Categories: Anzeige

NIS2: Schritt für Schritt zur IT-Sicherheit

Strafen für nicht oder zu spät gemeldete IT-Sicherheitsverstöße gibt es in Europa bereits seit der Einführung der DSGVO im Jahre 2015. Seitdem wurden sie immer weiter verschärft, so dass bei schweren Verstößen mit bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gerechnet werden muss. Die NIS2 geht noch einen Schritt weiter. Zusätzlich werden – bei einem nachgewiesenen Fehlverhalten – die Führungskräfte eines Unternehmens, in der NIS2 als ‚Leitungsorgane‘ bezeichnet, in Haftung genommen.

Die NIS2 sieht vor, dass die Geschäftsführung die Risikomanagement-Maßnahmen für Cybersicherheit billigt und die Umsetzung in ihrer Einrichtung oder ihrem Unternehmen überwacht. Sie muss sicherstellen, dass im Fall eines erfolgreichen Angriffs betroffenen Partnern, Zulieferern und Kunden sowie den zuständigen nationalen Behörden Meldung erstattet wird. Um diesen Aufgaben gerecht zu werden, sollen Führungskräfte regelmäßig an Cybersicherheitsschulungen teilnehmen, die sie in die Lage versetzen, Cyberrisiken und Cybersicherheitsmaßnahmen zu erkennen und zu bewerten. Kommen sie dem – nachgewiesenermaßen – nicht nach, kann sie – persönlich – für die Vernachlässigung ihrer Sorgfaltspflicht haftbar gemacht werden. Dieser Umstand hat bereits zu zahlreichen Diskussionen geführt. Denn explizit wird erwähnt, dass die Geschäftsführung von der Wahrnehmung ihrer Leitungsaufgaben entbunden werden kann, bis die Mängel an der NIS2 beseitigt worden sind.

Doch es gibt Licht am Horizont. Führungskräfte können ihre Unternehmen bereits jetzt vorbereiten und sich vor den Strafen und Haftbarkeits-Diskussionen schützen. Die NIS2 sieht 10 Anforderungen vor, die mit verschiedenen organisatorischen und technischen Maßnahmen noch vor Oktober umgesetzt werden können. Allerdings fällt es aufgrund der Unschärfe in der bisherigen Gesetzeslage schwer, die genauen Maßnahmen abzuleiten, die für das jeweilige Unternehmen nötig sind.

Mit der NIS2 werden Cybersicherheitsmaßnahmen in ganz Europa ein einheitlicher Rahmen gegeben. Bislang orientieren sich Informationssicherheitsexperten vor allem an internationalen Standards wie der NIST, CIS Controls, ISO 27001 und anderen wie dem IT-Grundschutz des BSI. Cyberrisiken sollen so spürbar reduziert werden. Damit dieser Plan gelingen kann, ist es unabdingbar, dass sich neben den Informationssicherheitskräften auch die Führungskräfte der betroffenen Unternehmen und Einrichtungen in die Implementierung und Aufrechterhaltung der NIS2-Compliance ihrer IT-Systeme aktiv einbringen.

Als Führungskräfte sollten die folgenden vier Punkte beachten, denn sie helfen ihnen beim Verständnis der Materie und erlauben ihnen die nötigen Maßnahmen zu veranlassen:

1. Sensibilisierung: Führungskräfte müssen sich grundlegend mit der Materie der Cybersicherheit vertraut machen, so dass sie in engem Austausch mit ihren Informationssicherheitsexperten stehen, von diesen informiert werden und ihnen fundierte Weisungen erteilen können.

2. Personal: Sie müssen sich eine agile Informationssicherheitsabteilung aufbauen, mit dem sich die erhöhten Anforderungen von NIS2 bewerkstelligen lassen. Dabei wird es unerlässlich sein, neben dem Chief Information Security Officer (CISO) für die Datensicherheit auch einen Data Protection Officer (DPO) einzusetzen. Es sollte tunlichst darauf geachtet werden, nicht einer Person beide Posten zu übertragen, sondern die Aufgaben sinnvoll untereinander aufzuteilen.

3. Audit: Sie müssen sicherstellen, dass die einzelnen Bereiche einer kritischen Prüfung und Analyse hinsichtlich der Risikolage unterzogen, an NIS2 angepasst und NIS2-konform auditiert werden.

4. Incident Response: Nicht zuletzt müssen sie außerdem sicherstellen, dass Vorkehrungen für den Fall eines erfolgreichen Cyberangriffs auf das Unternehmen oder die Einrichtung getroffen werden. Partner, Zulieferer und Kunden sowie die entsprechenden nationalen Behörden werden dann schnellstmöglich informiert werden müssen. Die Zeitvorgaben für die Meldung von Vorfällen umfassen eine Frühwarnung, die innerhalb von 24 Stunden nach Kenntniserlangung über den Vorfall an die Behörde erfolgen muss, eine bereits detailliertere und formellere Meldung innerhalb von 72 Stunden und einen Abschlussbericht einen Monat nach Einreichung der Meldung.

Quelle: Check Point Software ldt.

Fazit

Nur wenn Geschäftsführung und Informationssicherheitsfachleute an einem Strang ziehen, kann die Umstellung der Cybersicherheit auf NIS2 gelingen. Es handelt sich hier nicht um ein simples Projekt, nicht um eine Aufgabe von wenigen Wochen oder Monaten. NIS2 ist eine kontinuierliche, eine Langzeitaufgabe. Ab 2028 werden Unternehmen jedes Jahr die NIS2-Konformität ihrer IT-Infrastruktur nachweisen müssen. Sie werden nachweisen müssen, dass sie „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ ergriffen haben, „die dem Stand der Technik und den geltenden Normen entsprechen“.

Darüber hinaus müssen sie sich nach der Umsetzung der NIS2 auch den European Cyber Resilience Act (CRA) in den Blick nehmen. Denn im September 2022 hatte die Europäische Kommission zur Verbesserung der Cybersicherheit und der Widerstandsfähigkeit gegenüber Cyberangriffen in der EU eine weitere Richtlinie erlassen. Die CRA soll gemeinsame Cybersicherheitsstandards für Produkte mit digitalen Elementen wie vorgeschriebene Reportings über Zwischenfälle und Sicherheitsupdates durchsetzen. Denn eines ist sicher, Cybersicherheit lässt sich nicht über Nacht erreichen, es ist ein Prozess, der einem Marathon und keinen Sprint gleicht.

Erfahren Sie mehr im Infobrief hier

Wenn Sie Fragen zu NIS2 haben oder wissen möchten, wie Check Point Ihnen helfen kann, wenden Sie sich bitte an: nis2@checkpoint.com

Maria Jose Carrasco

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

8 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

8 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

9 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

9 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

11 Stunden ago