NIS2-Direktive: 6 Tipps zur Umsetzung in Unternehmen

Beitrag teilen

Die EU-NIS2-Direktive verpflichtet bald viele Unternehmen dazu, höhere Cybersicherheitsstandards zu erfüllen – im Oktober 2024 soll das Gesetz schon fertig sein. Was müssen Security-Verantwortliche jetzt beachten? Wie bewältigen die IT-Teams die zusätzlichen Aufgaben? Und inwieweit können Information Security Management Systeme (ISMS) helfen? indevis kennt die drängendsten Fragen und hat die passenden Tipps.

Die EU-Richtlinie NIS2 hat ein klares Ziel: die Widerstandsfähigkeit und Reaktionsfähigkeit gegenüber Cyberbedrohungen zu stärken. In Deutschland könnten 27.000 Unternehmen von den neuen Regelungen betroffen sein – eine Verzehnfachung der bisher in den KRITIS-Bereich fallenden Unternehmen. Das deutsche Umsetzungsgesetz befindet sich noch in der Entwicklung.

Anzeige

Gesetz: Festschreibung Im Oktober 2024

Derzeit liegt der dritte Referentenentwurf aus dem Herbst 2023 vor, und ein vierter wird noch im Frühjahr erwartet. Bis zum 17. Oktober 2024 soll das Gesetz festgeschrieben sein. Alle betroffenen Institutionen sind dann verpflichtet, eine Reihe an Cyber-Security-Maßnahmen umzusetzen. Wie können sich die deutschen Betriebe adäquat darauf vorbereiten?

EU-NIS2-Tipp 1: Starten Sie jetzt

Überprüfen Sie zunächst, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist. Spielen Ihre Produkte oder Dienstleistungen eine wichtige Rolle für die europäische Wirtschaft und Gesellschaft? Wenn ja, gilt die Richtlinie für Unternehmen mit mehr als 50 Mitarbeitern und einem Umsatz von über zehn Millionen Euro. Prüfen Sie auch, ob die Firma zu den kritischen Sektoren gemäß Anhang 1 oder Anhang 2 der Richtlinie gehört, und informieren Sie sich genauer darüber, ob die Sicherheitssysteme Ihres Unternehmens den Anforderungen von NIS2 entsprechen müssen. Falls ja, gibt es gezielte Maßnahmen, um sich vorzubereiten – denn die Sanktionen reichen hier bis zur Geschäftsführerhaftung.

EU-NIS2-Tipp 2: Etablieren Sie ein Information Security Management System

Von der Geschäftsführung eingesetzt, ist die Aufgabe eines Informationssicherheitsbeauftragten (ISB), ein entsprechendes Informationssicherheitsmanagementsystem (ISMS) einzuführen. Er arbeitet in der Regel nicht allein, sondern wird von verschiedenen Abteilungen unterstützt. Geeignete Kandidaten für sein Team sind Datenschutz- und Qualitätsmanagementbeauftragte sowie Vertreter aus Personalwesen, Facility Management, Einkauf oder der IT. Der ISB kann auch extern rekrutiert werden, insbesondere wenn vorhandenes Personal bereits vollumfänglich in das Tagesgeschäft eingebunden ist.

EU-NIS2-Tipp 3: Wie sieht ein wirkungsvolles ISMS aus?

Es folgt dem Best Practice-Ansatz und basiert auf bewährten Verfahren und international anerkannten Standards wie der ISO 27001. Obwohl eine Zertifizierung nach dieser Norm derzeit nicht zwingend erforderlich ist, ist es ratsam, sich auf zukünftige Anforderungen vorzubereiten. Neben der ISO 27001 gibt es auch branchenspezifische Sicherheitsstandards, die ähnliche Ziele setzen und speziell auf die Anforderungen bestimmter Branchen und deren Kritikalität zugeschnitten sind. Zusätzlich bieten Richtlinien wie die ISO 27002 und das BSI-Grundschutzkompendium praktische Anleitungen und Ressourcen zur Unterstützung bei der Implementierung.

EU-NIS2-Tipp 4: Sehen Sie es als Prozess, nicht als Projekt

Der Prozess, ein ISMS aufzubauen, folgt einem iterativen Ansatz, der als Plan-Do-Check-Act (PDCA) bekannt ist. Zu Beginn werden Ziele festgelegt, eine Sicherheitsorganisation gebildet und Risikoanalysen durchgeführt. Basierend auf den Ergebnissen werden Maßnahmen ergriffen und dokumentiert. Interne Audits dienen dazu, den Fortschritt zu überprüfen. Ein Managementreview bewertet die Zielerreichung sowie die Wirksamkeit des ISMS. Der ISB spielt hierbei eine Schlüsselrolle und arbeitet eng mit der Geschäftsführung zusammen, um das ISMS kontinuierlich zu verbessern und den Reifegrad im Laufe der Zeit zu steigern.

EU-NIS2-Tipp 5: Geschäftskontinuität sicherstellen

🔎 Wolfgang Kurz, CTO bei indevis (Bild: indevis).

Zudem sollten Sie für den Fall eines Cyberangriffs vorsorgen und vorab Verantwortlichkeiten definieren. Denn wenn Sie unter die NIS2-Richtlinie fallen, müssen Vorfälle an das BSI gemeldet werden. Dementsprechend sind gerade Werkzeuge, um Cyberangriffe frühzeitig zu erkennen und zu bekämpfen zentral, um die Resilienz der IT-Infrastruktur zu erhöhen. So lässt sich Schaden minimieren. Betriebe, die hier gut aufgestellt sind, steigern zudem ihren Wert.

EU-NIS2-Tipp 6: Holen Sie sich Unterstützung

Wenn Unternehmen Hilfe brauchen, sollten sie nicht zögern, externe Dienstleister hinzuzuziehen. Die Experten unterstützen in allen Phasen dabei, die Anforderungen von NIS2 zu erfüllen. Sie helfen, Auswirkungen zu klären, Verantwortlichkeiten festzulegen und maßgeschneiderte Schulungsprogramme für Mitarbeiter zu entwickeln. Außerdem stehen sie Unternehmen mit Rat und Tat und Tools zur Bedrohungsanalyse zur Seite, um Angriffe zu erkennen und Vorfälle zu verwalten, damit diese frühestmöglich reagieren können.

Fazit: NIS2-Anforderungen als Chance

Auch wenn ein Unternehmen nicht direkt von NIS2 betroffen ist, muss es dennoch bestimmte Standards einhalten, um Cyberangriffen etwas entgegenzusetzen. Sind die NIS2-Anforderungen umgesetzt und ist ein ISMS implementiert sichert das die Geschäftskontinuität. Die Maßnahmen eröffnen auch die Gelegenheit, Schwachstellen zu identifizieren und das Unternehmen sowie seine Lieferkette resilienter zu machen. Auf diese Weise stärkt NIS2 die Cybersecurity und mit ihr die Wirtschaft in ganz Europa.

Mehr bei indevis.de

 


Über indevis

Die nach der internationalen Norm ISO/IEC 27001 zertifizierte indevis IT-Consulting and Solutions GmbH ist einer von Deutschlands führenden Managed Security Service Providern (MSSP) mit Services, die sowohl cloudbasiert als auch On Premises sind. Bereits seit über 20 Jahren setzt das Unternehmen Sicherheitsstandards in der Informationstechnologie und stellt für Kunden jeder Größe und Branche passende IT-Sicherheits-, Netzwerk- und Datacenterlösungen bereit.


 

Passende Artikel zum Thema

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

KI-Sicherheitsmemorandum in den USA

Die KI-Sicherheit steht an einem Wendepunkt. Das erste National Security Memorandum (NSM) für künstliche Intelligenz markiert einen wichtigen Meilenstein – ➡ Weiterlesen

Deutschland gibt über 10 Milliarden Euro für Cybersicherheit aus

Angesichts der zunehmenden Bedrohung durch Cyberangriffe investiert Deutschland verstärkt in IT-Sicherheit. Im laufenden Jahr steigen die entsprechenden Ausgaben um 13,8 ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen