Lazo Dodić (Comping): Jedes Unternehmen wird sich letztendlich an das Cybersecurity-Gesetz anpassen müssen

Die EU-Gesetzgebung erfordert durch die Annahme von NIS2, dass die Mitgliedstaaten die Richtlinien dieser Richtlinie in nationales Recht umsetzen. Lazo Dodić, Spezialist für Vertriebslösungen bei Comping, erklärt, was dies für Unternehmen bedeutet und welche Rolle Rechenzentren und Cloud-Dienste bei der Einhaltung dieser Richtlinie und des Cybersecurity-Gesetzes spielen.

Was müssen Unternehmen umsetzen?

– Unternehmen, die vom Cybersecurity-Gesetz oder der NIS2-Richtlinie betroffen sind, müssen Prozesse und Richtlinien zur besseren Verwaltung von Cyberrisiken umsetzen. Sie sind auch verpflichtet, die Öffentlichkeit und alle relevanten Institutionen rechtzeitig und transparent über Cyberangriffe und deren Folgen zu informieren.

Welche Herausforderungen und Cyberrisiken sehen sich die IT-Systeme heutiger Unternehmen gegenüber?

– Eine Studie von Veeam aus dem Jahr 2023 zeigte, dass 85 % der Unternehmen einen Ransomware– oder Malware-Angriff erlitten haben, wobei bis zu 75 % Schwierigkeiten hatten, Backups wiederherzustellen. Die durchschnittliche Wiederherstellungszeit betrug drei Wochen, da der Backup-Server und das Backup-Repository von den Angriffen betroffen waren. Daher werden richtig konfigurierte Backups und Richtlinien zur Wiederherstellung von Vorfällen zur Notwendigkeit. Nach der NIS2-Richtlinie und dem Cybersecurity-Gesetz stehen Unternehmen vor einer zusätzlichen Herausforderung bei der Planung der Kosten für die Einrichtung von Backup-Standorten für die Notfallwiederherstellung und Cybervorfälle gemäß den Standards der IT-Branche.

Welche Rolle spielen Rechenzentren und Cloud-Dienste bei der Einhaltung von NIS2 und dem Cybersecurity-Gesetz?

– Die Verordnung schreibt Maßnahmen zur Verwaltung von Cybersecurity-Risiken vor. Eine der vorgeschriebenen Maßnahmen ist die Geschäftskontinuität, wie z.B. Backup-Management und Wiederherstellung von Unfällen, Ausfällen und Vorfällen. Das bedeutet, dass Unternehmen verpflichtet sind, bewährte Verfahren bei der Erstellung von Backups anzuwenden, Backups zu verteilen und einen DR-Standort für die Geschäftswiederherstellung zu haben. Angesichts dieser Herausforderungen sind Cloud- und Rechenzentren alternative Lösungen für die Bedürfnisse der Unternehmen, um die NIS2-Richtlinie und das Cybersecurity-Gesetz einzuhalten. Die Cloud-Dienste von Comping im Managed Service-Modell und das Data Target-Rechenzentrum bieten Unternehmen Kostentransparenz, während sie alle kritischen Aspekte der Sicherheit erfüllen und die Verfügbarkeit der Dienste gewährleisten.

Wie kann die Cloud bei der Einhaltung der Verordnung helfen?

– Sie können zusätzliche oder alle Backups Ihrer Daten in der Cloud speichern oder von IT-Systemausfällen am primären Standort wiederherstellen. Unsere Empfehlung ist, dass ein Backup, wie z.B. ein Backup auf NAS oder einer externen physischen Festplatte, nicht ausreicht; mehrere Kopien sollten auf verschiedenen Medien und Systemen erstellt werden. Im Falle eines Systemkompromisses oder eines Ransomware-Angriffs werden Sie sehr wahrscheinlich ohne ein Backup dastehen, wie die Fälle von Unternehmen zeigen, die nur eine Backup-Kopie pflegten. Die Notfallwiederherstellung in der Cloud ist eine kostengünstigere Option für Unternehmen, da sie keine zusätzlichen Investitionen erfordert und Geo-Redundanz sowie die Wiederherstellung des Betriebsstatus erreicht. Die Wiederherstellungsgeschwindigkeit kann in Sekunden gemessen werden.

Welche Strafen sind für Verstöße gegen die Verordnung vorgesehen?

– Die Strafen für Verstöße gegen die Verordnung sind sowohl für Unternehmen als auch für deren verantwortliche Personen erheblich, daher ist die Empfehlung für alle, auch für diejenigen, die nicht verpflichtet sind und mit den Verpflichteten nach dem Cybersecurity-Gesetz arbeiten, rechtzeitig mit Datenschutz- und Geschäftskontinuitätsrichtlinien zu beginnen. Verzögerungen können fatal sein und sowohl finanzielle als auch reputative Schäden verursachen. Unabhängig von der Kategorisierung müssen Unternehmen, die nicht vom Cybersecurity-Gesetz abgedeckt sind, sich irgendwann anpassen, wenn sie mit einem Unternehmen zusammenarbeiten möchten, das durch dieses Gesetz verpflichtet ist, da es die Sicherheit der Lieferkette vorschreibt.