gut umgesetzt, reduziert die möglichen Bußgelder enorm. Also auch da. Genau. Kommen wir, wer betroffen ist. Weil das, glaube ich, unter den Nägeln brennt. Zu den Anforderungen des 2. Kommen wir nachher später mit Schulungen und Meldepflichten etc. PP, lass uns ganz kurz so ein Kamm scheren, dass wir so ein Muster reinbringen, wer ist betroffen, wer ist nicht betroffen. Habt ihr bei euch im Unternehmen eine betroffene Frage gemacht? Habt ihr es mal abgeklärt oder habt ihr es für Kunden schon mal getan und wie?
René
00:22:22
Es gibt ja jetzt beim BSI zum Beispiel gibt es die Betroffenheitsprüfung später gerne in die Shownotes, da wird der Link drinstehen.
Michael
00:22:33
Ganz wichtig.
René
00:22:34
Also da könnt ihr dann auch selber mal die Betroffenheitsprüfung machen. Wir haben das für uns gemacht, wir fallen aktuell nicht rein, wir selbst nicht. Stand jetzt. Wird aber denke ich dann auch irgendwann folgen. Aber worauf ich erst mal wollte, Michael und ich haben vor dieser Aufzeichnung, wir haben ja schon kurz über das Thema gesprochen, haben wir uns noch kontrovers darüber unterhalten, weil es unterschiedliche Herausgeber logischerweise gibt, also in der NIS-2 steht es nicht wortwörtlich genauso drin, wie es beim BSI steht, das heißt da haben wir vorhin schon sehr drüber diskutiert, weil die Wortwahl halt eine andere ist, aber am Ende des Tages dann doch dasselbe aussagt.
Michael
00:23:17
Weil nämlich in der NIS-2 eben gar nicht, also nur kryptidefiniert ist, wer überhaupt betroffen ist oder nicht. Weil die gehen nachher, die verweisen relativ oben im Anwendungsbereich nämlich auf KMU-Gesetz und darüber definiert sich, wer betroffen ist oder nicht. Und erst da kriege ich, also wenn man irgendwelche Tests macht, wenn man irgendwelche Checklisten ausfüllt, beziehungsweise der BSI-Test ist super, wenn man das macht, ist es ziemlich einfach, aber wenn ich als betroffenes Unternehmen einfach mal durchlese, dann sehe ich ziemlich klar unten, es gibt die zwei Annexe, kommen wir gleich zu, aber bin ich jetzt betroffen. Bin eine Onlineshow, bin ich jetzt betroffen. Und das kommt eben nur kryptid in der NIS-2 rüber und am Ende vom Tag geht es einfach um Mitarbeiterzahlen und Umsätze. Und da haben wir kontrovers drüber diskutiert, weil in dem einen Gesetz steht nämlich drin und alle NIS Prüfungen und alles, was da macht, ist ein oder drin. Und das war der Punkt, worüber wir diskutiert haben, René. Genau.
René
00:24:28
Also in der NIS-2 wird, also in der NIS selbst, in dem Dokument wird eben oder in den Unterlagen, da wird halt eben davon gesprochen, dass man nicht reinfällt, wenn man weniger als 50 Mitarbeiter oder Mitarbeitende und 10 Millionen Jahresumsatz hat. Und in allen anderen, also BSI und alle anderen Prüfungen, da steht halt eben, dass es ein oder ist. Das heißt, entweder habe ich mindestens 50 Mitarbeitende oder eben mindestens 10 Millionen Jahresumsatz. So und das ist genau das, wo sich eben unterscheidet. Das eine war halt eben dieses und und das andere war das oder. Am Ende des Tages sagt es aber doch das gleiche aus. Aber da merkt man mal, wenn man nur Dokumente wählt, ist es dann nachher ja, es kann sehr unterschiedlich ausfallen und auch unterschiedlich aufgefasst werden. Deswegen ist es, glaube ich, ganz wichtig, auch so ein Betroffenheitscheck mal zu machen und einfach das durchzuspielen. Dann bekommt man dann das entsprechende Ergebnis.
Michael
00:25:31
Du musst halt sehr tief lesen und musst sehr intensiv durchlesen, weil das eine ist eine Positivbestätigung, 50 und, und das andere ist mit oder ist eben die Negierung von der ganzen Sache und daraus entscheidet sich und und oder. Um die Verwirrung aufzuheben oder um das klar zu machen, alle Betroffenheitsprüfungen, die wir jetzt durchprobiert haben, alles was wir im Internet gefunden haben, das ist da definitiv ein oder. Das heißt, ich muss erst mal für mich abchecken, habe ich mein Unternehmen, habe ich mehr wie 50 Mitarbeiter, also 50 plus 1 oder größer gleich 50. Ab 50 geht es los. Wenn ich genau 50 bin, würde ich darüber diskutieren wollen. Kriegen wir hin. Ja, also 50 ist der Schwellwert und der andere Schwellwert ist 10 Millionen. Das sind so die beiden Einstiege, womit ich anfange, was ich als Unternehmerchef ziemlich leicht für mich selbst entscheiden und selbst gucken kann. Das heißt, fange ich in einer der Kategorien. Habe ich weniger wie 10 Mille, habe ich weniger wie 50 Mitarbeiter und war vorher nicht von Kritis 1 betroffen, dann kann ich an dieser Stelle, vielen Dank fürs Zuhören, dann bin ich raus aus NIS-2. Oder siehst du es anders?
René
00:26:52
Nee, ist genau so. Und es gibt dann eben nochmal eine kleine Unterscheidung. Das hat nachher in den Maßnahmen nichts zu tun, sondern nur in welchem Bereich ich eingestuft werde. Es gibt eben wichtige Einrichtungen und es gibt besonders wichtige Einrichtungen. Da unterscheidet sich das einfach nur nochmal in meinem Jahresumsatz und in meiner Branche. Mitarbeiter natürlich auch, aber das ist ja das hatten wir ja gerade schon. Also je nachdem, wie mein Jahresumsatz liegt, bin ich dann entsprechend wichtig oder besonders wichtig.
Michael
00:27:26
Wobei alles unter 50 und alles unter 10 Mille ist gesiebt. Nachher gibt es noch eine Abgrenzung. Ich glaube mit 49 Millionen und 250 Mitarbeitern, da gibt es einen Schwellwert näher oben drüber. Aber bin ich unter 50, bin ich unter 10 Millionen, ist das Thema für mich NIS-2 Häkchen dran. Glaube ich nicht. Genau. Wenn ich vorher auch nicht von NIS-1 betroffen war.
René
00:27:47
Ja. Gut, aber NIS-1 führt auch nicht automatisch zu NIS-2. Nein. Dann könnte es halt sein, dass man dann eben einfach nur in die Kritis fällt. Ja. Nur ganz wichtig. Da unterscheidet sich das schon, aber ansonsten gut. Da gehen wir aber auch nicht weiter drauf ein. Wir bleiben jetzt bei der NIS-2. Ich glaube das ist das Thema, was dann jetzt auch am spannendsten ist.
Michael
00:28:15
Bin ich höher als 50 Mitarbeiter, soll ich mir in der NIS-2 mal den Annex 1 und den Annex 2 angucken. Weil dann geht es darum, arbeite ich oder errichte ich eine Dienstleistung oder erbringe ich eine Wirtschaftsleistung in einen dieser in Anhang 1 und Anhang 2 genannten Sektoren. Und da ist genau das, was du gerade gesagt hast, Annex 1 ist hohe Kritikalität, Annex 2 ist nur kritisch. Und da muss ich mir halt einfach angucken, passt da was. Das sind Sektoren benannt. In diesen Sektoren gibt es teilweise Teilsektoren. Und diese Teilsektoren gibt es wieder hinten mit Beispielen. Und da muss ich einfach einen Blick rein riskieren.
René
00:28:58
Ja, aber auch das erfolgt ja auch über den Check erstmal, damit man erstmal weiß, ob man wirklich einsortiert wird, da überhaupt mit reingehört. Ja, hast du recht. Dann gehören natürlich die Dokumente dazu, dass man sich die nochmal genau durchliest und nochmal guckt, was betrifft mich jetzt, wie muss ich da aktiv werden und so weiter. Ja, es gibt dadurch natürlich auch in der NIS-2 bestimmte Dinge, die man einfach tun muss. Wir haben, oder habe ich ja gerade schon mal gegenübergestellt, NIS-1, NIS-2. Die NIS-2 ist da ja auf jeden Fall um einiges, was ihre Anforderungen angeht, nach vorne gegangen. Das heißt, da gibt es auch, dadurch, dass es halt benannt ist, ist es jetzt viel leichter greifbar auch, was sind meine Maßnahmen, was muss ich tun. Und da würde ich gerne jetzt mal einmal zum Beispiel auf das Risikomanagement eingehen. Das hatte ich ja vorhin auch genannt. Das ist halt etwas, was sehr viel ausgeprägter jetzt stattfindet. Das heißt, beim Risikomanagement ist es alleine schon so, es muss erstmal umfassend sein. Das heißt, meine gesamte Infrastruktur, die Software, die Prozesse und auch schon meine möglichen Auswirkungen auf Kunden. Sollte ich einen Angriff erleiden, welche Auswirkungen hat das dann auf die weiterführenden belieferten Unternehmen zum Beispiel. Das sind halt so Dinge, die wurden ja vorher so nicht berücksichtigt und das ändert sich jetzt. Dann ist es wichtig, dass die einzelnen Schritte im Risikomanagement auch dokumentiert werden. Also, dass später nachverfolgbar ist, wie wurden die Entscheidungen getroffen und auch vor allem, welche Maßnahmen wurden getroffen. Das muss auf jeden Fall nachverfolgbar bleiben. Dann haben wir Schutzmaßnahmen, also da Netzwerkssegmentierung. Wir haben die letzten Male schon immer wieder mal darüber gesprochen. Also diese Themen haben wir alle schon mal irgendwie gehabt. Firewall, Zugriffskontrollen, Aktualisierung von Systemen, sicherlich Themen. Dann ist auch wichtig, dass wir eine strukturierte Notfallplanung haben. Gerne ein paar Folgen zurück, da haben wir auch ausführlich über das Thema gesprochen. Dann ist jetzt, das ist auch etwas, was eben neu dazu kommt, ist die Lieferkette und Drittanbieter. Das heißt, wir müssen ab jetzt in der eigenen Risikobewertung auch berücksichtigen, sind bei meinen Zulieferern in der Lieferkette oder bei meinen Dienstleistern, Drittanbietern, sind da Schutzmaßnahmen eingeführt. Das muss mit in meine Risikobewertung. Das heißt, immer wenn ich jetzt auch eine Software dazunehmen möchte, muss ich schauen, welche Maßnahmen gibt es dort und welche Auswirkungen hätte, wenn jetzt irgendwas schief geht, welche Auswirkungen hätte das wiederum auf meine Kunden. Also man muss halt wirklich die ganze Kette von vorne bis hinten durchspielen, um zu schauen, wo jetzt wirklich das Risiko beginnt oder ob ich überhaupt ein Risiko habe. Das ist halt etwas, das jetzt sehr neu dazu kommt, also zumindest in diesem Umfang. Das war vorher auf jeden Fall nicht so geregelt. Dann brauchen wir mit den Drittanbietern auch ganz klar Verträge, wo eben diese Maßnahmen festgelegt sind. Verträge müssen vorlegbar sein, wenn diese angefordert werden. Also bei einer Prüfung, möglichen Prüfungen nicht dann sagen, ja ich frage das an, sondern ne, da muss der Vertrag vorliegen. Dann regelmäßige Audits, also da innerhalb des Audits müssen Tests stattfinden und diese Testergebnisse müssen auch dokumentiert werden, so wie das Audit selbst, aber selbst die Ergebnisse, Teilergebnisse des Audits müssen mit dokumentiert werden. Monitoring und Bedrohungserkennung, das hatte ich ja vorhin schon gesagt, also Monitoring an sich von meinem System, aber Bedrohungserkennung wäre wieder IDS, IPS, also wirklich eine, ja einfach zu schauen, passiert gerade irgendwas in meinem Netzwerk, diese Systeme prüfen das und abschließend die Geschäftsführung muss klar mit eingebunden sein, sie muss ein Reporting erhalten, also das muss sie anfordern und sie muss das Reporting verstehen und aufgrund dessen weitere Entscheidungen, Änderungen muss sie dann daraufhin treffen können.
Michael
00:33:36
Also da liegt gerade im Bereich Risikomanagement für alle die, die nachlesen wollen, was René jetzt gerade erzählt hat, mal NIS 2 Paragraph 30 ausrufen, da steht ganz gut formal drin, was du jetzt gerade so erzählt hast, das passt ganz gut. Ja, das sind schon ein paar Bretter, wir gehen jetzt gleich noch ein paar Details von der ganzen Sache ein, aber das sind schon, ja wenn man das so erstmal durchliest und guckt sich oben noch ein paar Registrierungspflichten an und guckt sich die anderen Paragraphen noch kurz an, ich glaube im 38, im 32 steht noch ziemlich viel drin, auch im 33 steht noch was drin zum Thema Registrierung, dann kann man schon auf die Idee kommen, dass man sagt, boah wir machen mal eine 27001 und dann wird die Welt schon ein Wölkchen sein. Persönlich aus ISB Sicht und aus Beratersicht sage ich, ja cool, mach 27 komm zu mir, wir machen 27001, aber ich bin auch davon überzeugt, dass ich in eine NIS-2 Konformität reinkomme und dass ich NIS-2 nachweisen kann, ohne dass ich mich in eine ISO 27001 reinbewege und erst recht ohne, dass ich mich in eine zertifizierte 27001 reinbewege, weil, was auch klar sein muss, was zumindest im Stand heute definitiv klar ist, ich kann nicht, wenn irgendwann mal eine NIS-2 Prüfung kommt oder irgendeine NIS-2 Prüfung bei mir ins Haus kommt oder irgendeine Überwachung, irgendeine Nachfrage, ein irgendwas, du hast eben Audits angesprochen, die überwacht werden müssen und die dokumentiert werden müssen und Risikomanagement, ich kann nicht mein 27001 Zertifikat in die Luft halten und kann sagen, pass auf, ich habe 27001, damit ist das Thema NIS für mich erledigt, weil ich habe es ja auf jeden Fall erschlagen mit der ganzen Thematik, genau das funktioniert eben nicht und deswegen ist 27 eine schöne Idee, ist ein schöner Ansatz, wer will, gerne, ich freue mich über jedes Unternehmen, was mehr in die Cybersecurity investiert und Informationssicherheit betreibt, das ist ein super wichtiges Thema, aber ich bin halt auch ein Freund davon, wenn ich mir die Gesetze, Richtlinien etc. PP angucke, dann berate ich oder dann sage ich dem Unternehmen erstmal, was musst du denn wirklich machen, um das zu erfüllen und dann diskutieren wir über ein Sahnehäubchen, was du oben draufsetzen kannst, weil es vielleicht sinnvoll ist, aber erstmal geht es um die Konformität zu einem Gesetz, zu einer Richtlinie für ein Unternehmen zur Sicherstellung oder zur Vermeidung von Bußgeldern und wenn ich sage, ein Unternehmen will nur in Anführungsstrichen konform zur NIS-2 werden, bedeutet das für mich eben nicht zwingend, dass ich denen eine 27 überstülpe und sage, du musst 27 machen, um NIS zu erfüllen plus ein paar andere Sachen da oben drauf, sondern da gehe ich dediziert ins Unternehmen rein und sage, okay, was brauchen wir denn wirklich bei dem Unternehmen und nur die NIS-2 schöner ist, du machst da 27, alles cool und deckt dir mehr ab, bringt dir aber auch gewisse Einschränkungen mit rein, die du logischerweise dadurch hast und du musst eine Abwägung machen, willst du, sinnvoll, ja, nein. Zumindest mein Ansatz.
René
00:36:53
Was ich finde, ist, das zeigt das Beispiel jetzt, was du gerade genannt hast, auch wieder ganz gut. Das haben wir schon so oft gesagt und wenn man den Weg jetzt so über das Jahr, wir sind jetzt so ziemlich genau ein Jahr dabei, was Podcasts angeht, Michael, aber wenn man das so mitgegangen ist, dann merkt man halt, dass all das, was wir besprechen, das sind alles Bausteine und diese Bausteine bauen meistens immer wieder aufeinander auf. Das heißt alles, was wir jetzt das letzte Jahr eben besprochen haben, ist halt so, dass wenn wir das gemacht haben, dass wir dann dieses wieder nehmen können und für einen anderen Bereich weiterverwenden können. Haben wir ja oft genug zwischendurch schon mal gesagt, aber man sieht es halt hier. Also 27001 ist natürlich nicht das gleiche wie die NIS, aber am Ende des Tages eine optimale Grundlage dafür, dass ich recht schnell in die NIS komme.
Michael
00:37:51
Beziehungsweise, ja. Du willst ja, auch das, die Diskussion hatte ich auch, ich habe doch 27001, was brauche ich da noch? NIS-2 ist keine, ist nicht normativ, NIS-2 ist nicht, wir haben ein Gesetz, wir müssen ein Framework beachten, ja, wir müssen auch nicht in die NIS-2 reinkommen, sondern wir müssen konform zu einem Gesetz sein oder zu einem richtigen, whatever es ist im Wording, wir müssen konform zu NIS-2 werden und das müssen wir nachweisen können. Wir haben Pflichten, die auf uns zukommen werden im Umsetzungsgesetz, die jetzt aktuell nur in der Richtlinie drin sind und die müssen wir eben nachweisen können, dass wir die einhalten. Das ist wie bei allem anderen, wenn wir über Produkthaftungsgesetz reden, wenn wir über GmbH-Gesetze reden, wenn wir über Arbeitsschutzgesetz reden, wenn wir über den ganzen Kram reden. Das ist genau das Gleiche. Wir müssen das einhalten, aber wir müssen nicht rein. Es sagt ja auch keiner, soll mich das so crashen, aber ich habe die Diskussion gerade erkunden, wir müssen ja auch nicht rein ins Muttergutgesetz oder nicht rein ins Arbeitsschutzgesetz, sondern wir müssen diese Spielregeln, die uns da gegeben werden, dieses Framework, wir müssen es einfach einhalten und wir müssen es nachweisen, wenn einer es anders fragt. Und das ist der Unterschied zum Normativen, weil die Diskussion habe ich geführt, ja wir haben 27001, was interessiert uns NIS noch? Also müssen wir jetzt NIS auch noch machen? Müssen wir NIS noch machen? Ja, du musst es einhalten und du musst die Tätigkeiten machen, die sich auf diesen Pflichten ergeben, aber du musst nicht rein in die NIS. Sorry, wenn ich da beim Wording so ein bisschen Korinthenkackerig bin, aber ich merke halt die Unsicherheit in der Beratung drinnen und deswegen wäre ich vom Wording gerne super clean, dass wir da klar sind, weil es ist eben nichts Normatives.
René
00:39:35
Habe ich gesagt, wir müssen in den NIS rein?
Michael
00:39:37
Sorry, dann tut es mir leid. Ja, es ist, dann musst du dir nicht leid tun.
René
00:39:43
War mir jetzt im Sprechen gar nicht so bewusst, aber ja, du hast trotzdem recht, natürlich.
Michael
00:39:49
Ich sage das auch schon hin und wieder, wir wollen jetzt nach NIS, aber es hören sich hoffentlich ein paar Leute in den Podcast an und da an der Stelle auch nochmal eine Klarstellung. Wie gesagt, sollen wir das Völlefangs erzählen? Meldet euch gerne. Aber das ist halt einfach so.
René
00:40:04
Ja gut, ich meine am Ende des Tages wirst du kein Zertifikat in die Hand kriegen. Genau. Also von daher ist das auch so.
Michael
00:40:11
Es kommt kein Auditor, der dir das abnimmt. Du kriegst kein Zertifikat an die Wand. Es gibt kein Slice-Binchen. Es gibt nichts. Es ist ein Gesetz, was ist da? Du musst da einhalten. Ende.
René
00:40:21
Ja, mir ging es in erster Linie einfach nur darum zu sagen, okay, wir haben unsere Bausteine und die sind halt für das eine oder das andere da und oftmals ist ein Baustein für viele Bereiche einfach ein Teil. Okay, so. Ja, aber gut, dass du es gesagt hast. Das ist auf jeden Fall muss man auch mal drüber gesprochen haben. Von daher passt das sehr gut. Ja, Michael. Mein nächster Punkt wäre schon praktische Umsetzung.
Michael
00:40:52
Also ich weiß nicht, wenn du vorher schon irgendwie... Was mir noch ist, wenn wir über die Pflichten drüber reden, du bist eben über den 30er so drüber geflogen. Das war schon mal ganz gut. Da kommen wir jetzt gleich in die Pflichten. Also in die praktische Umsetzung. Was mir aber noch wichtig ist, es gibt eine Registrierungspflicht. Das heißt, habe ich mich erkannt, ich bin kritische Infrastruktur beziehungsweise ich falle unter das Gesetz, möchte ich mich bitte, müsste ich mich registrieren, muss die Hand heben und muss sagen, ich bin es. Nimm mich bitte in den Kreise dessen auf. Soll beim BSI passieren? Wird beim BSI passieren? Meldeportal Stand heute habe ich noch keins gesehen. Also da sind sie auch noch in der Preparation, in der Vorbereitung drinnen. Aber das muss ich wie gesagt machen. Und was ich noch ganz wichtig finde, können wir gerade drüber reden, bevor wir in die praktische Umsetzung reingehen. Das ist das, was du eben so am Rande angedeutet hast mit was sich denn von S1 und S2 geändert hat. Und das finde ich super spannend. Und das finden wir in Paragraf 32. Da geht es um die Meldepflicht. Du hast eben so gesagt, ja wunderbar. Wir müssen halt jetzt innerhalb von 24 Stunden melden und mal schon mal die Hand heben und sagen, jetzt ist was passiert. Und müssen innerhalb von 72 Stunden einen detaillierten Bericht bringen. Da ist, das muss man sich kurz auf der Zunge zergehen lassen, wir reden über Stunden. Wir reden nicht über Arbeitstage. Wir reden nicht über Werktage. Wir reden nicht über Tage. Wir reden nicht über sonst irgendwas, sondern wir reden über Stunden. Das heißt, vom bekannt werden eines Incidents zum Melden sind 24 Stunden. Murphys Law, es passiert was am Freitagnachmittag um 4. Es passiert was am Samstag um 3. Um da nochmal die Sensibilität hinzukriegen. Wir müssen innerhalb von 24 Stunden melden, eine Erstmeldung durchführen und innerhalb von 72 Stunden einen detaillierten Bericht. Und das ist, da kriegen wir jetzt die Überleitung zum Doing direkt hin. Das ist was. Wie willst du 24 Stunden unterbrücken? Also was brauchst du für ein Doing, um dieses Wissen einzuhalten? Das finde ich, es gibt eine riesen Herausforderung für Unternehmen.
René
00:43:02
Ja, und wir sprechen da ja auch nie von kleinen Vorfällen. Gerade bei den Unternehmen, die in diese Richtlinie oder in diese Vorgabe reinfallen, die haben ja in der Regel dann auch recht große Umgebungen. Und das bedeutet auch, dass eben der Vorfall entsprechend groß ist. Da gibt es dann auch einiges zu dokumentieren.
Michael
00:43:22
Ja, aber das Problem, René, ist, da will ich gerne mal fünf Minuten reininvestieren. Das Problem ist, die reden schon von einem erheblichen Sicherheitsvorfall. Erheblicher Sicherheitsvorfall muss innerhalb von 24 Stunden gemeldet werden. Was ich super wichtig finde, wenn wir über diese 24 Stunden reden, wie setze ich das im Unternehmen um? Also nimm mal euch, ich habe dich gerade als Unternehmen da, deswegen nehmen wir dich als Beispiel. Wie würdest du 24 Stunden Meldepflicht im Unternehmen umsetzen? Erst recht, wenn du vorher noch eine Bewertung vornehmen musst. Das ist ein erhebliches Sicherheitsvorfall, oder nicht? Ich würde meinen Datenschützer anrufen. Der ist es nämlich nicht. Genau der ist es nämlich nicht. Aber das ist der richtige Ansatzpunkt. Das ist das Problem. Da geht es darum, die erste Frage, die ich habe, ich brauche klare, kurze, schnelle Meldewege. Ich muss ein System aufbauen, wo meine Mitarbeiter sehr schnell an Person X melden können. Der DSB ist es nicht. Bei mir kannst du dich melden.
René
00:44:38
Ich meine nicht an dich melden, sondern mit dir gemeinsam das machen.
Michael
00:44:45
Ne, auch das ist verkehrt. Du hast die Person, wo das Hoppala passiert, du hast die Person X, die die Meldung aufnimmt und diese Person X meldet dann in ein Portal nach draußen extern. Das heißt, du musst differenzieren nach einer internen oder externen Meldung. Du kannst auf gar keinen Fall, würde ich auf gar keinen Fall empfehlen, da kommen wir gleich zum Kompetenzthema, du kannst auf gar keinen Fall die interne Person, wo das Hoppala passiert, direkt die externe Meldung durchführen lassen. Sondern du musst einen internen Meldeweg haben. Ein Ticketsystem, ein Alarmplan, ein Notfallplan, ein irgendwas, wo drinsteht, passiert ein Hoppala, ruft den und den an. Und das muss im Unternehmen kommuniziert werden. Und da darf nicht der DSB drinstehen? Wenn der DSB, kommen wir gleich zum nächsten Punkt, der muss ja qualifiziert sein, der das Gespräch annimmt oder der das Ticket liest, der muss ja qualifiziert sein, um zu bewerten, ob es ein erheblicher Sicherheitsvorfall ist oder nicht. Also muss ich auf dieser Person, muss einer so kompetent sein oder muss einer so fähig sein, der den Filter drüber zieht, nach was kommt denn jetzt rein und was muss denn raus wirklich gemeldet werden, nämlich erhebliche Vorfälle. Aber das bist du doch, oder nicht? Ja, wir reden aber jetzt, stimmt, wir reden von deinem Unternehmen, ich bin der DSB. Ja, okay.
René
00:46:09
Aber ich meine generell, gut, kann ja sein, jetzt in unserem Fall, weiß ich nicht, würde ich wahrscheinlich den Weg über dich gehen, aber ich weiß ja nicht, also wenn der DSB im Normalfall nicht sich so umfangreich auskennt, dann, weiß ich nicht, also DSB ist dann ja aber auch schlecht, normalerweise sollte er sich ja auskennen, aber klar, er kennt auch nicht jeden Prozess bis ins Detail und weiß, was mit den Daten passiert, wenn jetzt irgendwas passiert, ist das klar.
Michael
00:46:39
Du brauchst in irgendeiner Art und Weise einen, nennen wir ihn einfach mal ISB, einen Informationssicherheitsbeauftragten, eine Meldestellenverantwortliche, der sich um die Informationssicherheit beziehungsweise um diesen ganzen Völlefanz mit dem Thema Cyber Security kümmert. Der muss, wir reden von 24 Stunden, der muss im Prinzip rund um die Uhr erreichbar sein. Das heißt, der muss im Prinzip ein Hotline-Handy haben, wo der fast rund um die Uhr erreichbar ist, weil, wenn das abends um, ich sag mal, nachmittags um fünf passiert, und der in einem wohlverdienten Feierabend ist, was alles cool ist, und der erst am anderen Morgen, weil er ein bisschen ausgeblasen hat, der kommt um zehn ins Büro. Von den 24 Stunden mit, ich fasse mal kurz zusammen, und ich mache eine Erstmeldung, ist nicht mehr viel Zeit übrig. Deswegen muss ein Ticket oder ein Meldesystem so aufgebaut werden, was super agil und super schnell ist. Da bedeutet das auch, dass die Sensibilisierung der Mitarbeiter entsprechend ist. Und da ist die Gefahr, ich sag mal, da ist die Gefahr, du kriegst den Mitarbeiter, dem typischerweise so ein Hopperla passiert, was auch immer passiert sein soll, ist vollkommen egal, du kriegst den wahrscheinlich nicht so sensibilisiert, dass du eine Vorauswahl kriegst, was ist denn erheblich, was ist denn nicht. Das heißt, er wird bei dir melden. Wenn du gut geschult kriegst und kriegst ein Trainier, wird er bei dir nicht melden, wenn sein Outlook nicht mehr geht, oder er meldet nicht mehr, wenn das mit der Maus nicht funktioniert. Wir reden über solche Dinge. Und wir reden über die Praxis. Das heißt, du musst einen Meldekanal aufbauen, der sauber geschult ist, wo du ganz klar schulst. Wenn folgende Dinge passieren sollten oder vergleichbare, tick mir das, ich muss das wissen, und zwar sehr, sehr schnell. Und das ist eine Aufgabe für Unternehmen, die echt tricky ist. Viele haben schon irgendwie so ein Ticketsystem und bringen per E-Mail, wenn der IT-Net funktioniert oder wenn was mit dem Datenschutz ist, die haben ihre E-Mails, die schicken den ganzen Kram raus, die kümmern sich schon. Aber hier ist mit 24 Stunden eine Brisanz und eine Agilität gefordert, die muss im Unternehmen sauber, dediziert gebrochen und umgesetzt und geschult werden, sonst sind die 24 Stunden noch. Datenschutzvorfall, DSGVO, Running Gag, sind wir bei 72 Stunden, das ist schon mal ein bisschen länger, aber auch da musst du wissen, dass die Mitarbeiter eine Meldeplattform haben, wo sie eben Datenschutzvorfälle, Probleme oder Vorfälle mit personenbezogenen Daten, ein paar Beispiele mit dabei, was sie da melden. Da habe ich für unsere Kunden eine Meldeplattform, wir haben eine Schulung abgehalten, wir haben das ganz genau erklärt, wie sie sich zu verhalten haben, was funktioniert, wie die Plattform zu bedienen ist, damit wir das sicherstellen können, und da funktioniert es für 72 Stunden einigermaßen, aber 72-24 ist ein himmelweiter Unterschied von der Geschwindigkeit. Das finde ich eine super spannende Herausforderung, wie das wirklich im Doing aussehen soll und aussehen wird. Finde ich zumindest mega spannend und fast nicht schaffbar.
René
00:50:06
Aber, man muss ja auch sagen, wenn wir jetzt halt wirklich diese Dokumentationspflicht, also die Risikobewertung und Dokumentationspflicht nehmen, theoretisch hast du ja von all deinen Prozessen schon sehr viel dokumentiert und im besten Fall schon die Auswirkungen das hatten wir ja vorhin auch kurz, die Auswirkungen auch schon mal so grob skizziert. Das heißt, ja, man muss das natürlich nochmal einzeln bewerten und nochmal auf diesen einzelnen Fall runterbrechen, aber, man hat ja von der Struktur her, hat man ja schon einen großen Teil, so, okay, ich wusste, das ist der Weg, das kann passieren, so, es ist jetzt so und so passiert. Das heißt, dann, wenn man diese Vorbereitungen alle hat, dann wird man diese 24 Stunden natürlich auch einhalten können. Wenn man es nicht hat, ja, steht man natürlich in 24 Stunden ganz schlecht.
Michael
00:50:59
Wir reden halt auch von der Erstmeldung. Wir reden nicht von einem finalen Bericht, der irgendwie vier Seiten lang ist mit irgendwelchen Analysen von irgendwelchen Leuten, sondern wir reden nur von der Erstmeldung. Also auch da Kirchendorf. Die Sensibilisierung wird darin laufen, ist, dass die Mitarbeiter innerhalb von 24 Stunden melden und der ISB, bleiben wir beim würdigen ISB, vielleicht auch, wenn es nicht ganz treffend ist, aber die Person, die melden soll, die befähigt ist, die die Kenntnis hat, das Wissen hat, zu melden und zu bewerten, die sollte in der Schublade die Dokumentation so liegen haben, dass sie relativ sauber schon mal melden kann, auf was sich das bezieht oder wo es herkommt und was es sein könnte, um einfach eine qualifizierte Erstmeldung abzugeben. Weil auf der beruht sich auch wieder alles. Auch das wieder Erfahrungen und ganz egal, wenn ich irgendwas an der Behörde melde oder melde irgendwas an, ich habe es öfters im Auto, dass ich an die DAX oder an irgendwelche benannten Stellen wähle, die Worte weise, wenn du die E-Mail senden drückst oder ein Meldeportal auf senden drückst, weil wenn die Wortwahl nicht sehr optimal ist und manchmal ungeschickt ist oder wenn es zweideutig ist, was du einmal rausgejagt hast, kriegst du ganz schwer wieder gedreht. Wenn du am Anfang reinschreibst in die Erstmeldung, wir haben aufgrund von einem Datendiebstahl 150.000 Kundendatensätze verloren, die jetzt offen im Netz stehen oder irgend so ein Kram, wenn du das erstmal drinsteht, hast du es drin. Wenn du dann nachher ganz kurz merkst, es waren ja gar keine 150, es waren nur 10 oder so, das kriegst du halt schwer wieder weggedreht. Das heißt, du musst diese Meldung schon qualifiziert abgeben können, auch wenn es nur eine kurze ist.
René
00:52:37
Datendiebstahl wäre sowieso, glaube ich, ein schlechtes Wording, weil das kann auch alles bedeuten. Dann hat man, glaube ich, ein Riesenproblem. Ja, genau.
Michael
00:52:45
Das zeigt aber, dass ich eine befähigte Person brauche, die das entsprechend bewerten kann, ist es ein entsprechender Vorfall, der gebildet werden muss und auf Basis ihres Wissens die Meldung so qualifiziert abgibt, dass sie der Wahrheit entspricht und entsprechend so ist, wie sie auch wirklich dargestellt wurde. Und das schließt schon aus, das schließt einfach komplett aus, dass ich das in die Mitarbeiterverantwortung lege, also die Mitarbeiterverantwortung großflächig lege. Das muss eine zentrale Person im Unternehmen sein, eine medial fallende Person und ein Vertreter, also zwei geschulte, die sich abtauschen können und dann muss ich mir halt einfach nur Gedanken machen, wie ich die Verfügbarkeit der Person sicherstelle und in dem Fall dann die 24 Stunden wehestellen.
René
00:53:34
Wie gesagt, vorherige gute Dokumentationen wird da sehr unterstützend sein, aber es ist ja schon eine Anforderung. Auf alle Fälle wird das so sein. Aber es ist ja schon eine grundsätzliche Voraussetzung, von daher unterstützt es das Ganze. Ich glaube, dazu noch was Allgemeines, sonst können wir noch ein Stück weiter gehen.
Michael
00:53:59
Nein, ich würde sagen, dafür haben wir auf jeden Fall das Thema Meldepflichten, Schulungen, Registrierungspflichten und Risikomanagement schon mal abgebügelt. Das sind, glaube ich, Dinge, worüber wir jetzt schon gesprochen haben und wo wir sagen, das geht sich auf, das ist schon mal eine Information, die wir gesprochen haben. Genau.
René
00:54:21
Dann würde ich in die praktische Umsetzung gehen. Wie kommt man überhaupt da rein? Wie startet man in das Ganze? Da würde ich mal die ersten Schritte nennen wollen. Einmal natürlich eine Bestandsaufnahme, eine Bedarfsanalyse. Erklärt sich von selbst, brauche ich gar nicht so viel zu sagen. Wirklich mal zu schauen, was haben wir eigentlich alles im Unternehmen? Hatten wir schon ein paar Mal Inventarlisten und so weiter. Alles das, was es so gibt, eine Assetliste, wo schon die meisten ins Schwitzen kommen und so weiter und so fort. Bedarfsanalyse natürlich. Was machen wir eigentlich? Wofür brauchen wir diese Systeme? Einmal rundum alles Mögliche. Dann Identifizierung des Anwendungsbereichs und vor allem auch Bewertung der Betroffenheit. Das heißt, auch da müssen wir mal gucken, wofür ist eigentlich meine entsprechende Software da? Alles, was ich so überhaupt habe, wozu ist es da? Das ist ja auch ein Stück weit, wie ich es gerade schon gesagt habe, die Bedarfsanalyse, das spielt ja ein bisschen miteinander rein. Und dann nachher auch zu gucken, ist das Ganze jetzt... Eigentlich also Betroffenheit, ich wollte gerade sagen, ist es denn dokumentationswürdig? Ja, ist es immer. Bevor ich jetzt was ganz Falsches sage, ja, bitte alles dokumentieren. Ja, Betroffenheit natürlich, ich sage mal, ich habe jetzt ein Unternehmen, Konzern, der hat darunter aber mehrere Unternehmen und da ist jetzt ein kleiner Teil, der eben gar nichts mit dem Hauptgeschäft zu tun hat, also zum Beispiel kein Energieversorger, sondern er bringt noch irgendwie Dienstleistungen, fällt also nicht mit unter dieses Gesetz, dann würde halt dieser Teilbereich der Infrastruktur eben nicht mit reinfallen. So, dann ganz klar, Ernennung von Verantwortlichen, also jetzt nicht die Geschäftsführung, sondern jemand, der verantwortlich für die Sicherheit ist und genauso, dass man eben ein Projektteam einrichtet. Es bringt nichts, einer Person zu sagen, hey, komm, wir machen das jetzt mal, setz dich mal dahin, beschäftige dich damit mal eine Woche und dann klappt das schon. Nee, da muss man ganz klar ein Team benennen, das ist das Gleiche, wie du gerade schon gesagt hast, beim ISB zum Beispiel, da muss eine Vertretung dabei sein, da muss er sich auch mit mehreren, also muss diese Person sich auch mit mehreren weiteren Personen austauschen können, um die entsprechenden Ziele oder Ergebnisse zu erzielen und anders bringt das halt nichts. Dann Erstellung Risikoanalyse, Risikobewertung, ist denke ich klar. Dann ist es Entwicklung Umsetzungsplan. Ich glaube, das ist dann schon ein Ding, dann mal wirklich zu sagen, okay, das sind jetzt unsere Schritte, so gehen wir vor und dann Stück für Stück das Ganze auch wirklich zu planen. Wenn man jetzt mal das Datum nimmt, was bei uns jetzt im Raum steht, ich glaube, das ist ja März 25, dann sollte man jetzt sehr schnell planen und dann auch loslegen. Aber das man auf jeden Fall, ich meine, am Ende des Tages, wenn man nicht genau zum Stichtag fertig ist, ist es okay, aber man muss bis dahin schon mal losgelaufen sein. Das ist ja das Entscheidende.
Michael
00:57:56
Wobei, auch da hier die Korinth noch mal kurz rauspacke, die exakte Richtung in die du rennen musst, noch nicht klar ist, weil die Landkarte ist noch nicht geschrieben. Du hast eine Richtung, geht grob nach Norden, ja, du kannst schon mal in die Richtung laufen, nur ob wo du stehenbleiben musst und in welche Richtung es jetzt wirklich geht. Ganz genau, das ist eben ganz genau noch nicht ausgekocht. Natürlich geh los, wir brauchen auf jeden Fall diese Richtung, in die Richtung kannst du laufen, aber der Zielort und wie du das genau machst, das ist eben noch nicht klar.
René
00:58:35
Genau, aber die Punkte, die wir vorhin hatten, also was Prozessanalyse und sowas angeht, das kann man auf jeden Fall machen, weil das gehört in jeden Bereich des Datenschutzes und von daher, das hat man dann schon mal. [Michael] (58:48 - 1:00:10) Auch ganz genau hier an den Punkten, was du da so ausliest, das ist alles, was ich muss gerade innerlich so ein bisschen grinsen, weil das wirklich die Themen sind, die wir im letzten Jahr alle so nach und nach besprochen haben. Das sind, du wirst durch die NIS-2 mal wieder getriggert, jetzt diesmal vom Gesetz getriggert, nicht normativ getriggert, aber vom Gesetz getriggert, einfach mal um deine Cybersecurity in deinem Unternehmen zu kümmern. Du solltest jetzt mal oder darfst jetzt mal eine Aufstellung deiner Werte im Unternehmen machen, du darfst jetzt mal ein Risikomanagement nochmal machen auf die Informationssicherheit, du darfst dir jetzt mal Gedanken machen, mit welcher Software gearbeitet wird, welche Daten auf welchen Systemen laufen, wie kritisch welche Sachen sind, du darfst dir mal über Backup-Konzepte, Notfallpläne, Lieferantenbeziehungen darfst du dir jetzt mal getriggert einfach mal Gedanken machen. Das hättest du vorher schon lange hättest machen dürfen. DSGVO ist zwar personenbezogen, aber da auch das Risikoprozess, Lieferanten immer mal ein Thema, wird halt jetzt ausgeweitet auf sämtliche Systeme. Das ist alles Zeug, wo wir beide jedem Unternehmen sagen, ey Max, du musst es haben oder du solltest es haben, du musst in deinem Unternehmen Ordnung haben, du musst die Kontrolle in deinem Laden haben, du musst wissen, was abgeht und du musst eine Transparenz drin haben, dass du weißt, was los ist und was passiert. [René] (1:00:11 - 1:00:17) Das sind glaube ich... Aber das Gute ist, dass der Gesetzgeber dann ja jetzt mit Sanktionen nochmal zusätzlich motiviert. [Michael] (1:00:17 - 1:00:37) Genau, es gibt jetzt eine zusätzliche Motivation zu der ganzen Sache. Das ist halt genau das jetzt. Und wie gesagt, zusätzlich hast du die Meldepflichten, wo du ein Meldeportal einrichten musst und dann bist du schon ziemlich gut aufgestellt für einen gesetzeskonformen NES2-Betrieb in deinem Unternehmen. [René] (1:00:40 - 1:00:42) Das ist auf jeden Fall... [Michael] (1:00:43 - 1:01:15) Ja, das Thema Verschlüsselung, Zwei-Faktor-Multifaktor-Ordentifizierung ist mit dabei, mit Zugriffskontrolle. Auch das ist jetzt mal... Jetzt steht es mal schwarz auf weiß auf einem Entwurf drauf, kümmert euch mal drum, macht mal. Wir predigen ja auch schon seit ein paar Podcasts die Nummer mit sicheren Passwörtern, langen Passwörtern, wo es geht, MFA und jetzt kommt halt nochmal eine andere Richtung rüber, die einen dazu bringt, sich darum kümmern zu dürfen. Genau. [René] (1:01:17 - 1:06:05) Umsetzungsplan hatte ich gerade gesagt. Meldeprozess hattest du ja schon beschrieben. Das sind wirklich so die Schritte hintereinander weg, die man durchgehen sollte. Schulung, Sensibilisierung, also Stichwort Awareness für meine Mitarbeiter. Auch wichtig, wird auch vorgegeben jetzt an der Stelle. Und wie ich vorhin schon gesagt hatte, Lieferanten und Drittanbieter evaluieren, einmal mal schauen, passen die zu dem ganzen Konzept, zu meinem Konzept, so wie ich die NIS-2 dann eben umsetze. Das sind eigentlich wirklich die eingehenden Schritte. Da ist noch gar nichts wirklich praktisch umgesetzt an Systemen oder so, sondern das ist wirklich das, was ich vorab machen kann. Das sind wirklich die ersten Schritte, die ich da gehe. Wenn wir dann in die praktische Umsetzung gehen, dann kommen dann wirklich Implementierungen von TOMS. TOMS haben wir auch sehr ausgiebig drüber gesprochen. Das sind ja am Ende des Tages auch die Sachen, die wir gerade genannt hatten. Aber wir haben sie wirklich auch in einer Episode, das war eine der ersten Episoden, die wir gemacht haben. Da waren wir bei den TOMS. Das ist auf jeden Fall etwas, dass man die auch umsetzt. Dann Notfallplan, das ist etwas, das dann eben auch nochmal kommt. Der Notfallplan unterscheidet sich ja nochmal vom Risikomanagement, hatten wir auch drüber gesprochen. Auch das ist ein Punkt an der Stelle, Lieferanten und Drittanbieter Management. Wenn ich vorher evaluiert habe, ich habe jetzt die und die und die haben diese Maßnahmen. Das Management dahinter muss sein, die passen jetzt nicht mehr zu mir, weil die Maßnahmen nicht erfüllen. Oder ich gehe mit denen in den Austausch und lasse mir bestätigen, wir machen das jetzt oder eben nicht. Das ist entsprechend auch wichtig. Wie gesagt, das hatte ich vorhin angeschnitten, es muss in den Verträgen auch alles definiert sein. Der Drittanbieter, aus der Lieferkette, mein Zulieferer, der muss mir entsprechend auch Rechenschaft dafür ablegen, dass er das tut. Dann Überwachung meiner Maßnahmen. Alles, was ich eingeführt habe. Ich brauche immer eine Echtzeitüberwachung von meinem System, ganz klar. Und es gibt Dinge, wie ich vorhin gesagt habe, diese Reportings, Auditing, dass das immer wieder kontinuierlich reinkommt, sodass ich nachweisen kann und auch für mich einfach eine Sicherheit habe. Nachweisen war gerade vielleicht auch der falsche Erste, was ich gesagt habe. Eigentlich ist das Wichtigste immer erstmal, dass ich für mich sicher habe, dass meine Maßnahmen greifen. Erstens ist es wichtig für mich und dann zum Nachweisen, dass ich das erfülle. Ich meine, wir sprechen jetzt natürlich von einer Richtlinie, die vom Gesetzgeber kommt, aber am Ende des Tages, alles was wir tun, sollte für uns auch einen Mehrwert haben. Deswegen sollte man das immer erstmal für sich selbst sehen. Dokumentation und Audits hatte ich auch schon gesagt. Alles davon muss wirklich abgelegt sein. Nicht irgendwann sagen, okay, hier ist erledigt. Und ein Audit, ich finde, Ergebnisse sollten immer miteinander verglichen werden. Das heißt, ich brauche einen Verlauf da drin. Bitte nicht die Dokumente nehmen und sagen, das sieht ja gut aus, damit ist das Thema durch, sondern wirklich schaut euch die letzten Berichte an oder baut sie sofort so, dass die letzten Ergebnisse da irgendwie mit rein spielen, damit man einen Vergleich hat und sieht, dass man sich weiterentwickelt hat oder aus welchen Gründen auch immer haben wir jetzt mal irgendwas gehabt, was schlechter geworden ist. Es muss ja greifbar sein. Wenn man keine Vergleichswerte hat, dann wird man damit nicht vernünftig arbeiten können. Also da ganz ganz wichtig, dass das alles nachgehalten wird und dass man da eben zurückgreifen kann. Wie gesagt, im besten Fall sofort miteinander abgleichen lassen. Und dann nachher eigentlich immer, und das sagen wir auch immer, Überwachung und Verbesserung. Das ist eigentlich im Datenschutzbereich glaube ich sowieso, also im IT-Bereich sowieso, aber im Datenschutzbereich ist es ja genau das gleiche. Ich mache meine Vorgaben oder ich mache meine Richtlinien und so weiter. Also alles, was ich an Maßnahmen habe und auch was ich dokumentiert habe, das muss auch wieder geprüft werden. Es reicht nicht, das heute zu schreiben und es liegt ja zehn Jahre in der Schublade. [Michael] (1:06:06 - 1:06:51) Und du merkst halt auch bei den Sachen, die wieder umgesetzt werden sollen und wie es auch in dem Gesetzesentwurf jetzt drinsteht, das ähnelt sich oder das kommt alles Richtung Normativ und das, was Normen immer so fordern. Wir reden über Auditing, wir reden über einen PDCA-Zyklus, wir reden über kontinuierliche Verbesserungsvorschläge, wir reden über Unternehmensentwicklung, wir reden über Verantwortlichkeit. Das ist alles eine Suppe, beziehungsweise das greift alles ineinander rein und es ergibt alles Sinn, wenn man sich kümmert und auch auf andere Sachen guckt, das miteinander zu verheiraten und zu verwurzeln. Ich finde das aber super, weil es bestätigt das ja genau, was ich ja vorhin gesagt habe. [René] (1:06:52 - 1:06:55) Also alles, was wir schon besprochen haben, kommt ja jetzt einfach nur noch mal wieder. [Michael] (1:06:55 - 1:08:49) Und du kannst dann auch viel Honig saugen aus der ganzen Kiste, weil du hast hoffentlich mit deinem Datenschutzbeauftragten bist du mal deine TOMs durchgegangen hast, technische und organisatorische Maßnahmen erstellt, du hast die, das ist cool. Das ist für mich, als DSB, nicht die ISO-Mache mit dem Unternehmen, das kann oder das ist eine super tolle Checkliste, um irgendwelche Audits durchzuführen. Ich nehme mir die TOMs, ich gucke mir die an und sage, alles klar, jetzt prüfen wir mal regelmäßig deine technischen organisatorischen Maßnahmen. Wir gucken uns mal an, wie das Unternehmen tickt. Das ist ein grober Teil von dem, was man überwachen sollte. Das ist aber auch genau der Teil, wenn ich es ausweite auf meine Unternehmenssicherheit, ist es aber auch genau der Teil, den ich überwachen sollte und nicht mehr angucken sollte, wenn ich in einer NIS Richtlinie in der NIS einhalten muss. Jetzt muss ich aufpassen, dass ich nicht auch sage, wenn ich in der NIS drin bin, dass ich die NIS einhalten muss. Das sind alles Punkte, die laufen ineinander über, weil Softwaresysteme, Passwörter etc. Du trennst das halt beim Datenschutz. Kannst du das halt trennen zwischen personenbezogene Daten? Ja, nein. Datenschutz redet von personenbezogenen Daten. Nur wenn du jetzt einen Passwortmanager einführst, wir sind immer wieder beim Passwortthema oder wenn du ein Backup-Konzept hast, du backupst ja nicht nur personenbezogene Daten, wenn, dann fließt dir das Backup ja über deinen Server oder über Serverbereiche drüber. Das heißt, du hast einen super Einstieg, dir auch diese regelmäßigen Überwachungen und den ganzen Kram in der NIS anzugucken. Finde ich zumindest einen Top-Einstieg. Und wenn du datenschutzblank bist und hast keine TOMS im Unternehmen, ist das jetzt nochmal ein zusätzlicher Trigger, das Internet anzufangen und das eben für die DSGVO zu nutzen. TOMS sind super wichtig im Unternehmen, schaffen Transparenz und auch einen ersten guten Nachweis, wie tickt mein Unternehmen von der Sicherheit und von der Technik. Was tue ich? [René] (1:08:49 - 1:08:52) Aber um die TOMS kommst du ja theoretisch gar nicht mehr zu. [Michael] (1:08:52 - 1:08:52) Nein, nein. [René] (1:08:52 - 1:08:54) Das ist ja jetzt schon eine Verpflichtung. [Michael] (1:08:55 - 1:09:04) Von daher, ja. Aber ja, nur weil es eine Verpflichtung ist, heißt es noch lange nicht, dass es so war. Deswegen sage ich es nochmal. [René] (1:09:04 - 1:09:05) Da hast du natürlich recht. [Michael] (1:09:06 - 1:09:14) Deswegen. Ja. Ja. Michael. Geiles Thema. [René] (1:09:14 - 1:09:28) Ich glaube, so grob ich selber, hab dem gar nicht mehr so viel hinzuzufügen. Wie ich vorhin schon gesagt habe, also wenn du nichts mehr hast, würde ich es damit beschließen wollen. [Michael] (1:09:28 - 1:09:28) Ja. [René] (1:09:30 - 1:09:53) Wir haben, also wie ich vorhin schon gesagt habe, ich werde auf jeden Fall den Betroffenheitscheck von BSI hier nochmal in die Shownotes packen. Genau. Es gibt noch so ein PDF von BSI, auch da kann man nochmal schauen, ob man betroffen ist, auch in welchen Bereich man reinfällt. Das macht der Check natürlich auch, aber so kann man es ein bisschen nachvollziehen. Auch das werde ich hier nochmal verlinken. [Michael] (1:09:53 - 1:10:49) Und was wir auf jeden Fall reinbringen, wir haben eben Paragraphen durch die Gegend gemessen. Wir würden auf jeden Fall die NIS-2-Umsetzung Cyber-Sicherheit-Stärkungsgesetz im aktuellen Entwurf nochmal mit in die Shownotes reinpacken, weil sich da die Paragraphen drauf berufen. Das würde einfach sicher sein, dass die Leute, die nachlesen wollen, was wir jetzt erzählt haben, und wenn ich Paragraphen durch die Gegend gemessen habe, dass die nochmal nachlesen können, wo sie es finden können und wo es im Gesetz steht. Geschäftsführerhaftung, Geschäftsführer müssen im Risikomanagement fit sein, Meldezeiten etc. pp. Von daher würde ich das auch noch in die Shownotes reinpacken. Das ist, glaube ich, auch nochmal ein Thema. Die Frage ist, wie lange es aktuell bleibt, wie der Link ist. Das sollte der letzte Entwurf sein. Die erste Lesung ist durch. Das sollte sich jetzt wenigstens dran schaufeln, aber wenn die nochmal was ändern, kann es sein, dass der Link uns zerrießt. Aber ich würde auf jeden Fall gucken, dass wir das Aktuelle zu dem Thema, wo wir es veröffentlichen, noch reinlegen. Das macht auf jeden Fall nochmal mehr Wert. Ja. [René] (1:10:50 - 1:11:10) Sehr gut. So machen wir das. Und ansonsten bleibt mir eigentlich nur noch zu sagen, vielen Dank Michael, vielen Dank die Runde. Wie immer gerne auf allen Plattformen hören, teilen, liken, was weiß ich. Lade gerne Leute dazu ein, uns auch zu hören und zu folgen. Ja. [Michael] (1:11:14 - 1:11:59) Ich würde sagen, du bist wortlos, ich übernehme es mal. Genau. Ja, auch von mir vielen Dank fürs Zuhören. Ich bin mir sehr sicher, spätestens, wir haben ja jetzt über viele Eventualitäten und Entwürfe etc. pp. und Möglichkeiten gesprochen, die, glaube ich, ziemlich safe sind. Da müssen wir uns wenig Gedanken machen. Wir würden aber auf jeden Fall, wenn das Ding scharf geschaltet ist und wenn es mal Fakt ist und aus Wünschen der Wasser ist es geworden ist, würden wir auf jeden Fall Teil 2 nochmal einlegen, wo wir nochmal auf ein paar Themen im Detail reingehen. Das wird auf jeden Fall kommen. Wann es kommt, liegt jetzt nicht an uns, sondern das liegt darum, wie schnell eine Regierung das Ding veröffentlichen und wirklich auf die Linie bringt. In diesem Sinne würde ich sagen, für alle vielen Dank fürs Zuhören. Bis zum nächsten Mal. Rene, mach's gut. Wir hören uns. Danke. [René] (1:12:01 - 1:12:20) Ja, bis in 14 Tagen. Wie Michael vorhin schon gesagt hatte, sollte es Fragen dazu geben oder Anregungen oder irgendwelche Themen, die ihr gerne besprechen möchtet, gerne reinwerfen. Kontaktiert uns bei LinkedIn, per Mail, egal wie. Dann schauen wir, dass wir es umgesetzt kriegen. Alles klar. Bis dahin. Ciao.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts