NIS2-Direktive: 6 Tipps zur Umsetzung in Unternehmen

12. Juni 2024
| Keine Kommentare
Anzeige

Beitrag teilen

Die EU-NIS2-Direktive verpflichtet bald viele Unternehmen dazu, höhere Cybersicherheitsstandards zu erfüllen – im Oktober 2024 soll das Gesetz schon fertig sein. Was müssen Security-Verantwortliche jetzt beachten? Wie bewältigen die IT-Teams die zusätzlichen Aufgaben? Und inwieweit können Information Security Management Systeme (ISMS) helfen? indevis kennt die drängendsten Fragen und hat die passenden Tipps.

Die EU-Richtlinie NIS2 hat ein klares Ziel: die Widerstandsfähigkeit und Reaktionsfähigkeit gegenüber Cyberbedrohungen zu stärken. In Deutschland könnten 27.000 Unternehmen von den neuen Regelungen betroffen sein – eine Verzehnfachung der bisher in den KRITIS-Bereich fallenden Unternehmen. Das deutsche Umsetzungsgesetz befindet sich noch in der Entwicklung.

Anzeige

Gesetz: Festschreibung Im Oktober 2024

Derzeit liegt der dritte Referentenentwurf aus dem Herbst 2023 vor, und ein vierter wird noch im Frühjahr erwartet. Bis zum 17. Oktober 2024 soll das Gesetz festgeschrieben sein. Alle betroffenen Institutionen sind dann verpflichtet, eine Reihe an Cyber-Security-Maßnahmen umzusetzen. Wie können sich die deutschen Betriebe adäquat darauf vorbereiten?

EU-NIS2-Tipp 1: Starten Sie jetzt

Überprüfen Sie zunächst, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist. Spielen Ihre Produkte oder Dienstleistungen eine wichtige Rolle für die europäische Wirtschaft und Gesellschaft? Wenn ja, gilt die Richtlinie für Unternehmen mit mehr als 50 Mitarbeitern und einem Umsatz von über zehn Millionen Euro. Prüfen Sie auch, ob die Firma zu den kritischen Sektoren gemäß Anhang 1 oder Anhang 2 der Richtlinie gehört, und informieren Sie sich genauer darüber, ob die Sicherheitssysteme Ihres Unternehmens den Anforderungen von NIS2 entsprechen müssen. Falls ja, gibt es gezielte Maßnahmen, um sich vorzubereiten – denn die Sanktionen reichen hier bis zur Geschäftsführerhaftung.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

EU-NIS2-Tipp 2: Etablieren Sie ein Information Security Management System

Von der Geschäftsführung eingesetzt, ist die Aufgabe eines Informationssicherheitsbeauftragten (ISB), ein entsprechendes Informationssicherheitsmanagementsystem (ISMS) einzuführen. Er arbeitet in der Regel nicht allein, sondern wird von verschiedenen Abteilungen unterstützt. Geeignete Kandidaten für sein Team sind Datenschutz- und Qualitätsmanagementbeauftragte sowie Vertreter aus Personalwesen, Facility Management, Einkauf oder der IT. Der ISB kann auch extern rekrutiert werden, insbesondere wenn vorhandenes Personal bereits vollumfänglich in das Tagesgeschäft eingebunden ist.

EU-NIS2-Tipp 3: Wie sieht ein wirkungsvolles ISMS aus?

Es folgt dem Best Practice-Ansatz und basiert auf bewährten Verfahren und international anerkannten Standards wie der ISO 27001. Obwohl eine Zertifizierung nach dieser Norm derzeit nicht zwingend erforderlich ist, ist es ratsam, sich auf zukünftige Anforderungen vorzubereiten. Neben der ISO 27001 gibt es auch branchenspezifische Sicherheitsstandards, die ähnliche Ziele setzen und speziell auf die Anforderungen bestimmter Branchen und deren Kritikalität zugeschnitten sind. Zusätzlich bieten Richtlinien wie die ISO 27002 und das BSI-Grundschutzkompendium praktische Anleitungen und Ressourcen zur Unterstützung bei der Implementierung.

EU-NIS2-Tipp 4: Sehen Sie es als Prozess, nicht als Projekt

Der Prozess, ein ISMS aufzubauen, folgt einem iterativen Ansatz, der als Plan-Do-Check-Act (PDCA) bekannt ist. Zu Beginn werden Ziele festgelegt, eine Sicherheitsorganisation gebildet und Risikoanalysen durchgeführt. Basierend auf den Ergebnissen werden Maßnahmen ergriffen und dokumentiert. Interne Audits dienen dazu, den Fortschritt zu überprüfen. Ein Managementreview bewertet die Zielerreichung sowie die Wirksamkeit des ISMS. Der ISB spielt hierbei eine Schlüsselrolle und arbeitet eng mit der Geschäftsführung zusammen, um das ISMS kontinuierlich zu verbessern und den Reifegrad im Laufe der Zeit zu steigern.

EU-NIS2-Tipp 5: Geschäftskontinuität sicherstellen

🔎 Wolfgang Kurz, CTO bei indevis (Bild: indevis).

Zudem sollten Sie für den Fall eines Cyberangriffs vorsorgen und vorab Verantwortlichkeiten definieren. Denn wenn Sie unter die NIS2-Richtlinie fallen, müssen Vorfälle an das BSI gemeldet werden. Dementsprechend sind gerade Werkzeuge, um Cyberangriffe frühzeitig zu erkennen und zu bekämpfen zentral, um die Resilienz der IT-Infrastruktur zu erhöhen. So lässt sich Schaden minimieren. Betriebe, die hier gut aufgestellt sind, steigern zudem ihren Wert.

EU-NIS2-Tipp 6: Holen Sie sich Unterstützung

Wenn Unternehmen Hilfe brauchen, sollten sie nicht zögern, externe Dienstleister hinzuzuziehen. Die Experten unterstützen in allen Phasen dabei, die Anforderungen von NIS2 zu erfüllen. Sie helfen, Auswirkungen zu klären, Verantwortlichkeiten festzulegen und maßgeschneiderte Schulungsprogramme für Mitarbeiter zu entwickeln. Außerdem stehen sie Unternehmen mit Rat und Tat und Tools zur Bedrohungsanalyse zur Seite, um Angriffe zu erkennen und Vorfälle zu verwalten, damit diese frühestmöglich reagieren können.

Fazit: NIS2-Anforderungen als Chance

Auch wenn ein Unternehmen nicht direkt von NIS2 betroffen ist, muss es dennoch bestimmte Standards einhalten, um Cyberangriffen etwas entgegenzusetzen. Sind die NIS2-Anforderungen umgesetzt und ist ein ISMS implementiert sichert das die Geschäftskontinuität. Die Maßnahmen eröffnen auch die Gelegenheit, Schwachstellen zu identifizieren und das Unternehmen sowie seine Lieferkette resilienter zu machen. Auf diese Weise stärkt NIS2 die Cybersecurity und mit ihr die Wirtschaft in ganz Europa.

Mehr bei indevis.de

 

Über indevis

Die nach der internationalen Norm ISO/IEC 27001 zertifizierte indevis IT-Consulting and Solutions GmbH ist einer von Deutschlands führenden Managed Security Service Providern (MSSP) mit Services, die sowohl cloudbasiert als auch On Premises sind. Bereits seit über 20 Jahren setzt das Unternehmen Sicherheitsstandards in der Informationstechnologie und stellt für Kunden jeder Größe und Branche passende IT-Sicherheits-, Netzwerk- und Datacenterlösungen bereit.

 

Passende Artikel zum Thema

Sicherheitsrisiko Solaranlage: Europa stark gefährdet

Auf der ganzen Welt gibt es viele Solaranlagen, die über das Internet erreichbar und somit ein lohnendes Ziel für Cyberangriffe ➡ Weiterlesen

TransferLoader: neue Malware verbreitet Morpheus-Ransomware

Seit einigen Monaten ist eine neue Malware mit Namen TransferLoader aktiv, die aus Downloader, Backdoor und einem Loader für die ➡ Weiterlesen

Schwachstellendatenbank EUVD ist ein wichtiger Schritt

Die Einführung der Europäischen Schwachstellendatenbank (EUVD) durch die Agentur der Europäischen Union für Cybersicherheit (ENISA European Network and Information Security ➡ Weiterlesen

Security Trends Report: Fehlende Expertise in Unternehmen

Die Cyber Security befindet sich in vielen Unternehmen in der Effizienz- und Expertise-Krise. Es wird zwar massiv investiert, aber die Infrastruktur ➡ Weiterlesen

Risiko Identitäten: Wenn Unternehmen den Überblick verlieren

In Unternehmen kommen mehr als 80 Maschinenidentitäten auf eine menschliche Identität. Das bedeutet, dass zwei Drittel der deutschen Unternehmen ihre ➡ Weiterlesen

Cyberabwehr mit KI: 3 von 4 Unternehmen setzen bereits darauf 

Bei der Cyberabwehr steht KI bereits an vorderster Front: 74 Prozent der deutschen Unternehmen setzen KI bereits in der Cyberabwehr ➡ Weiterlesen

Cybersecurity bei Bundes-IT laut Bundesrechnungshof mangelhaft 

Der Bundesrechnungshof warnt erneut vor gravierenden IT-Sicherheitslücken in der Bundesverwaltung. Ein vertraulicher Bericht an den Haushaltsausschuss des Bundestages offenbart massive ➡ Weiterlesen

Sind Unternehmen gegen quantengestützten Cyberangriffe gerüstet?

Der Q-Day wird zur realen Bedrohung. Der neue Report zeigt, wie sich Unternehmen vorbereiten. „Q-Day“ bezeichnet den Tag, an dem ➡ Weiterlesen

Storys
, , , , ,