Navigieren durch die NIS-2: Eine Roadmap zur Compliance

Die rasante Entwicklung der digitalen Landschaft bringt für Unternehmen neue Herausforderungen mit sich, insbesondere in Bezug auf die Sicherheit ihrer Informationssysteme. Vor diesem Hintergrund wird der Schutz sensibler Daten zu einem immer wichtigeren Anliegen für Betriebe jeglicher Größe und Branche. Die Einführung der NIS-2-Richtlinie (Netzwerk- und Informationssicherheitsrichtlinie 2) stellt einen bedeutsamen Meilenstein dar, der nicht nur strengere Compliance-Anforderungen mit sich bringt, sondern auch Chancen bietet, die Sicherheitsinfrastrukturen zu stärken und die Resilienz gegenüber Cyberangriffen zu verbessern.
Die NIS-2 legt umfangreiche Compliance-Anforderungen fest, die eine sorgfältige Planung und Umsetzung erfordern. Eine effektive Compliance-Strategie beginnt mit einer klaren Roadmap, die Unternehmen dabei unterstützt, die neuen Anforderungen zu verstehen, zu implementieren und langfristig einzuhalten.

1. Identifizierung der Betroffenheit (Scoping)

Der erste Schritt auf dieser Roadmap ist die präzise Identifizierung der Betroffenheit. Hierbei gilt es zu ermitteln, ob und in welchem Umfang das Unternehmen von den neuen NIS-2-Anforderungen betroffen ist. Dies erfordert eine gründliche Analyse der betrieblichen Abläufe, Dienstleistungen und Systeme, um potenzielle Bereiche der Betroffenheit zu identifizieren.
Maßnahmen:
  • Durchführung einer umfassenden Bestandsaufnahme der IT-Infrastruktur, einschließlich kritischer Systeme, Dienste und Prozesse.
  • Identifizierung von Schlüsselpersonen und -abteilungen, die an der Umsetzung der Compliance-Maßnahmen beteiligt sind.
  • Bewertung der potenziellen Auswirkungen von Sicherheitsvorfällen auf den Betrieb und seine Kunden.

2. Gap-Analyse

Nach der Identifizierung der Betroffenheit folgt die Gap-Analyse. Hierbei werden bestehende Sicherheitsmaßnahmen und -richtlinien des Unternehmens mit den Anforderungen der NIS-2 abgeglichen, um Schwachstellen und Lücken zu identifizieren, die es zu schließen gilt, um die Compliance zu erreichen.
Maßnahmen:
  • Vergleich der aktuellen Sicherheitsmaßnahmen mit den Anforderungen der NIS-2.
  • Bewertung der bestehenden Richtlinien und Verfahren auf ihre Wirksamkeit und Angemessenheit.
  • Identifizierung von Schwachstellen und Lücken in der Sicherheitsarchitektur und Priorisierung von Maßnahmen zur Behebung dieser Probleme.

3. Entwicklung einer holistischen Compliance-Strategie

Neben den spezifischen Anforderungen der NIS-2 ist es wichtig zu betonen, dass Einrichtungen in der EU mindestens die nachfolgenden Cybersecurity-Maßnahmen umsetzen müssen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen (Art. 21). Bei der Auswahl und Umsetzung der Maßnahmen sollten Unternehmen einen Allgefahrenansatz (All-Hazards Approach) einsetzen.
Maßnahmen:
  • Policies: Richtlinien für Risiken und ­Informationssicherheit.
  • Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents.
  • Business Continuity: BCM mit Backup Management, DR, Krisenmanagement.
  • Supply Chain: Sicherheit in der Lieferkette – bis zur sicheren Entwicklung bei Zulieferern.
  • Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen.
  • Effektivität: Vorgaben zur Messung von Cyber- und Risikomaßnahmen.
  • Training: Cyber-Security-Hygiene.
  • Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung.
  • Personal: Human Resources Security.
  • Zugangskontrolle.
  • Asset Management.
  • Authentication: Einsatz von Multi Factor Authentisierung und SSO.
  • Kommunikation: Einsatz sicherer Sprach-, Video- und Textkommunikation.
  • Notfallkommunikation: Einsatz gesicherter Notfallkommunikationssysteme.
Letztlich ist die Einrichtung eines straffen Zeitplans mit festen Fristen entscheidend, um sicherzustellen, dass Organisationen die Anforderungen der NIS-2-Richtlinie bis zum vorgeschriebenen Zeitpunkt erfüllen können. Daher ist eine zeitgerechte Vorbereitung samt der Unterstützung des Top-Managements sowie die frühzeitige Allokation der erforderlichen Budgets und Ressourcen essenziell.

4. Kontinuierliches Monitoring und Anpassung

Unternehmen im Geltungsbereich der NIS-2-Richtlinie müssen zusätzlich ihre Informationssicherheitsrisiken verwalten. Die Implementierung eines Risiko- und Informationssicherheitsmanagementsystems ist eine grundlegende Anforderung der Richtlinie. Schlüsselelemente wie ­Risikomanagement, Vorfallbearbeitung und -management sowie Geschäftskontinuitäts- und Krisenmanagement sind ­wesentliche Bestandteile eines solchen Systems.
Die Roadmap zur Compliance ist somit kein statisches Dokument, sondern vielmehr ein dynamischer Prozess. Unternehmen müssen kontinuierlich ihre Sicherheitsmaßnahmen und -risiken überwachen, um auf neue Bedrohungen und Entwicklungen reagieren zu können. Dies erfordert eine regelmäßige Überprüfung und Anpassung der Compliance-Strategie, um sicherzustellen, dass sie den aktuellen Anforderungen entspricht.
In der heutigen digitalen Ära, in der ­Cyberbedrohungen ständig zunehmen und sich entwickeln, ist es für Betriebe von entscheidender Bedeutung, wachsam zu sein und sich auf die Herausforderungen vorzubereiten.

Allgemeiner Sicherheits- und Resilienzappell

Abschließend ist es wichtig zu betonen, dass Unternehmen auch ohne direkte Betroffenheit der NIS-2 ein starkes Interesse daran haben sollten, ihr Sicherheitsniveau zu evaluieren und gegebenenfalls zu erhöhen. In einer stark vernetzten Welt können bereits kleine Ausfälle erhebliche Auswirkungen haben. Eine proaktive Herangehensweise an die Sicherheit und Resilienz ist daher unerlässlich, um langfristig den Geschäftserfolg zu sichern.
Autoren:
Florian Süß und ­Konstantin Meyering
DS DATA SYSTEMS GmbH
Initiiert von:
Magdalena Hisserich
DS DATA SYSTEMS GmbH
Webinar: Die Netzwerk- und Informationssicherheitsrichtlinie (NIS-2) – 2. Teil

Im zweiten Webinar unserer Reihe zum NIS-2 am 8. Mai gewinnen Sie praxisnahe Einblicke im Umgang mit dem neuen Regelwerk. Das Webinar führt Sie durch den gesamten Prozess – von der Identifizierung der Betroffenheit (Scoping) über die Gap-Analyse bis hin zur Entwicklung einer umfassenden Strategie zur Bewältigung der Compliance-­Herausforderungen.

Termin:
Mittwoch, 8. Mai, 14–15 Uhr, online per Teams

Weitere Informationen erhalten Sie unter:
www.ihk.de/braunschweig/nis2.
3/2024