Durch die Neufassung der EU-Direktive NIS werden nicht nur die Mindestanforderungen an die Cybersicherheit, sondern auch die Anzahl der betroffenen Unternehmen deutlich erhöht. Diese 5 wichtigsten Maßnahmen sollten Unternehmen jetzt ergreifen, erläutert Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.
Im Oktober wird die neue EU-Richtline in nationales Recht überführt und eine deutlich größere Anzahl an Unternehmen wird in Deutschland zu einer höheren Widerstandsfähigkeit gegenüber Cyberbedrohungen verpflichtet sein. Die Folge: Auch kleine und zahlreiche bisher nicht dem KRITIS-Bereich zugeordnete Unternehmen müssen festgelegte Cybersicherheitsmaßnahmen umsetzen. Das ist zeitaufwendig und daher ist es sinnvoll, sich jetzt noch rechtzeitig auf die NIS-2-Konformität vorzubereiten.
- Ermitteln, ob das Unternehmen betroffen ist
Die NIS-2-Richtlinie erweitert die KRITIS-Sektoren von elf auf achtzehn und auch kleine Firmen und Organisationen können nun als für die Allgemeinheit wichtige Einrichtungen eingestuft werden. Dadurch sind erheblich mehr Organisationen als bisher zur Umsetzung der NIS-2-Vorgaben verpflichtet. Im Internet verfügbare Online-Checks sind ein erster Weg zu ermitteln, ob das eigene Unternehmen betroffen ist. Die Ergebnisse sind allerdings mit Vorsicht zu genießen. Denn auch wenn sich die Analyse auf den ersten Blick als negativ erweist, können Unternehmen trotzdem unter NIS-2 fallen. Beispielsweise dann, wenn man als Lieferant oder aufgrund von Lieferantenbeziehungen zu NIS2-Maßnahmen verpflichtet ist. Um auf Nummer sicher zu gehen, sollte daher sinnvollerweise juristische Expertise eingeholt oder ein erfahrener Managed Security Service Provider (MSSP) wie indevis mit an Bord genommen werden. Sollte infolge der NIS-2-Betrachtung der Aufbau einer Sicherheitsstrategie in Form eines ISMS (Information Security Management System) beschlossen werden, hat ein MSSP den Vorteil, dass dieser mit seiner Erfahrung und Beratungskompetenz zur Seite stehen kann.
- Haftungsrisiko: Die Geschäftsführung sensibilisieren
Die NIS-2-Direktive macht Geschäftsführer persönlich haftbar, wenn es aufgrund der Missachtung von Security-Vorgaben im Unternehmen zu einem Sicherheitsvorfall kommt. Zudem erlischt in diesem Fall auch der Versicherungsschutz: Sowohl Cybersecurity-Versicherungen für Unternehmen als auch Geschäftsführerversicherungen beziehungsweise D&O-Versicherungen (Directors & Officers Liability Insurance) unterstellen bei nicht zeitgemäßen oder fehlenden Security-Systemen zur Angriffserkennung Fahrlässigkeit. Die Verantwortung für die Sicherheit liegt damit nicht etwa bei den IT-Experten einer Organisation, sondern bei der Geschäftsführung. Daher sollten sich die Leitungsorgane von Unternehmen umgehend informieren, was aufgrund der NIS-2-Bestimmungen von ihrem Unternehmen erwartet wird. Hierfür gibt es im Internet zahlreiche webbasierte Kurse und es steht auch hinreichend Expertise externer IT-Berater zur Verfügung. Wichtig ist, dass die Führungsriege ein Bewusstsein dafür entwickelt, was auf dem Spiel steht und welche Strafen im Ernstfall im Raum stehen. In einem zweiten Schritt sollten zielgruppenspezifische Schulungen in den einzelnen Abteilungen erfolgen, um dieses Bewusstsein auch in der Firma zu verankern. Auf diese Weise agieren alle Mitarbeiter, die mit der Umsetzung der Sicherheitsmaßnahmen befasst sind, auf Basis der gleichen Wissensgrundlage.
- Sicherheitsteam aufbauen, Verantwortliche bestimmen
Ist die Geschäftsführung für NIS-2 sensibilisiert, wird es einfacher, das Thema Sicherheit im gesamten Unternehmen zu verankern. Denn die Initiative zur Einführung umfassender Maßnahmen geht nun nicht mehr allein von der IT-Abteilung aus, sondern wird von ganz oben getragen. Der nächste logische Schritt ist nun eine Gap-Analyse – wenn nötig mit externer Hilfe – um herauszufinden, welche Maßnahmen und Security-Systeme oder Tools bereits im Einsatz sind, was noch fehlt und wer welche Herausforderungen lösen kann. Diese Unterstützer sind meist mehrere Personen im Unternehmen, beispielsweise die Einkaufsabteilung, die die Lieferanten steuert oder das Marketing, das die Krisenkommunikation verantwortet. Ist im Unternehmen ein Qualitätsmanagement-Beauftragter vorhanden, kann dieser beispielsweise Teile der Funktion des Informationssicherheitsbeauftragten (ISB) übernehmen, der sich leitend um die Implementierung von Sicherheitsrichtlinien kümmert. Sind im eigenen Unternehmen keine Mitarbeiter mit den notwendigen Qualifikationen vorhanden, können Verantwortliche auch einen externen Experten für diese Position engagieren. Auf diese Weise entsteht ein von der Geschäftsführung gesteuertes, unternehmensübergreifendes Sicherheitsteam, das sich kompetent um das Thema Informationssicherheit kümmert.
- Zeitplan und Budget definieren
Es kostet Zeit, das Unternehmen im Sinne von NIS-2 mit einem ISMS (Information Security Management System) wasserdicht zu machen, welches Regeln, Prozesse und Tools für die Informationssicherheit umfasst. Fällt eine Firma unter die neue Richtlinie, sollte sie nicht nur ein ausführendes Expertenteam verfügbar haben, das sich um die Einführung oder Erweiterung des ISMS kümmert. Wichtig ist auch, der Belegschaft einzubläuen, dass NIS-2 und damit die Cybersicherheit eine zentrale Rolle spielen und entsprechende Vorgaben einzuhalten sind. Diese Phase kann sich durch Abstimmungsprozesse, das Erstellen von Richtlinien und Schulungen durchaus hinziehen – was wiederum im Budget berücksichtigt werden sollte. Wer eine Zertifizierung nach DIN ISO/IEC 27001:2022 seines ISMS anstrebt, muss sich im Klaren sein, dass – abhängig vom individuellen Reifegrad – mit zirka ein bis zwei Jahren Einführungszeit im Unternehmen zu rechnen ist. Eine Zertifizierung ist nicht vorgeschrieben, kann aber mit Blick auf zukünftige Compliance-Vorgaben sinnvoll sein. Außerdem erleichtert ein Zertifikat den Nachweis gegenüber Kunden, Lieferanten oder dem BSI (Bundesamt für Sicherheit in der Informationstechnik), dass ein vorgabenkonformes ISMS im Einsatz ist.
- Meldekette für den Ernstfall festlegen
Wenn ein Sicherheitsvorfall vorliegt, schreibt NIS-2 vor, dass dieser innerhalb von 72 Stunden zu melden ist und eine Evaluation nachgereicht werden muss. Neben den notwendigen Tools für die Angriffserkennung – Incident Management, Endpoint Security oder Managed Detection & Response (MDR) Services – benötigen Unternehmen auch interne Richtlinien, die definieren, wie Sicherheitsvorfälle gemeldet werden müssen. Es sollte ein Notfallplan vorliegen, der beschreibt, was im Ernstfall zu tun ist – möglichst auch in physischer Form, sinnbildlich „in der Schublade“, damit er bei einem Cyberangriff nicht durch Verschlüsselung unzugänglich gemacht werden kann. Dieser Notfallplan legt Verantwortlichkeiten und Abläufe fest. Im Rahmen von Notfallübungen oder Planspielen sollten diese Prozesse regelmäßig überprüft und trainiert werden, damit die Organisation auch auf individuelle Krisensituationen optimal vorbereitet ist.
Fazit: Von externer Expertise profitieren
Die NIS-2-Richlinie nimmt weitaus mehr Unternehmen als zuvor in die Pflicht. Daher sollten Geschäftsleitungen jetzt prüfen, ob sie von den neuen Bestimmungen betroffen sind. Mittels Top-Down-Ansatz, mit dem richtigen Team und unter Einbeziehung externer Expertise eines erfahrenen Managed Security Service Providers wie indevis können Unternehmen die Anforderungen der neuen Direktive zeitgerecht und ohne Hindernisse meistern. Damit machen sie ihre Organisation resilient gegen Cyberbedrohungen – aktuell und für die Zukunft sowie im Sinne von NIS-2.
