Die europäische NIS-2-Richtlinie verpflichtet künftig auch mittelständische Unternehmen zu mehr IT-Security. Allein in Deutschland müssen sich schätzungsweise 30.000 Firmen bis zum geplanten Inkrafttreten des entsprechenden nationalen Gesetzes mit NIS-2 auseinandersetzen. Schon jetzt sollten IT-Verantwortliche folgende acht Maßnahmen einleiten, um die enge Frist einzuhalten und NIS2-konform zu werden:

  1. Eine Projektgruppe gründen

Die hohen Anforderungen der NIS-2 erfordern eine dedizierte Organisationsstruktur. Daher sollten im ersten Schritt Verantwortliche ein Projekt zu NIS-2 aufsetzen. Die Projektgruppe setzt sich aus der Geschäftsleitung, den IT-Verantwortlichen, den IT-Sicherheitsverantwortlichen und allen weiteren relevanten Personen zusammen. Außerdem sollten Unternehmen ausreichend Zeit und Budget für die Umsetzung einplanen. Um die Umsetzung von NIS-2 zu gewährleisten, ist es unerlässlich, dass die Projektgruppe ein Cybersicherheitstraining absolviert. Das Ziel: ein gemeinsames Grundverständnis für IT-Sicherheit erlangen. Gruppen, die bereits über dieses Verständnis verfügen, können direkt mit Schritt zwei fortfahren.

 

  1. Organisatorische Maßnahmen

NIS-2 nimmt die Geschäftsführungen und Vorstände in die Pflicht. Sie verantworten in letzter Instanz die Überwachung der Umsetzung der Maßnahmen und haften persönlich für Verstöße. Eine Delegation dieser Verantwortung innerhalb des Vorstands ist nicht möglich, da alle Mitglieder der Chefetage gleichermaßen in der Pflicht stehen. Übrigens: Verzichtsvereinbarungen des Unternehmens gegenüber dem Vorstand beziehungsweise der Geschäftsführung sind nach dem aktuellen deutschen Gesetzentwurf unwirksam.

 

  1. ISMS realisieren

Innerhalb der NIS-2-Umsetzung braucht es ein eigenes Projekt, um ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 einzuführen. Ein ISMS zielt darauf ab, die internen IT-Strukturen zu dokumentieren und den Bedarf an zusätzlichen Anschaffungen und Dienstleistungen im Kontext von NIS-2 zu ermitteln. Dabei werden viele Firmen auf externe Beratung zurückgreifen. Die Verantwortlichen erhalten auf Basis einer fundierten Analyse klare und präzise Empfehlungen. Dies ist eine der aufwendigsten Komponenten, da sich hier viele einzelne Themenbereiche überschneiden und auch gegenseitige Abhängigkeiten haben.

 

  1. Lieferketten überprüfen

Um die Anforderungen von NIS-2 zu erfüllen, ist es unerlässlich, die Sicherheit der gesamten Lieferkette hinsichtlich der Netz- und Informationssysteme sowie der physischen Umwelt dieser Systeme zu gewährleisten. Der Einkauf kann unterstützen, weil er sämtliche Rechnungen für Lieferungen abwickelt. Lieferanten-Zertifikate sind eine von mehreren Optionen, um die Sicherheit von Produkten zu gewährleisten. Es ist jedoch wichtig, regelmäßig den Status dieser Zertifikate zu überprüfen.

 

  1. Zertifikate für Cybersicherheit

Es ist wichtig zu klären, ob Cybersicherheits-Zertifizierungen für Unternehmen als Anbieter oder Käufer relevant sind. Stellen Unternehmen ein Produkt her, welches sicherheitszertifiziert sein muss oder haben sie künftig die Pflicht, nur noch Produkte zu kaufen, die entsprechend zertifiziert sind? In Zukunft könnten Unternehmen auf Basis von Einzelfallentscheidungen dazu verpflichtet werden, ausschließlich zertifizierte Produkte aus einer bestimmten Kategorie zu erwerben. Wer selbst entsprechende Produkte oder Dienstleistungen anbietet, riskiert ohne Zertifizierungen schlimmstenfalls sogar einen Verkaufsstopp, sofern die Kunden zum Erwerb zertifizierter Produkte aufgefordert werden. Es ist zum jetzigen Zeitpunkt noch unklar, welche Produkte betroffen sein werden, da die entsprechenden Rechtsverordnungen noch fehlen. Potenziell davon betroffene Unternehmen müssen im Voraus Schritte prüfen, um eine erforderliche Sicherheitszertifizierung für ihre Produkte zu erhalten.

 

  1. Meldeprozesse festlegen

Gemäß der NIS-2-Verordnung ist ein Betrieb verpflichtet, die Meldebehörde innerhalb von 24 Stunden per E-Mail über einen möglichen Cybersicherheitsvorfall zu informieren. Eine Bewertung des Vorfalls, beziehungsweise ein Abschlussberichtmuss innerhalb von 72 Stunden vorliegen. Nach einem Monat ist ein umfassender Bericht zu erstellen. Um schnell fundierte Informationen bereitzustellen, sollten die Verantwortlichen daher Meldeprozesse definieren, die diesen knappen Meldefristen entsprechen. Dafür sollten Projektverantwortliche das Gespräch mit dem Datenschutzbeauftragten suchen. Das ist ein ideales Best-Practice-Beispiel, an dem sich die Projektgruppe orientieren kann.

 

  1. Regelmäßiger Austausch

NIS-2 sieht ein Format vor, bei dem Unternehmen sich zur Cybersicherheit austauschen können. Diese Plattform wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) organisiert. Um eigene Erfahrungen zu teilen und Informationen aus diesem Kreis weiterzugeben, müssen die Verantwortlichen klären, wer an dem Format teilnimmt. Die Art des Austausches ist jedoch derzeit noch nicht definiert.

 

  1. Beim BSI anmelden

Betroffene Unternehmen müssen sich als wichtiger oder wesentlicher Betrieb beim BSI registrieren. Es ist entscheidend zu prüfen, ob das Unternehmen der NIS-2 unterliegt, bevor eine Meldung erfolgt. Nach aktuellem Stand richten das BSI und das Amt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeinsam ein. Die genaue technische Umsetzung ist noch abzuwarten.

 

Obwohl einige Fragen bei NIS-2 zum aktuellen Zeitpunkt noch offen sind, sollten betroffene Unternehmen jetzt handeln und sich eingehend mit den Vorgaben auseinandersetzen. Wer jetzt Maßnahmen umsetzt, stärkt die IT-Sicherheit der eigenen Firma und investiert in deren Zukunftsfähigkeit. Denn Cyberkriminelle sind stets aktiv und nutzen jede Gelegenheit, um ein Unternehmen anzugreifen.

Hier geht’s zur Website von G DATA CyberDefense.

Tim Berghoff, Security Evangelist, G DATA Cyberdefense AGQuelle: G DATA Cyberdefense AG

Tim Berghoff, Security Evangelist, G DATA Cyberdefense AG