Cyberbedrohungslage: Keine Panik vor NIS-2

Angesichts der derzeitigen Cyberbedrohungslage ist es zwingend erforderlich, dass sich Unternehmen mit der Thematik auseinandersetzen müssen. Aus diesem Grund sollten es die Betroffenen nicht als Zwang und zusätzliche Bürokratisierung sehen, sondern als Weckruf, das sowieso unbedingt Notwendige endlich anzugreifen – im Sinne des Wirtschafsschutzes. Dabei gilt es, analog zur damaligen Inkraftsetzung der DSGVO, mit gesundem Menschenverstand vorzugehen: Das NIS2UmsuCG verlangt von den Unternehmen in erster Linie funktionierende Prozesse und Strukturen, allen voran ein systematisches Risikomanagement.

Nur mit einem sinnvollen Risikomanagement identifizieren Sie die für Sie zutreffenden Szenarien. Sie entscheiden, welche Werte schützenswert für Sie sind und wie groß die Risiken bezüglich Informationssicherheit für Ihr Unternehmen sind. Damit wird auch klar, dass nicht zwingend für jedes Unternehmen dieselben Maßnahmen die richtigen sind – und eben auch nicht in einem Gesetz festgeschrieben werden können.

Unabhängig von den Ergebnissen aus dem Risikomanagement sollten Sie dringend Evergreen-Maßnahmen durchführen. Dazu zählen etwa regelmäßige Awareness-Trainings wie Schulungen oder Aktionen und weitere Basis-Absicherungen, wie etwa sichere Authentifizierungsmethoden (z.B. Multifaktor Authentifizierung, Passwörter, Passkeys ...) und Zutrittsregelungen.

Grundsätzlich gilt: Wenn Sie bisher noch nichts zur Informationssicherheit in die Wege geleitet haben, sollten Sie auf jeden Fall jetzt in das Thema einsteigen.

Von einer großflächigen Prüfung des BSI nach Inkrafttreten des Gesetzes wird zwar aktuell nicht ausgegangen, trotzdem wird von offiziellen Stellen die dringende Empfehlung ausgesprochen, frühestmöglich mit einem dokumentierten Risikomanagement zu beginnen. Damit weisen Sie zum einen nach, dass ihr Unternehmen in der Umsetzung der Anforderungen ist. Zum anderen generieren Sie auch wirklich einen spürbaren Mehrwert, wenn Sie das Risikomanagement ernst nehmen (was Sie unbedingt sollten). Damit setzen Sie konkrete für Sie passende Maßnahmen zur Optimierung Ihrer Cybersecurity um.

Wenn Sie nun schon im Flow sind und den Mehrwert der Informationssicherheit für Ihr Unternehmen rundherum nutzen möchten, sollten Sie über die Einführung eines Managementsystems für Informationssicherheit nachdenken. So bleiben Sie wirklich sicher im Business.

Wer von NIS-2 betroffen sein wird und wie eine Umsetzung der Anforderungen konkret aussehen kann, zeigen wir Ihnen in einem Live-Webinar am 11. Juli 2024. Zu der kostenfreien Veranstaltung können Sie sich über den Link anmelden.

Regina Stoiber
Datenbeschützerin GmbH, Regen