200 Milliarden € hoch ist der Schaden der durchschnittlich pro Jahr durch Cyberangriffe entsteht. Unternehmen der kritischen Infrastruktur sind seit Jahren verstärkt im Visier. Ein Grund, warum es die aktualisierte EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) gibt, die am 17. Oktober 2024 in nationales Recht umgewandelt werden sollte. Denn das neue Umsetzungsgesetz der NIS2-Richtlinie wird voraussichtlich erst im März 2025 in Kraft treten.
Obwohl das neue Gesetz noch auf sich warten lässt, sorgen die neuen, strengeren Vorgaben für zahlreichen Gesprächsbedarf, obwohl nur wenige Anforderungen grundlegend neu sind. Im Kern geht es um eine Harmonisierung und den Aufbau eines robusten und einheitlichen Sicherheitsniveaus der Netz- und Informationssicherheitssysteme, um Unternehmen widerstandsfähiger gegen Cyberkriminalität zu machen. Praktisch gesehen, soll sichergestellt werden, dass das schwächste Glied in dieser Kette nicht zum Sicherheitsrisiko für andere wird.
In Folge erweitert sich der Kreis der betroffenen Unternehmen auf bis zu 30.000 allein in Deutschland. Unternehmen, die bislang nicht zu kritischen Infrastrukturen zählten, sind jetzt verpflichtet, strengere Sicherheitsanforderungen zu erfüllen, sobald sie mindestens 50 Beschäftigte im betroffenen Geltungsbereich zählen und/oder mehr als 10 Millionen Euro Umsatz im Jahr erwirtschaften. Bei kommunalen Verwaltungen hingegen findet der Gesetzgeber bislang keine verpflichtenden Regelungen im Rahmen von NIS2.
Sicherheit wird Chefsache
Fakt ist, die Herausforderungen für Unternehmen vom Konzern bis zum Mittelstand sind nicht weniger geworden. Sie müssen bestehende Sicherheitsmaßnahmen anpassen und auf dem neuesten technischen, organisatorischen Stand bringen – und regelmäßig nachweisen und optimieren. Anderenfalls drohen empfindliche finanzielle Strafen. Erhebliche Sicherheitsvorfälle müssen binnen 24 Stunden an das Bundesamt für Informationssicherheit (BSI) gemeldet werden, unabhängig davon, ob der Angriff am Samstagabend passiert ist, oder nicht. Sicherheit wird mit NIS2 vor allem zur Chefsache. Denn Geschäftsführer sind jetzt persönlich haftbar und müssen in die Entwicklung und Umsetzung von Sicherheitsstrategien eingebunden werden. Cybersicherheit wird somit zum integralen Bestandteil der Unternehmensführung.
Folgende Pflichten und Maßnahmen umfasst nach aktuellem Stand NIS2:
- Registrierungspflichten
- Fortlaufendes Risikomanagement inkl. technisch-organisatorischer Maßnahmen wie Analysen in Produktion, Lieferkette und IT-Systemen, regelmäßige Prüfung der Maßnahmen, Implementierung von Systemen zur Angriffserkennung
- Schulung und Sensibilisierung der Beschäftigten durch Awareness Trainings
- Meldepflichten und zeitnahe Reaktion auf erhebliche Sicherheitsvorfälle (Maßnahmen für Incident Response bzw. Management sowie Disaster Recovery)
- Dokumentationspflichten der getroffenen Sicherheitsmaßnahmen
- Verstärkte Governance
Nicht ohne Zutrittskontrolle
Trotz der Herausforderungen bietet NIS2 auch die Chance die unternehmenseigenen IT-Infrastrukturen auf ein neues Niveau zu heben und die Resilienz gegenüber Cyberangriffen zu stärken. Wer nur an IT denkt, vernachlässigt die physische Sicherheit. Dabei sind Cybersicherheit und physische Sicherheitsmaßnahmen untrennbar miteinander verbunden. Denn kaum ein zeitgemäßes Zutrittskontrollsystem kommt in einer vernetzten Welt ohne digitale Steuerung und Überwachung aus. Im Gegenteil. Nur ein ganzheitlicher Sicherheitsansatz im Sinne eines Risikomanagements mit fortlaufender Anpassung und Weiterentwicklung sorgt für zuverlässigen Schutz. Während Cybersicherheit die Systeme vor Angriffen schützt und die Integrität und Verfügbarkeit sicherstellt, sorgen physische Schutzmaßnahmen wie eine Zutrittskontrolle dafür, dass sicherheitskritische Bereiche klar abgegrenzt und überwacht werden. NIS2 spielt dabei eine Schlüsselrolle, in dem es strengere Standards – quasi „Leitplanken“ – setzt.
So unterstützen Interflex-Lösungen NIS2-Anforderungen
Zutrittskontrolle spielt als Teil der technisch-organisatorischen Sicherheitsmaßnahmen eine entscheidende Rolle bei der Umsetzung der NIS2-Richtlinie und die Einhaltung gesetzlicher Anforderungen:
- Schutz sicherheitskritischer Bereiche: Zutrittskontrolle beispielsweise mit dem System IF-6040 verhindert, dass unbefugte Personen Zugang zu kritischen IT- und Produktionsbereichen und Systemen erhalten. Alle Zutrittsberechtigungen werden zentral hinterlegt und verwaltet und werden per Knopfdruck schnell entfernt. Mit dem Modul Besuchermanagement in der IF-6040 haben Unternehmen zusätzlich ein Hilfsmittel, damit auch Betriebsfremde nicht zum Sicherheitsrisiko werden.
- Überwachung und Protokollierung: In der IF-6040 laufen alle Zutrittsereignisse in Echtzeit zusammen. Zum einen werden alle Ereignisse dokumentiert und helfen bei der Erkennung und Analyse von Sicherheitsvorfällen. Zum anderen werden Verantwortliche schnell auskunftsfähig für Audits und Nachweisprüfungen.
- Hohe Sicherheitsstandards: Als Mitglied der „Allianz für Cybersicherheit“ richten wir uns bei der Entwicklung unseres System-Software IF-6040 nach den Grundsätzen „Security-by-Design“ und „Security-by-Default“. Zusätzlich unterziehen wir unsere Softwarelösung regelmäßig unabhängigen Pentests. Und in punkto Kommunikation ist diese zwischen den Systemen zertifikatsbasiert und verschlüsselt. Unsere IF-800 Terminalserie für Zutrittskontrolle und unsere batteriebetriebenen Schließkomponenten der Opendor-Produktreihe sind für berührungslose Personenidentifikation mit RFID (Stand der Technik mit Legic und MiFare) und Smartphone konzipiert.
- Flexibilität und Anpassungsfähigkeit: Interflex-Zutrittslösungen lassen sich nahtlos in bestehende Systemumgebungen einbinden und an unterschiedlichste Sicherheitsanforderungen anpassen. Offene Schnittstellen ermöglichen die Einbindung in Gebäudemanagementsysteme und die Anbindung eines Sicherheitsleitstandes. Da Interflex-Terminals bzw. Zutrittsleser und auch das Software-System IF-6040 aus unserem Haus stammen, werden unsere Systeme aufeinander abgestimmt kontinuierlich weiterentwickelt. Das sorgt für Investitionssicherheit, selbst bei sich schnell ändernden Anforderungen.
- Zusätzliche Sicherheitsfunktionen: Für ein mehr an Sicherheit sorgen zusätzliche biometrische Lösungen zum Beispiel von unserem Systempartner TBS.
Als langjähriger erfahrener Partner für Sicherheitslösungen unterstützt Interflex darüber hinaus die Kunden verschiedenster Größen und Branchen bei der Analyse der bestehenden Systeme und Sicherheitsanforderungen, und begleitet mit seinen Service-Teams die Auswahl und Implementierung der passenden Lösung, bis hin zur Wartung.
Fakt ist, das NIS2-Umsetzungsgesetz und das ergänzende KRITIS-Dachgesetz stehen in den Startlöchern und werden im Frühjahr 2025 voraussichtlich in Kraft treten. Sicherheit muss nicht grundlegend neu gedacht werden. Vielmehr geht es darum, Cybersicherheit und physische Sicherheit konsequent zusammenzuführen. Zutrittskontrolle on-premise oder als Managed Service in der Cloud ist ein relevanter Baustein im Sicherheitskonzept und wird dafür sorgen, dass die IT- und Unternehmensinfrastruktur auch in Zukunft resilient bleibt.