Sysbus
ArtikelCompliance

Die DSGVO ebnet NIS2 den Weg – Wie zuverlässiger Datenschutz die Widerstandskraft gegen Hacker unterstützt

dcg

Seit sieben Jahren gilt die DSGVO. Sie war eine weitere Etappe für die zunehmende Regulierung der IT-Prozesse. NIS2 ist für die EU nun ein weiterer entschlossener Schritt in diese Richtung. Die für die Umsetzung zuständige Bundesregierung hat vor Kurzem einen Referentenentwurf des BMI, der von Ende Juni 2025 stammt, veröffentlicht. Noch ist nicht klar, wie ein Gesetz zu NIS2 in Deutschland aussehen kann. Dennoch ist das Ziel längst deutlich: Die Widerstandskraft von Netzwerken und digitalen Abläufen in Unternehmen soll stärker werden. Allerdings ist der Weg bis dahin noch weit. Daher lohnt es sich, in Vorleistung zu gehen. Unternehmen, die die Bedingungen der DSGVO bisher schon ernsthaft und tatkräftig umgesetzt haben, damit Datensicherheit und Datenschutz gewährleistet sind, verfügen bei der Umsetzung von NIS2 nun über einen Vorsprung.

Autor: Ricardo José Garrido Reichelt, Principal Security Technologist EMEA, Office of the CTO/dcg

Ricardo José Garrido Reichelt, Principal Security Technologist EMEA, Office of the CTO Commvault – Quelle: Commvault

Damit erfolgreiche Attacken weniger gravierende Auswirkungen haben und deren Folgen sich leichter kompensieren lassen, muss Cybersicherheit einen höheren Stellenwert einnehmen. Hier herrscht ein beträchtlicher Nachholbedarf angesichts der ständigen Angriffe der jüngsten Zeit, die gehörige Schäden, Datenverluste und sogar Totalausfälle hinterlassen. Sie treffen auch große Unternehmen und treiben diese in Einzelfällen sogar in die Insolvenz.

Sanktionsdruck in der nahen Zukunft

Wenigstens nutzen Datenschutzverantwortliche in der Wirtschaft aufgrund der DSGVO personenbezogene Daten inzwischen vorsichtiger. Ein Grund dafür ist, dass Verstöße zu einer kostspieligen Angelegenheit geworden sind: Seitdem die DSGVO wirksam ist, verhängten Richter laut der GDPR Fines and Data Breach Survey der Wirtschaftskanzlei DLA Piper Sanktionen, die sich insgesamt auf eine Höhe von 5,88 Milliarden Euro  belaufen. Allein 2024 waren es in Deutschland über 89,1 Millionen Euro.

Damit auch die Relevanz von NIS2 deutlich wird, wollen die Verantwortlichen ein ähnliches Bußgeldkonzept einführen. Zudem sollen sowohl Inhaber eines Unternehmens als auch Geschäftsführer mit ihrem privaten Besitz haften. Darum arbeiten einige Organisationen schon seit geraumer Zeit an der NIS-Compliance und setzen auf externe Hilfe. So kennen die Experten von KPMG die verschiedensten Schwierigkeiten von Unternehmen. NIS2 ist nämlich äußerst auslegungsfähig und kann letztlich nur maßgeschneidert umgesetzt werden. Viel Gewicht kommt schon den Einzelheiten zu: Welche Entscheider tragen die Verantwortung? Wie sind die Meldepflichten bei Angriffen handzuhaben? Wer stellt im Ernstfall die für den Betrieb nötigen Technologien, Tools und Ressourcen zur Verfügung?

Noch strengere Meldefristen

Die Ansprüche von NIS2, Vorfälle zu melden, gehen weiter. Während Unternehmen bei Verletzungen der DSGVO 72 Stunden Zeit haben, besagen die NIS2-Vorgaben, dass Informationen über gravierende Cybersicherheitsvorfälle in nur 24 Stunden an das Bundesamtes für Sicherheit in der Informationstechnik (BSI) gehen müssen. Unternehmen sollten entsprechende Abläufe seit dem Inkrafttreten der DSGVO etabliert haben. Wenn also solche Prozesse schon vorhanden sind, ist es nun einfacher, diese weiter zu beschleunigen.

Wichtiger ist aber ebenso der Überblick darüber, welche Informationen über einen Schaden zur Verfügung zu stellen sind. Mit automatisierten Prozessen können IT-Verantwortliche erfassen, welche Daten im Unternehmen überhaupt existieren. Darüber hinaus sollten sie klären, welche Informationen für die NIS2-Konformität zu klassifizieren sind.

Ebenso sollten sie schnell eruieren, welche Sachverhalte sie im Ernstfall berichten müssen. Straffe Meldepflichten erfüllen und entscheidende, verlangte sowie nötige Informationen wirklichkeitsgetreu liefern, kann aber nur, wer umgehend mit der Analyse des Schadens beginnen kann.

Vorausschauend handeln: Risikomanagement mithilfe von Analyseprozessen

Während für die DSGVO eine Datenschutz-Folgenabschätzung (DSFA) für Hochrisikoverarbeitungen notwendig ist, verlangt NIS2 ein Risikomanagement für die IT-Infrastruktur, wie etwa Risikoanalysen und Strategien für die Kontinuität der Arbeitsabläufe. Unternehmen können hierfür die für DSGVO eingesetzte Analyseprozesse benutzen und entsprechend erweitern.

IT-Sicherheitsteams sollten dementsprechend ihren Datenbestand auf Risiken durchforsten. Um die produktive IT dabei möglichst wenig zu stören, ist es sinnvoll, Sicherungskopien zu untersuchen. Auch hier lassen sich Abweichungen als Warnhinweise eines bevorstehenden Angriffs bereits frühzeitig entdecken und abwenden.

Für NIS2 sollten die IT-Teams aber auch die Recovery von Systemen und Daten unablässig prüfen. Alle Mitwirkenden können ihr Zusammenspiel in einem digitalen Reinraum, also in einem realitätsnahen Testmodell, anhand der relevanten Assets trainieren. So erhalten sie eine realistische Bewertung der Recovery-Strategie und ihrer Prozesse.

Es ist außerdem wesentlich, auch während einer erfolgreichen Attacke produktiv zu bleiben – oder es in kürzester Zeit wieder zu sein. Um vorab festzulegen, welche Anwendungen, Abläufe, und Umgebungen für den Notbetrieb unerlässlich sind, kann ein Minimum-Viabel-Company-Ansatz helfen. Idealerweise sollten in jeder Abteilung die Verantwortlichen einen für ihre substanziellen IT- und Geschäftsabläufe relevanten Entschluss treffen. Daraus entsteht dann ein Notfallpaket, das an einem gesonderten Ort manipulationsgeschützt und gesichert platziert wird. Es ist die Grundlage, um Anwendungen, Daten und Systeme in einem digitalen Reinraum unverfälscht wiederverfügbar zu machen. IT-Ops und Sec-Ops setzen sich zusammen daran, die Produktions-IT gehärtet neu aufzusetzen – und gleichzeitig die Attacke einzudämmen, betroffene Informationen sowie die ausgenutzten und vorhandene Schlupflöcher zu begutachten und Schwachstellen zu schließen.

Auf DSGVO aufbauen: Eingeführte Prozesse lassen sich auch für NIS2 nutzen

IT-Verantwortliche haben viele Abläufe aufgrund der DSGVO eingeführt. Einige davon lassen sich zusätzlich für die NIS2-Konformität ausbauen:

Eindeutige Zuständigkeiten für Cybersicherheit: Um die DSGVO zu erfüllen wurden Datenschutzbeauftragte und andere Governance-Strukturen etabliert. Auch für NIS2 bedarf es eindeutiger Zuständigkeiten für Cybersicherheit. Dementsprechend sind nun die Position eines Chief Information Security Officers (CISO) oder ähnlicher Funktionsträger verpflichtend. Für die DSGVO eingeführte Governance-Strukturen lassen sich entsprechend anpassen oder erweitern.

Ausbau von IT-Sicherheitsinstrumenten:  Die DSGVO verlangt unter anderem Standards zu Verschlüsselung, Pseudonymisierung, Zugangskontrolle und Verifizierung. Um NIS2 zu bedienen, benötigen Unternehmen gleichartige, aber eher operativ ausgerichtete Cybersicherheitsprüfverfahren. Viele der DSGVO-Sicherheitskontrollen erfüllen die NIS2-Vorgaben komplett oder wenigstens partiell. Dementsprechend reicht es oftmals schon, vorhandene IT-Sicherheitsmethoden zu erweitern.

Erweiterung von Dokumentationssystemen: Die DSGVO bedarf einer umfassenden Dokumentation des Umgangs mit personenbezogenen Daten.DSGVO-Berichte müssen dokumentieren, wie Unternehmen Daten einsetzen und Datenschutz-Folgebewertungen liefern. Für NIS2 sind Unterlagen über Reaktionen auf Vorfälle, Sicherheitsbestimmungen und Auditergebnisse nötig. Zentralisierte Dokumentationssysteme, die für eine DSGVO-Konformität eingerichtet wurden, können die Zuständigen für die Datensicherheit auch für die NIS2-Compliance verwenden und weiterentwickeln.

NIS2 bedeutet für die Verantwortlichen viel Arbeit. Wer aber schon für die DSGVO gut aufgestellt ist, kann viele seiner Vorleistungen nun auch für NIS2 nutzen. NIS2 ist eine gute Gelegenheit, um das gesamte Sicherheitsniveau zu erhöhen. Eine verbesserte Widerstandsfähigkeit ist außerdem ein eindeutiger Wettbewerbsvorteil. Bislang sind Cyberattacken alltäglich. Wer sich NIS2-konform mit erprobten und kontrollierten Netzwerken und Verfahren aufstellt, kann auf die Grundlagen einer zuverlässigen Cyberresilienz bauen.

Link zu Commvault: Cyber Resilience-Lösungen für kontinuierliche Geschäftstätigkeit | Commvault

Das könnte dir auch gefallen

Cloud-Server oder physische Server?

dcg

Mit KI gerechtere Kredite und Policen vergeben

dcg

Weg von der Mail – so kommunizieren Teams in der Zukunft

gg
Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Ihnen, wenn Sie auf unsere Website zurückkehren, und hilft unserem Team zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.