Sie sind hier: Home » Markt » Hinweise & Tipps

Die EU-Richtlinie NIS2 hat ein klares Ziel


Wie sollten Unternehmen mit der NIS2-Direktive umgehen?
Widerstandsfähigkeit und Reaktionsfähigkeit gegenüber Cyberbedrohungen zu stärken



Von Wolfgang Kurz, CTO bei indevis

Die EU-NIS2-Direktive verpflichtet eine große Anzahl an betroffenen Unternehmen dazu, höhere Cybersicherheitsstandards zu erfüllen. Was müssen Security-Verantwortliche jetzt beachten? Wie bewältigen die IT-Teams die zusätzlichen Aufgaben? Und inwieweit können Information Security Management Systeme (ISMS) helfen? Hier sechs Tipps.

Die EU-Richtlinie NIS2 hat ein klares Ziel: die Widerstandsfähigkeit und Reaktionsfähigkeit gegenüber Cyberbedrohungen zu stärken. In Deutschland könnten 27.000 Unternehmen von den neuen Regelungen betroffen sein – eine Verzehnfachung der bisher in den KRITIS-Bereich fallenden Unternehmen. Das deutsche Umsetzungsgesetz befindet sich noch in der Entwicklung. Derzeit liegt der dritte Referentenentwurf aus dem Herbst 2023 vor, und ein vierter wird noch im Frühjahr erwartet. Bis zum 17. Oktober 2024 soll das Gesetz festgeschrieben sein. Alle betroffenen Institutionen sind dann verpflichtet, eine Reihe an Cyber-Security-Maßnahmen umzusetzen. Wie können sich die deutschen Betriebe adäquat darauf vorbereiten?

Tipp 1: Starten Sie jetzt
Überprüfen Sie zunächst, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist. Spielen Ihre Produkte oder Dienstleistungen eine wichtige Rolle für die europäische Wirtschaft und Gesellschaft? Wenn ja, gilt die Richtlinie für Unternehmen mit mehr als 50 Mitarbeitern und einem Umsatz von über zehn Millionen Euro. Prüfen Sie auch, ob die Firma zu den kritischen Sektoren gemäß Anhang 1 oder Anhang 2 der Richtlinie gehört, und informieren Sie sich genauer darüber, ob die Sicherheitssysteme Ihres Unternehmens den Anforderungen von NIS2 entsprechen müssen. Falls ja, gibt es gezielte Maßnahmen, um sich vorzubereiten – denn die Sanktionen reichen hier bis zur Geschäftsführerhaftung.

Tipp 2: Etablieren Sie ein Information Security Management System (ISMS) und definieren Sie einen Informationssicherheitsbeauftragten (ISB)
Von der Geschäftsführung eingesetzt, ist die Aufgabe eines Informationssicherheitsbeauftragten (ISB), ein entsprechendes Informationssicherheitsmanagementsystem (ISMS) einzuführen. Er arbeitet in der Regel nicht allein, sondern wird von verschiedenen Abteilungen unterstützt. Geeignete Kandidaten für sein Team sind Datenschutz- und Qualitätsmanagementbeauftragte sowie Vertreter aus Personalwesen, Facility Management, Einkauf oder der IT. Der ISB kann auch extern rekrutiert werden, insbesondere wenn vorhandenes Personal bereits vollumfänglich in das Tagesgeschäft eingebunden ist.

Tipp 3: Wie sieht ein wirkungsvolles ISMS aus?
Es folgt dem Best Practice-Ansatz und basiert auf bewährten Verfahren und international anerkannten Standards wie der ISO 27001. Obwohl eine Zertifizierung nach dieser Norm derzeit nicht zwingend erforderlich ist, ist es ratsam, sich auf zukünftige Anforderungen vorzubereiten. Neben der ISO 27001 gibt es auch branchenspezifische Sicherheitsstandards, die ähnliche Ziele setzen und speziell auf die Anforderungen bestimmter Branchen und deren Kritikalität zugeschnitten sind. Zusätzlich bieten Richtlinien wie die ISO 27002 und das BSI-Grundschutzkompendium praktische Anleitungen und Ressourcen zur Unterstützung bei der Implementierung.

Tipp 4: Sehen Sie es als Prozess, nicht als Projekt
Der Prozess, ein ISMS aufzubauen, folgt einem iterativen Ansatz, der als Plan-Do-Check-Act (PDCA) bekannt ist. Zu Beginn werden Ziele festgelegt, eine Sicherheitsorganisation gebildet und Risikoanalysen durchgeführt. Basierend auf den Ergebnissen werden Maßnahmen ergriffen und dokumentiert. Interne Audits dienen dazu, den Fortschritt zu überprüfen. Ein Managementreview bewertet die Zielerreichung sowie die Wirksamkeit des ISMS. Der ISB spielt hierbei eine Schlüsselrolle und arbeitet eng mit der Geschäftsführung zusammen, um das ISMS kontinuierlich zu verbessern und den Reifegrad im Laufe der Zeit zu steigern.

Tipp 5: Geschäftskontinuität sicherstellen
Zudem sollten Sie für den Fall eines Cyberangriffs vorsorgen und vorab Verantwortlichkeiten definieren. Denn wenn Sie unter die NIS2-Richtlinie fallen, müssen Vorfälle an das BSI gemeldet werden. Dementsprechend sind gerade Werkzeuge, um Cyberangriffe frühzeitig zu erkennen und zu bekämpfen zentral, um die Resilienz der IT-Infrastruktur zu erhöhen. So lässt sich Schaden minimieren. Betriebe, die hier gut aufgestellt sind, steigern zudem ihren Wert.

Tipp 6: Holen Sie sich Unterstützung
Wenn Unternehmen Hilfe brauchen, sollten sie nicht zögern, externe Dienstleister hinzuzuziehen. Die Experten unterstützen in allen Phasen dabei, die Anforderungen von NIS2 zu erfüllen. Sie helfen, Auswirkungen zu klären, Verantwortlichkeiten festzulegen und maßgeschneiderte Schulungsprogramme für Mitarbeiter zu entwickeln. Außerdem stehen sie Unternehmen mit Rat und Tat und Tools zur Bedrohungsanalyse zur Seite, um Angriffe zu erkennen und Vorfälle zu verwalten, damit diese frühestmöglich reagieren können.

Fazit: NIS2-Anforderungen als Chance
Auch wenn ein Unternehmen nicht direkt von NIS2 betroffen ist, muss es dennoch bestimmte Standards einhalten, um Cyberangriffen etwas entgegenzusetzen. Sind die NIS2-Anforderungen umgesetzt und ist ein ISMS implementiert sichert das die Geschäftskontinuität. Die Maßnahmen eröffnen auch die Gelegenheit, Schwachstellen zu identifizieren und das Unternehmen sowie seine Lieferkette resilienter zu machen. Auf diese Weise stärkt NIS2 die Cybersecurity und mit ihr die Wirtschaft in ganz Europa.

Hier können sich Unternehmen weiter über NIS2 informieren: https://www.indevis.de/consulting/nis-2-consulting (indevis: ra)

eingetragen: 28.05.24
Newsletterlauf: 31.07.24

indevis IT Consulting and Solutions: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen