Acht Maßnahmen zur Einhaltung der NIS2 – Compliance sichern

Die NIS2-Richtlinie markiert einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der Europäischen Union.

Auch wenn in Deutschland der Zeitpunkt des Inkrafttretens aktuell und einzelne Inhalte noch unklar sind, ändert sich an den grundlegenden Vorgaben wenig. Schätzungsweise 30.000 mittelständische Unternehmen sind durch diese Richtlinie in der Pflicht, ihr Sicherheitsniveau erheblich zu verstärken. Die frühzeitige Auseinandersetzung mit den Anforderungen ist nicht nur eine regulatorische Notwendigkeit, sondern auch eine strategische Maßnahme zum Schutz der unternehmerischen Existenz.

Dabei sollten Verantwortliche folgende Schritte beherzigen:

#1  Ein Projekt initiieren
Zuerst gilt es, ein Projekt für NIS2 aufzusetzen. Denn die Umsetzung erfordert nicht nur eine erhebliche Investition an Zeit und Ressourcen, sondern auch eine dedizierte Organisationsstruktur. Der Teilnehmerkreis der Projektgruppe setzt sich aus der Geschäftsleitung, den IT-Verantwortlichen, den IT-Sicherheitsverantwortlichen und allen relevanten Stakeholdern zusammen. Ein umfassendes Cybersicherheitstraining für alle Mitglieder des Projektteams ist zu empfehlen, um ein einheitliches Verständnis für die relevanten Sicherheitsstandards zu schaffen.

#2  Geschäftsleitungen in die Pflicht nehmen
Die NIS2-Richtlinie sieht vor, dass die oberste Führungsebene eines Unternehmens unmittelbar für die Umsetzung der erforderlichen Maßnahmen verantwortlich ist. Dies beinhaltet eine persönliche Haftung für Verstöße. Die Unternehmensleitung kann diese Verantwortung nicht delegieren und muss eine aktive Rolle bei der Überwachung der Compliance-Prozesse spielen. Darüber hinaus sind Verzichtserklärungen, die diese Haftung ausschließen würden, nach dem aktuellen deutschen Gesetzentwurf unwirksam. Eine Directors-and-Officers-Versicherung kann zwar weiterhin abgeschlossen werden, doch ist dies keine Garantie für eine Deckung im Falle eines Cyberangriffs.

#3  Ein ISMS implementieren
Ein wesentlicher Baustein für die NIS2-Konformität ist die Einführung eines Informationssicherheits-Managementsystems (ISMS), um die internen IT-Strukturen zu dokumentieren und den Bedarf an zusätzlichen Anschaffungen und Dienstleistungen zu ermitteln. Im Prinzip müssen also alle betroffenen Unternehmen die ISO 27001 umsetzen. Viele Unternehmen werden sich hierbei von externen Beratern unterstützen lassen müssen, um eine objektive und umfassende Analyse ihrer Systeme zu erhalten.

#4  Die Sicherheit der Lieferketten prüfen
Ein aufwändiges Thema ist die Sicherheit in der Lieferkette. Denn Firmen müssen eine detaillierte Analyse ihrer Lieferketten durchführen, um sicherzustellen, dass alle Netz- und Informationssysteme sowie die physische Sicherheit dieser Systeme den Vorgaben von NIS2 entsprechen. Der Einkauf kann dabei unterstützen, weil er die Rechnungen für alle Lieferungen abwickelt. Lieferantenzertifikate sind eine von mehreren Optionen, aber sicherlich eine bequeme Wahl. Wichtig ist, dass Verantwortliche diesen Status regelmäßig prüfen.

Dabei ist es wesentlich, auch die Lieferanten von Open-Source-Software einzubeziehen, da hier oft keine klassischen Kaufverträge vorliegen und der Sicherheitsstatus dieser Produkte regelmäßig überprüft werden muss. Und die Verantwortlichen müssen klären, wie kritisch der Einsatz der Software ist. Wenn die gesamte Buchhaltung mit Open-Source-Software arbeitet, besteht sicherlich ein höheres Risiko, als wenn Open Source nur zur Textverarbeitung verwendet wird. Kreative Lösungen sind gefordert, um die Sicherheit auch in solchen Bereichen zu gewährleisten.

#5  Cybersicherheitszertifikate
Cybersicherheitszertifikate spielen eine zentrale Rolle bei der Vertrauensbildung gegenüber Kunden und Partnern. Unternehmen müssen evaluieren, welche ihrer Produkte einer Sicherheitszertifizierung bedürfen und ob sie als Anbieter oder Käufer auf dem Markt agieren. Angesichts möglicher gesetzlicher Änderungen, die den Erwerb zertifizierter Produkte zur Pflicht machen könnten, sollten Unternehmen proaktiv handeln und die notwendigen Zertifizierungen anstreben. Es fehlen aber noch die entsprechenden Rechtsverordnungen. Somit ist unklar, welche Produkte betroffen sein werden. Der Einkauf sollte sich auf jeden Fall darauf vorbereiten und Unternehmen müssen im Voraus Schritte prüfen, um eine erforderliche Sicherheitszertifizierung für ihre Produkte zu erhalten.

#6  Meldeprozesse etablieren
Die NIS2 verlangt von den Unternehmen, die Meldebehörde innerhalb von 24 Stunden zumindest per E-Mail über einen möglichen Cybersicherheitsvorfall zu informieren und innerhalb von 72 Stunden eine Bewertung des Vorfalls abzugeben. Nach einem Monat ist ein umfassender Bericht zu erstellen. Diese Meldefristen sind sehr knapp bemessen. Verantwortliche müssen also Prozesse etablieren, die es ermöglichen, Vorfälle schnell und präzise zu erfassen und an die zuständigen Behörden zu melden. Die Zusammenarbeit mit Datenschutzbeauftragten kann dabei als Best-Practice-Beispiel dienen, um effektive Meldestrukturen aufzubauen.

#7  Am branchenübergreifenden Austausch teilnehmen
Der Austausch mit anderen Unternehmen und Behörden ist ein weiterer wichtiger Aspekt der NIS2. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) organisiert diesen Austausch, bei dem Unternehmen ihre Erfahrungen teilen und von anderen lernen können. Die aktive Teilnahme an diesen Austauschformaten ist für die kontinuierliche Verbesserung der Cybersicherheitsstrategien unerlässlich.

#8  Beim BSI registrieren
Betroffene Unternehmen müssen sich als wichtiger oder wesentlicher Betrieb beim BSI registrieren. Vor der Meldung ist es entscheidend zu prüfen, ob das Unternehmen überhaupt der NIS2 unterliegt. Allerdings muss das BSI erst die personellen und organisatorischen Voraussetzungen für die Meldestelle schaffen.

Die NIS2-Richtlinie bietet Unternehmen die Möglichkeit, ihre Cybersicherheitsmaßnahmen zu überprüfen und zu verbessern. Durch die frühzeitige Auseinandersetzung mit den Vorgaben und die proaktive Umsetzung der erforderlichen Maßnahmen erhöhen Unternehmen ihre Resilienz gegenüber Cyberbedrohungen und positionieren sich als vertrauenswürdige Partner auf dem Markt. IT-Entscheider und CIOs sollten diesen Transformationsprozess nicht nur als notwendiges Übel, sondern als Chance zur Stärkung der unternehmerischen Zukunftsfähigkeit begreifen.

 


www.gdata.de

 

Bild: © G Data

 

108 Artikel zu „NIS2“

Die Hausordnung für IT-Systeme: NIS2

NIS2 sorgt in vielen Köpfen für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen: Die europaweite Direktive ist das Regelwerk (Hausordnung), deren Einhaltung Dienstleister (analog zum Hausmeister) für Unternehmen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS2? Welche Maßnahmen müssen Firmen implementieren? Die nachfolgende…

NIS2: In 5 Schritten zu mehr OT-Cybersicherheit

Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter. Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt…

NIS2 und KRITIS-Dach: Neun Bausteine für sichere industrielle Steuerungs- und Automatisierungssysteme

Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000: eco Verband gibt 9 Tipps zur Steigerung der Cyberresilienz industrieller Steuerungsanlagen.   Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Zudem ändert sich die Regulierung dieses Jahr deutlich mit dem KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz: Die Anzahl künftig regulierter Unternehmen erweitert…

EU-Direktive NIS2: So stellen Sie Ihre Task Force zusammen

Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.   Die neue NIS2-Direktive stellt konkrete Anforderungen an die technischen…

NIS2: Das kommt im 2. Halbjahr 2024 auf Unternehmen zu

Umsetzung der EU-Richtlinie zum Schutz vor Cyberbedrohungen.   Auf viele Unternehmen kommen in puncto Cybersicherheit ab 2024 neue Herausforderungen zu. Die sogenannte Network and Information Security Directive 2, kurz NIS2, ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die bis spätestens Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein muss. Damit soll der Gesetzgeber…

NIS2: Jedes dritte Unternehmen setzt die Richtlinie bereits um

Bei einem weiteren Drittel der Befragten ist die Umsetzung noch in Planung.   38 Prozent der deutschen Unternehmen haben noch nicht mit der Umsetzung der NIS2-Richtlinie begonnen. Dabei ist es höchste Zeit: Mit dem Gesetzentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) hat das Bundesministerium des Innern und für Heimat die Weichen gestellt. Bis zum 17. Oktober 2024 soll…

Welche Erkenntnisse sich aus der DSGVO für DORA und NIS2 einsetzen lassen

Was mit der DSGVO begann, setzt die EU mit NIS2 und DORA konsequent fort. Sie reglementiert die Datenindustrie und die digitalen Prozesse vieler Firmen, um Daten und Netze robuster zu machen gegen Angriffe. Gleichzeitig lassen sich aus der Einführung der DSGVO einige wichtige Schlüsse zum Umgang mit den neuen Regeln für Unternehmen ziehen. Welche das…

Countdown zur NIS2-Richtlinie: So können IT-Teams Blind Spots im eigenen Netzwerk fristgerecht eliminieren

NIS2 soll die Cyber- und Informationssicherheit EU-weit maßgeblich stärken. Zum Stichtag am 17. Oktober 2024 muss die Direktive in nationales Recht umgewandelt werden. Angesichts der sich zuspitzenden Cyber-Security-Lage ist das auch absolut notwendig, weiß Ali Moniri, Senior Sales Engineer bei Gigamon. Für Unternehmen bedeutet das: ranklotzen! Denn es bleibt nur noch wenig Zeit für die…

Sich effektiv auf die NIS2-Richtlinie vorbereiten

Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting.   Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in…

IT-Compliance: NIS2 – Vorbereitung ist alles!

Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten.   Gesetzliche Regularien sind…

Die Auswirkungen der NIS2-Richtlinie auf die Container-Sicherheit verstehen

Die digitale Landschaft in Europa steht mit der Veröffentlichung der NIS2-Richtlinie vor einem bedeutenden Wandel. Die Umsetzung dieser digitalen Transformation ist eng mit der Entwicklung der Cyber Security verbunden. Regierungen auf der ganzen Welt ergreifen jetzt Maßnahmen, um kritische Infrastrukturen intensiver vor Cyberbedrohungen zu schützen. Diese Richtlinie, die darauf abzielt, die Sicherheit und Widerstandsfähigkeit im…

NIS2 – Mehr Cybersicherheit für Europa

Die neue EU-Richtlinie »Netzwerk- und Informationssysteme 2« (NIS2) soll für mehr Cybersicherheit in Unternehmen, Behörden und Privathaushalten sorgen. Das Ziel ist es, insbesondere kritische Infrastrukturen in Zukunft besser vor Cyberattacken zu schützen. Mitgliedsstaaten müssen die Richtlinie bis Oktober 2024 in nationale Gesetze gießen. Dabei ist zu erwarten, dass in einigen Ländern die Richtlinien strenger umgesetzt…

NIS2-Richtlinie stärkt europäische Cybersicherheit – was das für Unternehmen bedeutet

Die überarbeitete NIS2-Richtlinie zur Netz- und Informationssicherheit weitet den Kreis der betroffenen Unternehmen deutlich aus und bezieht auch Zulieferer und Dienstleister für kritische Sektoren mit ein. Bei Nichteinhaltung sind nicht nur die Cybersicherheit des eigenen Unternehmens und die Reputation bei Partnern und Kunden in Gefahr – es drohen auch empfindliche Geldbußen.   Die digitale Transformation…

Gartner® Magic Quadrant™ für Enterprise: Veritas zum 19. Mal Leader für Backup and Recovery Software Solutions

Anerkennung für die Vollständigkeit der Vision und der Fähigkeit zur Umsetzung.   Veritas Technologies, ein führender Anbieter von sicheren Lösungen für das Multi-Cloud-Datenmanagement, wurde von Gartner als Leader im Magic Quadrant für Enterprise Backup and Recovery Software Solutions (EBRSS) positioniert. Veritas ist der einzige Anbieter, der von Gartner in jedem der letzten 19 Berichte über…

Cybersicherheit: Werden Versicherungsprämien gegen Cyberkriminalität unbezahlbar?

Der Markt für Cyberversicherungen hat sich in den letzten Jahren teils drastisch verändert. Die steigenden Ausgaben aufgrund von Cyberkriminalität setzen Versicherungsnehmer und Versicherer gleichermaßen unter Druck. Laut jüngster Prognosen belaufen sich diese Ausgaben weltweit voraussichtlich innerhalb der nächsten vier Jahre auf schwindelerregende 23,8 Billionen Dollar [1]. Eine der Folgen ist, dass Versicherer künftig vor Rentabilitätsproblemen stehen…

USU im Report Knowledge Management Solutions Landscape gelistet

Das US-Analystenhaus Forrester hat den Report »The Knowledge Management Solutions Landscape Q3 2024« veröffentlicht, in dem USU als einer der anerkannten Anbieter gelistet ist. Der Bericht bietet eine umfassende Analyse des aktuellen Marktes für Wissensmanagement-Lösungen. USU ist als einer von 20 namhaften Anbietern von KM-Lösungen und als einziger deutscher Hersteller genannt. Die erwähnten Anbieter bieten…

Warum Java noch lange keine Legacy-Technologie ist – und sogar immer wichtiger wird

Java gibt es seit 1995. Hat die Technologie bald ausgedient? Auf keinen Fall! Tatsächlich wird die Programmiersprache ihre führende Rolle behaupten – und sogar noch an Bedeutung gewinnen. Java ist nach wie vor eine spannende Spielwiese für Entwickler, IT-Profis und Nachwuchskräfte.   Wenn eine Programmiersprache einmal 30 Jahre alt ist, sprechen Kritiker gerne von Legacy-Technologie.…