Am 17. Oktober endet die Umsetzungsfrist für die EU-weit in Kraft tretende NIS2-Richtlinie. Diese verpflichtet Unternehmen kritischer Infrastrukturen zu vorausschauenden Risikoanalysen und strengen Berichtspflichten. Unternehmen, die diesen Pflichten nicht nachkommen, werden haftbar gemacht. Die Herausforderung: Viele Unternehmen müssen sich stark verändern, um den neuen Anforderungen gerecht zu werden - ohne klare Vorgaben für das „Wie“. Angesichts des Zeitdrucks rät das IT-Systemhaus Brandmauer IT, bestehende Prozesse anzupassen, statt sie von Grund auf neu zu gestalten.
Noch weitreichender als die 2018 eingeführte DSGVO ist NIS2 - ein Gesetz zur Stärkung der Cybersicherheit in Behörden, Versorgungsunternehmen und Unternehmen des produzierenden Gewerbes. NIS2 betrifft vor allem mittelständische Unternehmen, unabhängig von ihrer Größe. Viele von ihnen sind noch nicht ausreichend gegen IT-Angriffe geschützt, obwohl sie zunehmend ins Visier von Hackern und Cyberkriminellen geraten. In den vergangenen zwölf Monaten waren 81 Prozent aller Unternehmen von Datendiebstahl, Diebstahl von IT-Geräten sowie digitaler und analoger Wirtschaftsspionage oder -sabotage betroffen.
Wissen, was die Industrie bewegt!
Alles zu Industrie 4.0, Smart Manufacturing und die ganze Welt der Technik.
Wie sollten mittelständische Unternehmen auf die Herausforderungen von NIS2 reagieren? Was sind die ersten Schritte? Volker Bentz, Gründer und Geschäftsführer des IT-Systemhauses Brandmauer IT, rät Unternehmen, strategische Partnerschaften einzugehen und auf diesem Weg Wissen einzukaufen: „Hinter NIS2 steht ein Information Security Management System (ISMS) mit klaren Richtlinien und Regeln; niemand muss das Rad neu erfinden.“ Der Artikel klärt auf, welche Inhalte des NIS2-Maßnahmenpakets das Management direkt betreffen und daher einer sofortigen Umsetzung bedürfen.
Schwachstellen im Unternehmen
Angesichts der beschleunigten Digitalisierung und der angespannten globalen Lage ist es dringend notwendig, in Informationssicherheitsmaßnahmen für eine zunehmend digitale Welt zu investieren. Das Management von Cyber-Risiken ist eine unabdingbare Voraussetzung für den Unternehmenserfolg. Auf dem Weg zum krisenfesten Zukunftsmacher identifiziert IT-Experte Bentz folgende Schwachstellen:
- Technik: Wo laden offene Türen Hacker ein? Dauerüberwachungen der unternehmensinternen IT auf Schwachstellen, Maßnahmenpläne zur Schließung von Sicherheitslücken und Hardware-Verschlüsselung gehören zum kleinen IT-Security-Einmaleins.
- Organisation: Wie hackergeschützt ist die interne Organisation? Unternehmen, die verbindliche Richtlinien für den Umgang mit Daten etablieren, Privilegien-Sparsamkeit walten lassen und ganzheitliche Security-Systeme integrieren, sind Cyberangriffen einen Schritt voraus.
- Personal: Sitzt die Belegschaft in IT-Sicherheitsfragen fest im Sattel? Firmen, die ihre Mitarbeitenden hier sensibilisieren und Wissen über Gefahren von Hackern vermitteln, entwickeln sie zu einer stabilen Firewall. Außerdem tragen Führungsverantwortliche dafür Sorge, dass die Teams unternehmerische IT-Security-Richtlinien befolgen.
Zentrale NIS2-Handlungsfelder
- Registrierungspflichten gegenüber dem BSI
Die NIS2-Richtlinie beabsichtigt die Vernetzung von Unternehmen zu stärken und ihnen die Möglichkeit zu geben, sich über Sicherheitsvorfälle auszutauschen. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, übernimmt als zentrale Anlaufstelle die Koordinationsfunktion mit dem Ziel ein Warnsystem für Cybergefahren zu etablieren. Firmen wird so die Früherkennung potenzieller Angriffe erleichtert. Aus diesem Grund bedarf es der Registration mit bestimmten Informationen bei der Aufsichtsbehörde. Die Registrierungspflicht obliegt der Geschäftsleitung. Bei vorsätzlicher Nichteinhaltung drohen Sanktionierungen. - Informationssicherheit und IT-Risikomanagement
Heute Probleme vermeiden, die morgen das Geschäft stören – das bringt die Aufgabe des IT-Risikomanagements auf den Punkt. Es bewertet Gefahren für Computersysteme sowie Daten und findet Wege zu deren Minimierung. IT-Systeme sicher gestalten und wertvolle Informationen schützen, lautet das erklärte Ziel. Dazu gehört die Implementierung eines Information Security Management Systems und den dazugehörigen Dokumenten sowie eines Prozesses mit verschiedenen Rahmenparametern für die Identifizierung, Bewertung und Behandlung von Bedrohungen. - Management Review und Maßnahmenmanagement
Wie steht es um die Informationssicherheit im Unternehmen? Um diese Frage zu beantworten, braucht es standardisierte Verfahren, die auch technologische Neuerungen und geänderte Rahmenbedingungen abbilden. Darunter fallen die Bereitstellung regelmäßiger Reports an die Unternehmensführung sowie Protokollierung von Verantwortlichkeiten, Reaktionen auf Ereignisse und Entwicklung von Korrekturmaßnahmen. Das fördert planvolles Handeln im Ernstfall.
Zum Anforderungskatalog NIS2
Ein von Bentz entwickelter IT-Sicherheitsleitfaden stellt die komplexe Gesetzeslage übersichtlich dar und unterstützt Unternehmen bei der Umsetzung der NIS2-Richtlinien. Die Liste enthält 35 Kategorien, die zur NIS2-Konformität führen. Kurze Erläuterungen zeigen auf, welche Einzelmaßnahmen dazu notwendig sind.
Quelle: Brandmauer IT