Die EU-Richtlinie NIS2 zielt darauf ab, die Widerstandsfähigkeit und Reaktionsfähigkeit gegenüber Cyber-Bedrohungen zu stärken. In Deutschland könnten 27.000 Unternehmen von den neuen Regelungen betroffen sein – eine Verzehnfachung der bisher in den KRITIS-Bereich fallenden Unternehmen.
Das deutsche Umsetzungsgesetz befindet sich noch in der Entwicklung. Derzeit liegt der dritte Referentenentwurf aus dem Herbst 2023 vor, und ein vierter soll im Frühjahr kommen. Bis zum 17. Oktober 2024 soll das Gesetz festgeschrieben sein. Alle betroffenen Institutionen sind dann verpflichtet, eine Reihe an Cyber-Security-Maßnahmen umzusetzen. Wie können sich die deutschen Betriebe adäquat darauf vorbereiten? Sechs Tipps.
Frühestmöglich starten
Überprüfen Sie zunächst, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist. Spielen Ihre Produkte oder Dienstleistungen eine wichtige Rolle für die europäische Wirtschaft und Gesellschaft? Wenn ja, gilt die Richtlinie für Unternehmen mit mehr als 50 Mitarbeitendem und einem Umsatz von über zehn Millionen Euro. Prüfen Sie auch, ob die Firma zu den kritischen Sektoren gemäß Anhang 1 oder Anhang 2 der Richtlinie gehört, und informieren Sie sich genauer darüber, ob die Sicherheitssysteme Ihres Unternehmens den Anforderungen von NIS2 entsprechen müssen. Falls ja, gibt es Maßnahmen, um sich vorzubereiten – denn die Sanktionen reichen hier bis zur Geschäftsführerhaftung.
Ein Information Security Management System etablieren
Von der Geschäftsführung eingesetzt, ist die Aufgabe eines Informationssicherheitsbeauftragten (ISB), ein entsprechendes Informationssicherheitsmanagementsystem (ISMS) einzuführen. Er arbeitet in der Regel nicht allein, sondern wird von verschiedenen Abteilungen unterstützt. Geeignete Kandidaten für sein Team sind Datenschutz- und Qualitätsmanagementbeauftragte sowie Vertreter aus Personalwesen, Facility Management, Einkauf oder der IT. Der ISB kann auch extern rekrutiert werden, insbesondere wenn vorhandenes Personal bereits in das Tagesgeschäft eingebunden ist.
Wie ein wirkungsvolles ISMS aussieht
Es folgt dem Best Practice-Ansatz und basiert auf bewährten Verfahren und international anerkannten Standards wie der ISO 27001. Obwohl eine Zertifizierung nach dieser Norm derzeit nicht zwingend erforderlich ist, ist es ratsam, sich auf künftige Anforderungen vorzubereiten. Neben der ISO 27001 gibt es auch branchenspezifische Sicherheitsstandards, die ähnliche Ziele setzen und speziell auf die Anforderungen bestimmter Branchen und deren Kritikalität zugeschnitten sind. Zusätzlich bieten Richtlinien wie die ISO 27002 und das BSI-Grundschutzkompendium praktische Anleitungen und Ressourcen zur Unterstützung bei der Implementierung.
Ziele festlegen, eine Sicherheitsorganisation bilden, Risikoanalysen durchführen
Der Prozess, ein ISMS aufzubauen, folgt einem iterativen Ansatz, der unter dem Begriff „Plan-Do-Check-Act“ (PDCA) läuft. Zu Beginn werden Ziele festgelegt, eine Sicherheitsorganisation gebildet und Risikoanalysen durchgeführt. Basierend auf den Ergebnissen werden Maßnahmen ergriffen und dokumentiert. Interne Audits dienen dazu, den Fortschritt zu überprüfen. Ein Managementreview bewertet die Zielerreichung sowie die Wirksamkeit des ISMS. Der ISB spielt hierbei eine Schlüsselrolle und arbeitet eng mit der Geschäftsführung zusammen, um das ISMS kontinuierlich zu verbessern und den Reifegrad zu steigern.
Geschäftskontinuität sicherstellen
Zudem sollten Sie für den Fall eines Cyberangriffs vorsorgen und vorab Verantwortlichkeiten definieren. Denn wenn Sie unter die NIS2-Richtlinie fallen, müssen Vorfälle an das BSI gemeldet werden. Dementsprechend sind gerade Werkzeuge, um Cyberangriffe frühzeitig zu erkennen und zu bekämpfen zentral, um die Resilienz der IT-Infrastruktur zu erhöhen. So lässt sich Schaden minimieren. Betriebe, die hier gut aufgestellt sind, steigern zudem ihren Wert.
Sich Unterstützung holen
Wenn Unternehmen Hilfe brauchen, sollten sie nicht zögern, externe Dienstleister hinzuzuziehen. Die Experten unterstützen in allen Phasen dabei, die Anforderungen von NIS2 zu erfüllen. Sie helfen, Auswirkungen zu klären, Verantwortlichkeiten festzulegen und Schulungsprogramme für Mitarbeitende zu entwickeln. Außerdem stehen sie Unternehmen mit Tools zur Bedrohungsanalyse zur Seite, um Angriffe zu erkennen und Vorfälle zu verwalten, damit diese frühestmöglich reagieren können.
Fazit: NIS2-Anforderungen als Chance
Auch wenn ein Unternehmen nicht direkt von NIS2 betroffen ist, muss es dennoch bestimmte Standards einhalten, um Cyber-Angriffen etwas entgegenzusetzen. Sind die NIS2-Anforderungen umgesetzt und ist ein ISMS implementiert, sichert das die Geschäftskontinuität. Die Maßnahmen eröffnen auch die Gelegenheit, Schwachstellen zu identifizieren und das Unternehmen sowie seine Lieferkette resilienter zu machen.
Quelle: Indevis GmbH
Autor(en): versicherungsmagazin.de