NIS2-Direktive: 6 Tipps zur Umsetzung in Unternehmen

Beitrag teilen

Die EU-NIS2-Direktive verpflichtet bald viele Unternehmen dazu, höhere Cybersicherheitsstandards zu erfüllen – im Oktober 2024 soll das Gesetz schon fertig sein. Was müssen Security-Verantwortliche jetzt beachten? Wie bewältigen die IT-Teams die zusätzlichen Aufgaben? Und inwieweit können Information Security Management Systeme (ISMS) helfen? indevis kennt die drängendsten Fragen und hat die passenden Tipps.

Die EU-Richtlinie NIS2 hat ein klares Ziel: die Widerstandsfähigkeit und Reaktionsfähigkeit gegenüber Cyberbedrohungen zu stärken. In Deutschland könnten 27.000 Unternehmen von den neuen Regelungen betroffen sein – eine Verzehnfachung der bisher in den KRITIS-Bereich fallenden Unternehmen. Das deutsche Umsetzungsgesetz befindet sich noch in der Entwicklung.

Anzeige

Gesetz: Festschreibung Im Oktober 2024

Derzeit liegt der dritte Referentenentwurf aus dem Herbst 2023 vor, und ein vierter wird noch im Frühjahr erwartet. Bis zum 17. Oktober 2024 soll das Gesetz festgeschrieben sein. Alle betroffenen Institutionen sind dann verpflichtet, eine Reihe an Cyber-Security-Maßnahmen umzusetzen. Wie können sich die deutschen Betriebe adäquat darauf vorbereiten?

EU-NIS2-Tipp 1: Starten Sie jetzt

Überprüfen Sie zunächst, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist. Spielen Ihre Produkte oder Dienstleistungen eine wichtige Rolle für die europäische Wirtschaft und Gesellschaft? Wenn ja, gilt die Richtlinie für Unternehmen mit mehr als 50 Mitarbeitern und einem Umsatz von über zehn Millionen Euro. Prüfen Sie auch, ob die Firma zu den kritischen Sektoren gemäß Anhang 1 oder Anhang 2 der Richtlinie gehört, und informieren Sie sich genauer darüber, ob die Sicherheitssysteme Ihres Unternehmens den Anforderungen von NIS2 entsprechen müssen. Falls ja, gibt es gezielte Maßnahmen, um sich vorzubereiten – denn die Sanktionen reichen hier bis zur Geschäftsführerhaftung.

EU-NIS2-Tipp 2: Etablieren Sie ein Information Security Management System

Von der Geschäftsführung eingesetzt, ist die Aufgabe eines Informationssicherheitsbeauftragten (ISB), ein entsprechendes Informationssicherheitsmanagementsystem (ISMS) einzuführen. Er arbeitet in der Regel nicht allein, sondern wird von verschiedenen Abteilungen unterstützt. Geeignete Kandidaten für sein Team sind Datenschutz- und Qualitätsmanagementbeauftragte sowie Vertreter aus Personalwesen, Facility Management, Einkauf oder der IT. Der ISB kann auch extern rekrutiert werden, insbesondere wenn vorhandenes Personal bereits vollumfänglich in das Tagesgeschäft eingebunden ist.

EU-NIS2-Tipp 3: Wie sieht ein wirkungsvolles ISMS aus?

Es folgt dem Best Practice-Ansatz und basiert auf bewährten Verfahren und international anerkannten Standards wie der ISO 27001. Obwohl eine Zertifizierung nach dieser Norm derzeit nicht zwingend erforderlich ist, ist es ratsam, sich auf zukünftige Anforderungen vorzubereiten. Neben der ISO 27001 gibt es auch branchenspezifische Sicherheitsstandards, die ähnliche Ziele setzen und speziell auf die Anforderungen bestimmter Branchen und deren Kritikalität zugeschnitten sind. Zusätzlich bieten Richtlinien wie die ISO 27002 und das BSI-Grundschutzkompendium praktische Anleitungen und Ressourcen zur Unterstützung bei der Implementierung.

EU-NIS2-Tipp 4: Sehen Sie es als Prozess, nicht als Projekt

Der Prozess, ein ISMS aufzubauen, folgt einem iterativen Ansatz, der als Plan-Do-Check-Act (PDCA) bekannt ist. Zu Beginn werden Ziele festgelegt, eine Sicherheitsorganisation gebildet und Risikoanalysen durchgeführt. Basierend auf den Ergebnissen werden Maßnahmen ergriffen und dokumentiert. Interne Audits dienen dazu, den Fortschritt zu überprüfen. Ein Managementreview bewertet die Zielerreichung sowie die Wirksamkeit des ISMS. Der ISB spielt hierbei eine Schlüsselrolle und arbeitet eng mit der Geschäftsführung zusammen, um das ISMS kontinuierlich zu verbessern und den Reifegrad im Laufe der Zeit zu steigern.

EU-NIS2-Tipp 5: Geschäftskontinuität sicherstellen

🔎 Wolfgang Kurz, CTO bei indevis (Bild: indevis).

Zudem sollten Sie für den Fall eines Cyberangriffs vorsorgen und vorab Verantwortlichkeiten definieren. Denn wenn Sie unter die NIS2-Richtlinie fallen, müssen Vorfälle an das BSI gemeldet werden. Dementsprechend sind gerade Werkzeuge, um Cyberangriffe frühzeitig zu erkennen und zu bekämpfen zentral, um die Resilienz der IT-Infrastruktur zu erhöhen. So lässt sich Schaden minimieren. Betriebe, die hier gut aufgestellt sind, steigern zudem ihren Wert.

EU-NIS2-Tipp 6: Holen Sie sich Unterstützung

Wenn Unternehmen Hilfe brauchen, sollten sie nicht zögern, externe Dienstleister hinzuzuziehen. Die Experten unterstützen in allen Phasen dabei, die Anforderungen von NIS2 zu erfüllen. Sie helfen, Auswirkungen zu klären, Verantwortlichkeiten festzulegen und maßgeschneiderte Schulungsprogramme für Mitarbeiter zu entwickeln. Außerdem stehen sie Unternehmen mit Rat und Tat und Tools zur Bedrohungsanalyse zur Seite, um Angriffe zu erkennen und Vorfälle zu verwalten, damit diese frühestmöglich reagieren können.

Fazit: NIS2-Anforderungen als Chance

Auch wenn ein Unternehmen nicht direkt von NIS2 betroffen ist, muss es dennoch bestimmte Standards einhalten, um Cyberangriffen etwas entgegenzusetzen. Sind die NIS2-Anforderungen umgesetzt und ist ein ISMS implementiert sichert das die Geschäftskontinuität. Die Maßnahmen eröffnen auch die Gelegenheit, Schwachstellen zu identifizieren und das Unternehmen sowie seine Lieferkette resilienter zu machen. Auf diese Weise stärkt NIS2 die Cybersecurity und mit ihr die Wirtschaft in ganz Europa.

Mehr bei indevis.de

 


Über indevis

Die nach der internationalen Norm ISO/IEC 27001 zertifizierte indevis IT-Consulting and Solutions GmbH ist einer von Deutschlands führenden Managed Security Service Providern (MSSP) mit Services, die sowohl cloudbasiert als auch On Premises sind. Bereits seit über 20 Jahren setzt das Unternehmen Sicherheitsstandards in der Informationstechnologie und stellt für Kunden jeder Größe und Branche passende IT-Sicherheits-, Netzwerk- und Datacenterlösungen bereit.


 

Passende Artikel zum Thema

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Cybersicherheit: Darauf müssen KRITIS-Unternehmen achten

In 2024 war NIS2 ein großes Thema im Bereich der Cybersicherheit. Und auch in 2025 und den kommenden Jahren wird ➡ Weiterlesen

Trends 2025: Industrie setzt auf die Cloud

Ein Experte für die Sicherheit cyber-physischer Systeme zeigt drei Trends für 2025 auf: NIS2 wird das Bewusstsein für Cyersicherheit weiter ➡ Weiterlesen

KI basierte Cybersicherheitstools – eine Vertrauensfrage

Trotz Hype: Knapp 60 Prozent der deutschen Unternehmen sehen potenzielle Mängel in Cybersicherheitstools, die auf generativer KI basieren, als herausragendes ➡ Weiterlesen

Nur Hype oder Realität: Vorhersagen Cybersicherheit 2025 

Vorhersagen zur Cybersicherheit gibt es jährlich zuhauf, viele davon sind voller Übertreibungen. Sinnvoller ist es, den Blick auf Daten und ➡ Weiterlesen

Trend: Cyberkriminelle arbeiten weltweit zusammen

Cyberkriminelle werden immer agiler und arbeiten weltweit zusammen. Das belegt der neue Forschungsbericht „Bridging Divides, Transcending Borders: The Current State ➡ Weiterlesen

BYOD: 4 Tipps um Sicherheitsrisiken zu minimieren

BYOD (Bring Your Own Device) bedeutet, dass Mitarbeiter in Unternehmen ihre persönlichen Geräte für die Arbeit nutzen dürfen. Daraus können ➡ Weiterlesen

Zero-Day-Schwachstelle bei Ivanti Connect Secure VPN

Mandiant hat Details zu einer Zero-Day-Schwachstelle (CVE-2025-0282) veröffentlicht, die Ivanti bekannt gegeben und gleichzeitig gepatcht hat und die seine Ivanti ➡ Weiterlesen