Nachdem die NIS2-Richtlinie Ende 2022 veröffentlicht wurde, liegt inzwischen auch ein erster Referentenentwurf zum deutschen Umsetzungsgesetz vor. Betroffene Unternehmen haben noch bis Oktober 2024 Zeit, entsprechende Maßnahmen umzusetzen.
Doch was bedeutet die neue Richtlinie? Wen betrifft sie? Was müssen KRITIS- und andere von NIS2 betroffene Unternehmen jetzt tun? Wir betrachten gesetzliche Anforderungen und Umsetzungsmöglichkeiten und stellen darauf basierend fünf Gebote auf, denen Unternehmen jetzt folgen sollten:
1. Gebot: Kenne und bewerte deine Risiken!
Um notwendige und geeignete Schutzmaßnahmen identifizieren zu können, sollten Unternehmen mit einer umfassenden Analyse und Bewertung ihrer Cyberrisiken beginnen. Dabei können erfahrene Berater helfen, die einen objektiven Blick von außen beisteuern können. Im Blick stehen dabei die vorhandenen Ressourcen (Systeme, Mitarbeiter, etc.) ebenso wie mögliche Bedrohungen und ausnutzbare Schwachstellen. Unter Berücksichtigung der Eintrittswahrscheinlichkeit und des zu erwartenden Schadens kann dann in der Folge ein angemessenes Risikomanagement implementiert werden.
2. Gebot: Plane deine Sicherheitsmaßnahmen und setze sie um!
Eine Auflistung der regulatorischen Mindestanforderungen findet sich in Art. 21 der NIS2-Direktive. Dazu zählen unter anderem Cyberrisikomanagement, Incident Response und Business Continuity Management, Schwachstellenmanagement, sowie Sicherheitsmaßnahmen innerhalb der Lieferkette.
3. Gebot: Gehe deinen regulatorischen Verpflichtungen nach!
NIS2 betrifft einen umfangreichen Kreis von kritischen Einrichtungen, differenziert nach „wesentlichen“ und „wichtigen“ Sektoren, wobei im Regelfall Unternehmen ab 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz unter die neue Regelung fallen. Nach der bisherigen gesetzlichen Regelung in Deutschland (IT-Sicherheitsgesetz 2.0) sind regelmäßige Sicherheits-Audits notwendig, um die Compliance nachzuweisen. Es ist zu erwarten, dass dies auch unter NIS2 der Fall sein wird. Zusätzlich werden zukünftig unter bestimmten Umständen auch außerzyklische Kontrollen durch die Aufsichtsbehörden erfolgen können.
Eine weitere Verschärfung gegenüber der bisherigen Regelung stellt eine Verkürzung der Meldefrist für Vorfälle dar: Künftig muss nach einem erheblichen Sicherheitsvorfall schon innerhalb von 24 Stunden eine Vorwarnung an die Meldestelle erfolgen.
4. Gebot: Teste die Wirksamkeit deiner Maßnahmen!
Um die Wirksamkeit der ergriffenen Sicherheitsmaßnahmen zu prüfen, sollten Unternehmen auf Dienstleistungen wie Penetrationstests oder Red Teaming zurückgreifen. Diese können vorhandene Schwachstellen identifizieren und ergänzende Maßnahmen zu deren Schließung empfehlen.
5. Gebot: Bereite dich auf den „Fall der Fälle“ vor!
Betroffene Einrichtungen müssen darauf vorbereitet sein, trotz aller Schutzmaßnahmen zum Opfer eines erfolgreichen Angriffs zu werden. Für diesen Fall sollten sie wirksame Incident-Management-Prozesse implementieren und regelmäßig einüben. Externe Incident-Response-Dienstleister stellen dabei eine wichtige Unterstützung dar.
Weitere Informationen zum Thema erhalten Sie in diesem Webinar, das wir gemeinsam mit unserem Partner infodas durchgeführt haben: