©G Data

Die europäische NIS-2-Richtlinie dehnt Cybersicherheit auch auf viele mittelständische Unternehmen aus. Allein in Deutschland müssen sich schätzungsweise 30.000 Firmen bis zum geplanten Inkrafttreten des entsprechenden nationalen Gesetzes mit NIS-2 auseinandersetzen. Um NIS-2-Konformität zu erreichen, sollten Verantwortliche jetzt acht Maßnahmen ergreifen, um die Frist einzuhalten:

  1. Eine Projektgruppe bilden

    Die umfangreichen Anforderungen der NIS-2 erfordern eine dedizierte Organisationsstruktur. Im ersten Schritt sollten Verantwortliche daher eine Projektgruppe einberufen. Diese Gruppe setzt sich aus der Geschäftsleitung, den IT-Verantwortlichen, den IT-Sicherheitsverantwortlichen und allen weiteren relevanten Personen zusammen. Außerdem sollten Unternehmen ausreichend Budget und Zeit einplanen.

    Um die Umsetzung von NIS-2 zu gewährleisten, sollte die Projektgruppe zunächst ein Cybersicherheitstraining absolviert. Das Ziel: ein gemeinsames Grundverständnis für IT-Sicherheit. Gruppen, die bereits dieses Verständnis haben, können direkt zu Schritt zwei übergehen.
  2. Organisatorische Maßnahmen einleiten

    NIS-2 nimmt Vorstände und Geschäftsführungen in die Pflicht. Sie verantworten in letzter Instanz die Überwachung der Umsetzung der Maßnahmen und haften persönlich bei Verstößen. Weil alle Mitglieder der Chefetage gleichermaßen in der Pflicht stehen, ist eine Delegation dieser Verantwortung innerhalb des Vorstands nicht möglich. Übrigens: Verzichtsvereinbarungen des Unternehmens gegenüber dem Vorstand beziehungsweise der Geschäftsführung sind nach dem aktuellen deutschen Gesetzentwurf unwirksam.
  3. ISMS auf den Weg bringen

    Es braucht im Rahmen der NIS-2-Umsetzung ein eigenes Projekt, um ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 einzuführen. Das ISMS zielt darauf ab, die internen IT-Strukturen zu dokumentieren und den Bedarf an zusätzlichen Anschaffungen und Dienstleistungen im Kontext von NIS-2 zu ermitteln. Dabei werden viele Firmen auf externe Beratung zurückgreifen. Auf Basis einer fundierten Analyse erhalten die Verantwortlichen klare und präzise Empfehlungen. Der Aufwand ist dabei recht hoch, da sich hier viele einzelne Themenbereiche überschneiden und auch gegenseitige Abhängigkeiten haben.
  4. Lieferketten überprüfen

    Um die Anforderungen von NIS-2 zu erfüllen, ist es unerlässlich, die Sicherheit der gesamten Lieferkette hinsichtlich der Netz- und Informationssysteme sowie der physischen Umwelt dieser Systeme zu gewährleisten. Der Einkauf kann Hilfestellung geben, weil er sämtliche Rechnungen für Lieferungen abwickelt. Lieferanten-Zertifikate sind eine von mehreren Optionen, um die Sicherheit von Produkten zu gewährleisten. Es ist jedoch wichtig, regelmäßig den Status dieser Zertifikate zu prüfen.
  5. Cybersicherheit zertifizieren

    Hier ist zu klären, ob Cybersicherheits-Zertifizierungen für Unternehmen als Anbieter oder Käufer relevant sind. Stellen Unternehmen ein Produkt her, welches sicherheitszertifiziert sein muss oder stehen sie künftig in der Pflicht, nur noch Produkte zu kaufen, die entsprechend zertifiziert sind? In Zukunft könnten Unternehmen auf Basis von Einzelfallentscheidungen dazu verpflichtet werden, ausschließlich zertifizierte Produkte aus einer bestimmten Kategorie zu kaufen. Wer selbst entsprechende Produkte oder Dienstleistungen anbietet, riskiert ohne Zertifizierungen schlimmstenfalls sogar einen Verkaufsstopp, sofern die Kunden zum Erwerb zertifizierter Produkte aufgefordert werden. Es ist zum jetzigen Zeitpunkt aber noch unklar, welche Produkte betroffen sein werden, da die entsprechenden Rechtsverordnungen noch fehlen. Potenziell davon betroffene Unternehmen sollten aber im Voraus Schritte prüfen, um eine erforderliche Sicherheitszertifizierung für ihre Produkte zu erhalten.
  6. Meldeprozesse definieren

    Gemäß der NIS-2-Verordnung muss ein Betrieb die Meldebehörde innerhalb von 24 Stunden per E-Mail über einen möglichen Cybersicherheitsvorfall informieren. Eine Bewertung des Vorfalls, beziehungsweise ein Abschlussbericht muss innerhalb von 72 Stunden vorliegen. Nach einem Monat ist ein umfassender Bericht fällig. Um schnell fundierte Informationen bereitzustellen, sollten die Verantwortlichen dafür Meldeprozesse definieren, die diesen knappen Meldefristen entsprechen. Projektverantwortliche sollten das Gespräch mit dem Datenschutzbeauftragten suchen. Das ist ein ideales Best-Practice-Beispiel, an dem sich die Projektgruppe orientieren kann.
  7. Regelmäßige Austausche

    NIS-2 sieht ein Format vor, bei dem Unternehmen sich zur Cybersicherheit austauschen können. Diese Plattform organisiert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Um eigene Erfahrungen zu teilen und Informationen aus diesem Kreis weiterzugeben, müssen die Verantwortlichen abklären, wer an dem Format teilnimmt. Die Art des Austausches ist zum aktuellen Zeitpunkt noch nicht definiert.
  8. Beim BSI registrieren

    Betroffene Unternehmen müssen sich als wichtiger oder wesentlicher Betrieb beim BSI registrieren. Es ist entscheidend zu prüfen, ob das Unternehmen der NIS-2 unterliegt, bevor eine Meldung erfolgt. Nach aktuellem Stand richten das BSI und das Amt für Bevölkerungsschutz und Katastrophenhilfe (BBK) die Meldestelle gemeinsam ein. Die genaue technische Umsetzung ist noch abzuwarten.

Obwohl zum aktuellen Zeitpunkt einige Fragen bei NIS-2 noch offen sind, sollten betroffene Unternehmen keine Zeit verlieren und sich mit den Vorgaben eingehend auseinandersetzen. Wer jetzt handelt, stärkt die IT-Sicherheit der eigenen Firma und investiert in deren Zukunftsfähigkeit. Cyberkriminelle sind stets aktiv und ergreifen jede Gelegenheit, um ein Unternehmen zu attackieren.

Autor: Tim Berghoff, Security Evangelist bei G DATA CyberDefense

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“