Als Konverto-Kunde bin ich auf diese Nachricht vom Mai 2024 gestossen.
Als Nicht-Techniker moechte ich in “einfacher Sprache” verstehen, was das fuer mich bedeutet, wenn ich “digital muendig” werden will.
Also schreib ich mal:
(Zitat:) Zentrale Rolle der Nationalen Agentur für Cybersicherheit (ACN)
Die Agenzia per lacybersicurezza nazionale (ACN) wird als Koordinierungsstelle und Aufsichtsbehörde für NIS2 eingesetzt. Sie führt ein nationales Register, in dem sich Unternehmen, die unter die NIS2-Richtlinie fallen, registrieren müssen. Rund 50.000 Unternehmen sind schätzungsweise betroffen.
Umsetzungszeiten und nächste Schritte
Bis 28. Februar 2025: Unternehmen müssen ab Dezember eine Selbsteinschätzung vornehmen und sich auf der Plattform registrieren.
Bis März 2025: Die ACN bestätigt den registrierten Unternehmen ihre Aufnahme ins Register oder lehnt diese ab. Gleichzeitig erhalten die Unternehmen detaillierte Informationen zu den Sicherheitsmaßnahmen, die sie umsetzen müssen.
Bis Dezember 2025: Unternehmen müssen die Meldepflicht für größere IT-Störungen erfüllen.
Bis September 2026: Alle weiteren Sicherheitsmaßnahmen müssen vollständig umgesetzt sein.
Jährlich im Mai und Juni: Unternehmen sind verpflichtet, ihre Angaben im Register zu aktualisieren.
ich denke, dass sich diese Richtlinie nicht an Privatpersonen, wohl aber an Unternehmen und Organisationen richtet, wobei Freiberufler miteinbezogen werden könnten.
Kurzum geht es um die Verfassung und Hinterlegung eines Aktionsplans zur IT-Sicherheit, welche alle möglichen Angriffsvektoren abdeckt. Natürlich bedeutet dessen Ausarbeitung und schrittweise Umsetzung einen nicht unerheblichen Aufwand, aber die Ergebnisse sollten sich sehen lassen.
Sehr oft bekommt man in der Öffentlichkeit Aussagen wie diese zu hören: Ach was der Gesetzgeber nicht alles von Kleinunternehmen abverlangt. Bedenken wir aber, wenn ein Unternehmen bzw. eine Organisation sich nicht um Sicherheit schert, leiden wir alle. Denn alle von uns sind irgendwo Kunde, Lieferant, Mitglied oder auch Angestellter und vertrauen darauf, dass Daten gewissenhaft verarbeitet werden.
Leider sind die Cyberattacken vonseiten verschiedenster Hackergruppen und Regierungen inzwischen so ausgefeilt, dass es nicht mehr ohne professionelle Expertise geht, um sich davor zu wappnen. Und genau diese Verpflichtung wird damit umgesetzt.
Nicht dass da das Unternehmen X mit 3-4 Mitarbeitern mit der Aussage kommt, dass alle Daten (sehr oft inkl. Telefonnummern und Mailadressen) gestohlen wurden, weil bspw. der Webserver nicht mehr gewartet war oder die Passwörter zu schwach gesetzt waren. Spam-Mails und schwindelige Anrufe von unbekannten Nummern en Masse sind die Folge und was passiert dem Unternehmen? Nicht viel und wir hören lediglich lapidare Statements: “Ach das haben wir so nicht gewusst, tut uns Leid”. Das geht so nicht mehr. Es ist so, als würde ich meinen Besitz nicht absichern (was alle Versicherungen seit langem voraussetzen).
Wenn ich den Konverto-Beitrag lese, dann sehen die es als großes Geschäft, für das sie sich gleich anbieten. Wahrscheinlich eine Lösung im Microsoft-Umfeld, also closed und weitverbreitet, was keine gute Konstellation ist, wie man dieses Jahr erleben konnte (crowdstrike)
Es geht nicht allgemein um Firmen, sondern Unternehmen, die für die Infrastruktur maßgeblich sind. Weil bei NIS2 anders als beim Vorgänger die Kriterien strenger und genauer definiert sind, wird es mehr Unternehmen treffen. Die Schätzungen für D liegen bei 30.000, deshalb kommen mir die 50.000 für Italien etwas hoch vor. Zumindest kommen jetzt auch Firmen, wie CrowdStrike an die Leine.
Ich habe keine Zeit um NIS2 zu studieren, fürchte aber, dass an das Grundübel closed Source und Einfalt statt Vielfalt nicht gegangen wird.
Interessante Frage: betrifft es auch Maintainer, von zentralen Modulen, die ihre Arbeit teilweise in Heimarbeit verrichten, wie beim Fall log4j?
Auf den Chemnitzer-Linuxtagen gab es einen Vortrag von Peer Heinlein, der u.a. Geschäftsführer von mailbox.org ist.
