Mit dem 17. Oktober endet die Umsetzungsfrist für die EU-weit in Kraft tretende NIS-2-Richtlinie. Diese verpflichtet Unternehmen der kritischen Infrastruktur zu vorausschauenden Risikoanalysen und strengen Berichtspflichten. Geschäftsleiter, die diesen Auflagen nicht nachkommen, werden in Haftung genommen. Die Herausforderung dabei: Viele Firmen müssen sich stark verändern, um die neuen Vorschriften zu erfüllen – ohne klare Vorgabe für das „Wie“. Aufgrund der Zeitknappheit rät das IT-Systemhaus Brandmauer IT dazu, bestehende Abläufe anzupassen, statt sie von Grund auf neu zu gestalten.
Als noch umfangreicher als das im Jahr 2018 eingeführte DSGVO gilt NIS-2 – ein Gesetz zur Stärkung der Cybersicherheit in Behörden, bei Versorgern und Firmen des produzierenden Gewerbes. NIS-2 trifft mehrheitlich mittelständische Unternehmen, unabhängig von ihrer Größe. Viele von ihnen sind bislang bislang nicht ausreichend gegen IT-Attacken geschützt, obwohl Hacker und Internetkriminelle sie verstärkt ins Visier nehmen. In den vergangenen zwölf Monaten waren 81 Prozent aller Unternehmen von Datenklau und IT-Gerätediebstahl sowie digitaler und analoger Industriespionage oder -sabotage betroffen.
Wie sollen sich mittelständische Unternehmen gegenüber den Herausforderungen durch NIS-2 verhalten? Was sind die ersten Schritte? Volker Bentz, Gründer und Geschäftsführer des IT-Systemhauses Brandmauer IT, rät Firmen, strategische Partnerschaften einzugehen und darüber Wissen einzukaufen: „Hinter NIS-2 steht ein Information Security Management System (ISMS) mit klaren Leitlinien und Regeln; niemand muss das Rad neu erfinden.“ Welche Inhalte des NIS-2-Maßnahmenpakets betreffen die Geschäftsleitung direkt und erfordern somit sofortige Umsetzung?
Schwachstellen im Unternehmen
Angesichts einer beschleunigten Digitalisierung und dem angespannten Weltgeschehen drängt die Notwendigkeit, in Informationssicherheitsmaßnahmen für eine zunehmend digitale Welt zu investieren. Eine unerlässliche Voraussetzung für den Geschäftserfolg ist das Management von Cyberrisiken. Auf dem Weg zum krisenfesten Zukunftsmacher identifiziert IT-Experte Bentz folgende Schwachstellen:
- Technik: Wo laden offene Türen Hacker ein? Dauerüberwachungen der unternehmensinternen IT auf Schwachstellen, Maßnahmenpläne zur Schließung von Sicherheitslücken und Hardware-Verschlüsselung gehören zum kleinen IT-Security-Einmaleins.
- Organisation: Wie hackergeschützt ist die interne Organisation? Unternehmen, die verbindliche Richtlinien für den Umgang mit Daten etablieren, Privilegien-Sparsamkeit walten lassen und ganzheitliche Security-Systeme integrieren, sind Cyberangriffen einen Schritt voraus.
- Personal: Sitzt die Belegschaft in IT-Sicherheitsfragen fest im Sattel? Firmen, die ihre Mitarbeitenden hier sensibilisieren und Wissen über Gefahren von Hackern vermitteln, entwickeln sie zu einer stabilen Firewall. Außerdem tragen Führungsverantwortliche dafür Sorge, dass die Teams unternehmerische IT-Security-Richtlinien befolgen.
Zentrale NIS-2-Handlungsfelder
- Registrierungspflichten gegenüber dem BSI: Die NIS-2-Richtlinie beabsichtigt, die Vernetzung von Unternehmen zu stärken und ihnen die Möglichkeit zu geben, sich über Sicherheitsvorfälle auszutauschen. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, übernimmt als zentrale Anlaufstelle die Koordinationsfunktion, mit dem Ziel, ein Warnsystem für Cybergefahren zu etablieren. Firmen wird so die Früherkennung potenzieller Angriffe erleichtert. Angesichts dessen bedarf es der Registration mit bestimmten Informationen bei der Aufsichtsbehörde. Die Registrierungspflicht obliegt der Geschäftsleitung. Bei vorsätzlicher Nichteinhaltung drohen Sanktionierungen.
- Informationssicherheit und IT-Risikomanagement: Heute Probleme vermeiden, die morgen das Geschäft stören – das bringt die Aufgabe des IT-Risikomanagements auf den Punkt. Es bewertet Gefahren für Computersysteme sowie Daten und findet Wege zu deren Minimierung. IT-Systeme sicher gestalten und wertvolle Informationen schützen, lautet das erklärte Ziel. Dazu gehört die Implementierung eines Information Security Management Systems und den dazugehörigen Dokumenten sowie eines Prozesses mit verschiedenen Rahmenparametern für die Identifizierung, Bewertung und Behandlung von Bedrohungen.
- Management Review und Maßnahmenmanagement: Wie steht es um die Informationssicherheit im Unternehmen? Um diese Frage zu beantworten, braucht es standardisierte Verfahren, die auch technologische Neuerungen und geänderte Rahmenbedingungen abbilden. Darunter fallen die Bereitstellung regelmäßiger Reports an die Unternehmensführung sowie Protokollierung von Verantwortlichkeiten, Reaktionen auf Ereignisse und Entwicklung von Korrekturmaßnahmen. Das fördert planvolles Handeln im Ernstfall.
NIS-2-Anforderungskatalog mit 35 Kategorien
Ein von Bentz entwickelter IT-Security-Ratgeber stellt die komplexe Gesetzeslage übersichtlich dar und unterstützt Unternehmen in der Umsetzung der NIS-2-Richtlinien. Die Liste enthält 35 Kategorien, die zu NIS-2-Konformität hinleiten. Kurze Erläuterungen verdeutlichen, welche Einzelmaßnahmen dazu nötig sind. Der Maßnahmenkatalog ersetzt keine Rechtsberatung und kann hier angefordert werden. (ah)
