Sie sind hier: Home » Markt » Hinweise & Tipps

Geordnet gegen Chaos beim Cyberangriff

EU-Direktive NIS2: So stellen Sie Ihre Task Force zusammen
Die Verantwortung für NIS2 in erfahrene Hände legen

Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.

Die neue NIS2-Direktive stellt konkrete Anforderungen an die technischen Maßnahmen, Richtlinien und Prozessbeschreibungen der Sicherheitsvorkehrungen in Unternehmen. Betriebe müssen sicherstellen, dass sie dafür über die notwendige Expertise verfügen – entweder aus den eigenen Reihen heraus oder durch externe Berater.

Kickdown-Start mit Top-down-Ansatz
Vor allem kleine und mittlere Unternehmen – die nach den Neuerungen nun auch in den Geltungsbereich von NIS fallen – sollten für die Einführung eines Information Security Management Systems (ISMS) oder dessen Erweiterung einen Top-down-Ansatz fahren. Die Geschäftsführung sollte sich zunächst eingehend mit ihren Pflichten und möglichen Sanktionen auseinandersetzen und sich schulen lassen. Mit diesem Wissen ausgestattet, kann sie dann entscheiden, welche Maßnahmen zur Umsetzung der Anforderungen notwendig sind und wie die Verantwortlichkeiten und Prozesse innerhalb des Unternehmens verteilt werden.

Im nächsten Schritt geht es darum, ein Kernteam aufzustellen, das in Zusammenarbeit mit der Geschäftsführung die vielfältigen Sicherheitsanforderungen im Blick behält. Die Rolle des Informationssicherheitsbeauftragten (ISB) und damit die Leitung sollte eine außerhalb der eigenen IT-Abteilung stehende Person mit IT-Hintergrund übernehmen, um im Ernstfall Interessenskonflikte zu vermeiden. Ist eine Person mit dieser Qualifikation nicht im Unternehmen zu finden, können Unternehmen auf externe Expertise zurückgreifen. Vor allem kleinere Betriebe profitieren vom Einsatz eines externen ISB. Dieser kann beispielsweise die Kommunikation mit den Aufsichtsbehörden übernehmen oder bei der Auswahl von Sicherheitstools wie auch bei Zertifizierungen unterstützen. Sein Einsatz erfolgt flexibel im Rahmen einer Beratungspauschale und die Organisation profitiert von der Erfahrung eines professionellen Experten.

Per Gap-Analyse den Bedarf klären
Um neben dem ISB weitere passende Mitglieder für das IT-Sicherheitskernteam aufzustellen, sollten Unternehmen ihren aktuellen Stand in Sachen Sicherheit erfassen: Mittels einer Gap-Analyse, für die sich Unternehmen ebenfalls Hilfe von externen Experten holen können, lassen sich bestehende Lücken im Security-Konzept oder in der IT-Security-Infrastruktur identifizieren. Diese umfassende Untersuchung gibt zusätzlich Hinweise darauf, wo und in welcher Reihenfolge noch fehlende Maßnahmen umgesetzt werden sollten. Die Umsetzung und Dokumentation dieser Maßnahmen erfolgt dabei am besten innerhalb eines kontinuierlichen Verbesserungsprozesses.

Die Gap-Analyse hilft ebenfalls zu erkennen, wer zu den verschiedenen Fragestellungen fachlich beitragen kann. Meist sind dies gleich mehrere Personen im Unternehmen, etwa der Facility-Manager, der sich um die physische Sicherheit kümmert, der Einkauf, der die Lieferanten im Blick hat, die Personalabteilung, wenn es um die Personalsicherheit geht oder die Marketingabteilung, falls Krisenkommunikation notwendig wird. Ist im Unternehmen ein Qualitätsmanagement-Beauftragter (QMB) vorhanden, kann dieser bei entsprechender Qualifikation im IT-Umfeld auch die Funktion des ISB übernehmen. Die Aufgabe, die Belegschaft über die geplanten Maßnahmen zu informieren und die Sicherheitsorganisation zu unterstützen, fällt der Geschäftsführung zu.

Ablaufplan für den Ernstfall
Die NIS2-Richtlinie schreibt unter anderem vor, dass ein Sicherheitsvorfall innerhalb von 72 Stunden zu melden ist und eine Evaluation nachgereicht werden muss. Unternehmen müssen daher sicherstellen, dass sie in der Lage sind, sicherheitsrelevante Vorfälle zu erkennen und zu verfolgen. Es gilt also, entsprechende Verantwortlichkeiten und Informationsketten festzulegen. Das macht eine interne Prozessbeschreibung notwendig, die das Prozedere im Ernstfall detailliert aufführt – und alle Mitglieder des Kernteams ausgedruckt in der Schreibtischschublade haben, falls ein Cybervorfall die IT lahmlegt. Wie Vorfälle einzustufen sind, beurteilt federführend der ISB. Regelmäßige Notfallübungen und Planspiele halten das Kernteam fit für den Ernstfall und helfen, immer wieder die eigene Sicherheitsstrategie mit möglichen künftigen Szenarien abzugleichen.

Die von NIS2 geforderten Maßnahmen umzusetzen, stellt viele Unternehmen erst einmal vor Herausforderungen. Dabei sollten sie sich aber vor Augen halten: Bei einem Cybervorfall entsteht erst einmal Chaos. Wer bereits vorher Verantwortlichkeiten und Abläufe geklärt und ein Team aufgestellt hat, kann schnell und geordnet definierten Prozessen folgen. So lassen sich die Folgen eines Angriffs auf ein Minimum reduzieren – und die neuen NIS2-Standards erfüllen. (indevis: ra)

eingetragen: 08.07.24
Newsletterlauf: 14.08.24

indevis IT Consulting and Solutions: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Markt / Hinweise & Tipps

Nachhaltigkeitsberichtsstandards
"Wie steht Ihr Unternehmen beim Thema Nachhaltigkeit da?" ? darauf lässt sich zukünftig nicht mehr mit einem "Och, ganz gut" antworten. Die EU-Richtlinie "Corporate Sustainability Reporting Directive" ("Unternehmensnachhaltigkeitsberichtspflicht", CSRD) sollte bis zum 6. Juli 2024 in nationales Gesetz umgesetzt werden. Sie verpflichtet zunächst börsennotierte Unternehmen mit mehr als 500 Mitarbeitern, im Jahr 2025 rückwirkend für 2024 zu berichten. Nicht irgendwie, sondern gemäß der ESRS, der europäischen Nachhaltigkeitsberichtsstandards. In den Folgejahren wird es dann auch kleinere und nicht börsennotierte Unternehmen treffen.
Gehaltsabrechnungen korrekt erstellen
Bis zu 80 Prozent der Gehaltsabrechnungen sind nicht korrekt und jedes zweite Unternehmen musste daher bereits Strafen zahlen. Neben finanziellen und rechtlichen Folgen beeinträchtigen fehlerhafte Abrechnungen auch die Mitarbeiterzufriedenheit. Internationale Teams verstärken diese Problematik weiter, da das Gehaltsmanagement aufgrund unterschiedlicher landesspezifischer Vorschriften noch komplizierter ist.
Sanktionen bei Nichteinhaltung
Am 5. Juli 2024 veröffentlichte die EU den finalen Gesetzestext zur EU-Lieferkettenrichtlinie, die sogenannte Corporate Sustainability Due Diligence Directive (CSDDD). Nun haben die Mitgliedstaaten zwei Jahre Zeit, die CSDDD in nationales Recht umzuwandeln. Betroffen sind Unternehmen mit mehr als 1.000 Mitarbeitern und einem weltweiten Nettoumsatz über 450 Mio. Euro.
Regulierung und Beaufsichtigung von Banken
Nach der Finanzkrise 2008 war es notwendig, die aufsichtsrechtliche Regulierung der Banken zu verändern. Damit sollte die Finanzstabilität gesichert werden. Seitdem hat sich das europäische Bankensystem als stabil und das Regulierungssystem als wirksam erwiesen, beispielsweise während der Turbulenzen rund um das US-amerikanische Bankensystem im Frühjahr 2023.
Prozess zur Zertifizierung des Benutzerzugriffs
Zugriffs-Zertifizierung beschreibt die unabhängige Prüfung der Zugriffsrechte durch einen Auditor. Dieser untersucht, ob die den Benutzern gewährten Rechte wirklich notwendig sind. Ein gründlicher Prozess zur Zertifizierung des Benutzerzugriffs stellt sicher, dass die digitale Identität jedes Mitarbeiters nur die Berechtigungen hat, welche für die Erfüllung seiner Aufgaben nötig sind. So wird auch die Sicherheit der internen Daten gewährleistet.

Wie werden Aktien und Fonds besteuert? Die fünf wichtigsten Auswirkungen von eIDAS 2.0