Home > Interview > „Die NIS2-Richtline stellt einen Paradigmenwechsel bei der Cybersicherheit dar“

„Die NIS2-Richtline stellt einen Paradigmenwechsel bei der Cybersicherheit dar“

NIS2-Richtlinie: Interview mit Waldemar Reimche, Geschäftsführer OEDIV SecuSys
"Neu ist vor allem die Ausweitung des Geltungsbereiches. Die NIS2-Richtlinie betrifft nun deutlich mehr Unternehmen, darunter auch viele KMU, die bisher nicht im Fokus standen", sagt Waldemar Reimche. (Bild: © OEDIV SecuSys GmbH)

„2025 wird das Jahr sein, in dem die europäische NIS2-Richtlinie voll in der Praxis ankommt“

Die Umsetzung der Netz-Informationssysteme-Richtlinie (NIS2) ins deutsche Recht ist bislang eine Geschichte verfehlter Fristen. Nachdem bereits im Oktober 2024 infolge eines verspäteten Referentenentwurfs das Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) versäumt wurde, ist das Gesetzesvorhaben nach dem Bruch der Ampel-Koalition erneut ins Stocken geraten. Da es nach den Wahlen von einer Nachfolgeregierung erst wieder auf den Weg gebracht werden muss, ist nicht vor Ende 2025 mit einer Verabschiedung zu rechnen. Den knapp 30.000 „wichtigen“ und „besonders wichtigen Einrichtungen“ aller Branchen und Größenordnungen verschafft der momentane politische Stillstand jedoch nur scheinbar eine Atempause. Die Zeit drängt, zu umfassend sind die Anforderungen der größten Compliance-Reform. NIS2 und DORA – ihr Pendant für den Finanzsektor – markieren einen Wendepunkt in der Security Awareness und definieren erstmals Cybersicherheit als eine ganzheitliche Gemeinschaftsaufgabe. Dabei kommt es vor allem auf funktionierende Prozesse an. Eine wirksame IAM-Strategie leistet einen wertvollen Beitrag zur Erfüllung der anspruchsvollen KRITIS-Vorgaben. Dr. Anke Schäfer sprach für den energie.blog mit Waldemar Reimche, Geschäftsführer der OEDIV SecuSys GmbH, über die Herausforderungen und Trends 2025.

e.b: Herr Reimche, auch wenn Deutschland die Umsetzungsfrist verpasst hat, wird die Richtlinie früher oder später in nationales Recht übergehen müssen. Länder wie Belgien oder Dänemark sind uns hier voraus. Können Sie unseren Leserinnen und Lesern erklären, worum es bei der NIS2 genau geht?
Waldemar Reimche: Die NIS2-Richtlinie ist die Überarbeitung der EU-weiten Vorgaben zur Erhöhung der Cybersicherheit, insbesondere für kritische Infrastrukturen wie Energieversorger, die Wasserwirtschaft oder den Gesundheitssektor. Ziel dessen ist es, einheitliche Sicherheitsstandards zu schaffen, Risiken proaktiv zu managen und die Widerstandsfähigkeit gegen Cyber-Angriffe zu stärken. Unternehmen, die unter diese Regelungen fallen, müssen nicht nur technische Sicherheitsmaßnahmen einhalten, sondern auch ihre Meldepflichten und Risikomanagementprozesse ausbauen.

e.b: Sind kleinere Stadtwerke ein besonders vulnerables Ziel für Angreifer?
Waldemar Reimche: Ja, auch wenn das aufgrund ihres geringeren Bekanntheitsgrades zunächst nicht so scheinen mag. Angreifer gehen häufig opportunistisch vor. Sie scannen ganze Netzwerke und suchen nach Schwachstellen, unabhängig davon, wie exponiert das Ziel ist. Gerade kleinere Stadtwerke haben oft weniger Ressourcen, um ihre Systeme zu schützen, was sie aus Sicht der Angreifer besonders interessant macht. Zudem kann ein Angriff auf ein vermeintlich kleines Ziel weitreichende Folgen für die lokale Versorgungssicherheit haben.

e.b: Wie können sich Unternehmen angesichts dieser konkreten Bedrohungsszenarien sicher aufstellen?
Waldemar Reimche: Eine solide Cybersicherheitsstrategie beginnt mit einer Bestandsaufnahme: Welche Systeme und Daten sind geschäftskritisch? Im Anschluss gilt es, Risiken systematisch zu bewerten und Schutzmaßnahmen zu priorisieren. Besonders wichtig sind dabei mehrstufige Schutzmechanismen, also eine Kombination aus Firewalls, Verschlüsselung, Zugangskontrollen und anderen Maßnahmen, die mit oder ohne externe Unterstützung umgesetzt werden können. Ebenso unerlässlich ist eine regelmäßige Schulung der Mitarbeiterinnen und Mitarbeiter, da der Faktor Mensch oft ein beliebtes Ziel von Angreifern ist, um in eine Umgebung einzudringen. Wir sprechen hierbei vom Social Engineering. Aber auch die Entwicklung von Notfallplänen spielt eine wichtige Rolle. Diese sollten natürlich ebenso wie eine Brandschutzübung regelmäßig geübt werden.

e.b: Was ist im Zusammenhang mit der NIS2-Richtlinie neu zu beachten?
Waldemar Reimche: Neu ist vor allem die Ausweitung des Geltungsbereiches. Die Richtlinie betrifft nun deutlich mehr Unternehmen, darunter auch viele KMU, die bisher nicht im Fokus standen. Außerdem werden die Anforderungen an das Risikomanagement präzisiert und die Strafen bei Verstößen erhöht. Unternehmen müssen nun auch die Cybersicherheitsrisiken in ihrer Lieferkette bewerten – ein Aspekt, der bisher oft unterschätzt wurde.

e.b: Ihr Unternehmen ist einer der führenden Anbieter im Bereich Identity & Access Management. Welche konkreten Vorteile hat ein Identity Management System (IAM) in der Praxis?
Waldemar Reimche: Eine wirksame IAM-Strategie ist ein entscheidender Sicherheitsfaktor. Heute sind IAM-Systeme ein zentraler Baustein moderner Cybersicherheit. Sie sind das Fundament digitaler Resilienz und stellen sicher, dass nur berechtigte Personen auf bestimmte Systeme und Daten zugreifen können. In der Praxis bedeutet das: weniger Sicherheitslücken durch gestohlene oder schwache Passwörter und eine einfachere Verwaltung von Benutzerrechten. Gerade für Stadtwerke, die häufig mit externen Dienstleistern zusammenarbeiten, ist ein effektives IAM entscheidend, um Zugriffskontrollen transparent und sicher zu gestalten.

e.b: Ein neues Jahr steht vor der Tür. Welche aktuellen Trends sehen Sie im Bereich Cybersecurity?
Waldemar Reimche: Ein großer Trend ist der Einsatz künstlicher Intelligenz – sowohl auf Angreifer- als auch auf Verteidigerseite. KI hilft, Muster in riesigen Datenmengen zu erkennen und Bedrohungen früher zu identifizieren.

Gleichzeitig beobachten wir eine zunehmende Professionalisierung der Angreifer – Ransomware-Angriffe werden immer raffinierter.

Ein weiterer Trend ist Zero Trust: Unternehmen gehen nicht mehr davon aus, dass die Systeme in ihrem Netzwerk sicher sind, sondern überprüfen konsequent jeden Zugriff und sind so schneller in der Lage, potenzielle Angriffe zu erkennen und abzuwehren. Wer davon ausgeht, bereits einmal Ziel eines Hackerangriffs gewesen zu sein, schaut viel genauer hin als jemand, der sich darauf verlässt, dass in den letzten 50 Jahren schon alles gut gegangen ist.

Hinzu kommt das Thema Machine IAM, also die Verwaltung von Maschinenidentitäten. In einer zunehmend automatisierten IT-Welt kommunizieren Maschinen, IoT-Geräte und Anwendungen miteinander – oft ohne direkte menschliche Kontrolle. Machine IAM sorgt dafür, dass diese Interaktionen sicher ablaufen, etwa durch den Einsatz von Zertifikaten und automatisierten Zugriffskontrollen. Das wird in Zukunft eine immer wichtigere Rolle spielen.

e.b:Ihre persönliche Prognose für 2025?
Waldemar Reimche: Auch wenn wir heute noch nicht wissen, wann genau das Gesetz in Kraft tritt: 2025 wird das Jahr sein, in dem die europäische NIS2-Richtlinie voll in der Praxis ankommt. Viele Unternehmen werden ihre Sicherheitsstrukturen neu ausrichten müssen, um sich in der neuen Welt der Regulierung und der Cyberangriffe besser zu positionieren. Die NIS2 stellt hierbei einen Paradigmenwechsel dar.

Zudem erwarte ich, dass die Regulierung im Bereich der Cloud-Dienste weiter zunehmen wird. Auf der technischen Seite werden Themen wie Post-Quantum-Kryptographie und die Absicherung von OT- und IoT-Geräten deutlich an Bedeutung gewinnen. Angesichts der Entwicklung, dass Verschlüsselungszertifikate eine immer kürzere Lebensdauer haben sollen, wird es für viele Betreiber von IT- und OT-Umgebungen immer schwieriger, diese mit herkömmlichen Methoden aktuell und sicher zu halten, während IoT-Geräte nach wie vor oft gar keine Sicherheitsvorkehrungen von Haus aus mitbringen.

e.b: Zum Schluss: Was empfehlen Sie Stadtwerken, um sich jetzt optimal aufzustellen?
Waldemar Reimche: Mein wichtigster Rat: Proaktiv handeln. Beginnen Sie jetzt mit der Risikoanalyse und definieren Sie klare Verantwortlichkeiten für Cybersicherheit. Investieren Sie in Schulungen und sensibilisieren Sie Ihre Mitarbeiterinnen und Mitarbeiter. Nutzen Sie bestehende Förderprogramme, um in moderne Sicherheitstechnologien zu investieren. Und vergessen Sie nicht: Ein gut geübter Notfallplan kann im Ernstfall den entscheidenden Unterschied machen.

 

e.b: Waldemar Reimche, vielen Dank für das Gespräch.

 

Stets auf dem Laufenden bleiben:

Zum Newsletter

Das könnte Sie auch interessieren
Machine Identity Management
Warum Machine Identity Management eine immer größere Rolle bei der Sicherung vernetzter Systeme einnimmt
Identity and Access Management
Identity and Access Management: Wer darf was, wann und wo im IT-System von Unternehmen tun?
Handelsblatt Energiegipfel: „Der Beginn einer neuen Ära“ für die Energiewirtschaft
IT-Sicherheit
Tim Philipp Schäfers: „IT-Sicherheit ist ein kontinuierlicher gemeinsamer Verbesserungsprozess“