Im Rahmen der neuen EU-Rechtsvorschriften zur Cybersicherheit, die als NIS2 bekannt sind, werden die regulatorischen Anforderungen erheblich verschärft. Neben den herkömmlichen KRITIS-Betreibern rücken nun auch IT-Dienstleister – darunter Managed-Service-Anbieter, Cloud-Anbieter, Rechenzentren und zahlreiche KMU – in den Fokus. Damit steigt die Zahl der beteiligten Organisationen in Deutschland von etwa 4.500 auf etwa 29.500 in 18 Sektoren. Nach Ansicht der BSI können auch gruppeninterne IT-Dienstleister in den Geltungsbereich von NIS2 fallen, wenn sie Betriebsdienstleistungen für die Netz- und Informationssysteme anderer Konzerngesellschaften erbringen und über einen administrativen Zugang verfügen. Die Richtlinie legt erstmals einen verbindlichen Mindeststandard fest. Sicherheit ist also nicht nur eine technische Maßnahme, sondern eine Kombination aus Prozessen, Verantwortlichkeiten und Architektur. Im Mittelpunkt steht dabei nicht das bloße Vorhandensein einzelner Kontrollen, sondern deren Wirksamkeit im täglichen Betrieb. Unternehmen, die Sicherheit in erster Linie als regulatorische Kontrollbox betrachten, erkennen häufig keine Schwachstellen, bis ein Notfall sie durch kostspielige Verzögerungen aufdeckt. Die neue Bedrohungslandschaft. Diese erhöhte Nachfrage beruht in erster Linie auf Veränderungen in der Bedrohungslandschaft.
ComputerWeekly.de