Zur Sicherheit verpflichtet: NIS-2 erfordert mehr Cyberschutz von Unternehmen
Für Unternehmen und Betreiber kritischer Infrastruktur (KRITIS) ist Cybersecurity wichtiger denn je. Die Gefahr durch Cyberkriminalität wächst stetig und die Angriffe werden immer perfider und unberechenbarer. Auf diese Entwicklung hat die EU mit der neuen NIS2-Richtlinie reagiert. Diese wird die bisherige NIS-Richtlinie erweitern und ins nationale Gesetz überführt.
Das neue Gesetz zur Umsetzung und Stärkung der Cybersicherheit (NIS2UmsuCG) setzt die EU-Richtlinie NIS2 um, die ab 17. Oktober 2024 für betroffene Unternehmen verbindlich wird. Diese Unternehmen müssen dann weitreichende Cybersecurity-Maßnahmen einführen. Dazu zählen Risikomanagement-Konzepte, Notfallpläne und ein System zur schnellen Meldung von Sicherheitsvorfällen an das BSI. Zu den technischen Anforderungen gehören regelmäßige Datensicherungen, Mitarbeiterschulungen, Schwachstellenmanagement, Kontrollkonzepte sowie Verschlüsselungen. NIS2 erfordert auch die Absicherung von Lieferketten, damit Cyberkriminelle nicht über Zulieferer auf Systeme anderer Unternehmen zugreifen können.
Die gute Nachricht: NIS2-Konformität ist eine lösbare Aufgabe
Die Umsetzung der NIS2-Richtlinie ist eine Herausforderung, wenngleich sie Standards voraussetzt, die als Best Practices oftmals bereits bekannt sind. So müssen Unternehmen, die sich kontinuierlich zeitgemäß schützen, wahrscheinlich deutlich weniger nachbessern. Klar ist aber auch, dass Unternehmen und Institutionen, die jetzt erstmals unter das neue Gesetz fallen und bis dato eher wenig Wert auf Cybersicherheit gelegt haben, umdenken müssen. Hier ist dann professionelle Beratung gefragt, um entsprechende bedarfsorientierte Anpassungen vorzunehmen. IT-Sicherheitsexperten sind mit den NIS2-Vorgaben vertraut und können dabei helfen, die tatsächlichen Bedarfe richtig einzuschätzen und gesetzeskonforme Sicherheits- und Risikomanagement-Konzepte zu entwickeln.
In 5 Schritten auf der sicheren Seite
Um die NIS2-Richtlinie und die damit verbunden Anforderungen effizient zu erfüllen, empfiehlt sich eine Vorgehensweise in fünf Schritten. Damit Unsicherheiten gar nicht erst aufkommen, sind Berater mit Erfahrung im Betrieb kritischer Infrastruktur gefragt. Diese Spezialisten unterstützen Sie bei der Entwicklung entsprechender Konzepte unter Berücksichtigung der jeweiligen Sicherheitsanforderungen.
1. Die Betroffenheitsanalyse
Der erste Schritt besteht darin, zu überprüfen, ob das eigene Unternehmen von der neuen NIS2-Gesetzgebung betroffen ist. In diesem Zusammenhang herrscht bei vielen Firmen und Institutionen oft noch Unklarheit. Zur Klärung wichtiger Schlüsselfragen sollten spezialisierte IT-Sicherheitsberater oder Compliance-Experten hinzugezogen werden: Liegt das Unternehmen in der Nähe der offiziellen Schwellenwerte für Umsatz oder Mitarbeiteranzahl? Und wenn ja, sollte NIS2 ernsthaft berücksichtigt werden?
Beratung mit Blick über den Tellerrand: Auch wenn die Schwellenwerte nicht erreicht werden, lohnt es sich, bestehende Sicherheitskonzepte zu überprüfen und auf aktuellem Stand zu halten. Die Bedarfe Ihres Unternehmens werden in Augenschein genommen, um konkrete Gefahrenpotenziale aufzuzeigen. Zudem wird Ihnen eine professionelle Einschätzung zu Schwachstellen sowie einer möglichen Optimierung der Cyberstrategie aufgedeckt.
2. Risikobewertung
Ein verpflichtender Bestandteil für alle von der NIS2-Richtlinie betroffenen Unternehmen ist die Risikobewertung, auch für die gesamte damit verbundene Lieferkette. Hier gilt es, entscheidende Fragen richtig zu beantworten und die Problematik exakt einzuschätzen: Sind meine Zulieferer NIS2-relevant? Liefern sie Komponenten, Geräte oder Dienstleistungen, die für kritische Infrastrukturen von Bedeutung sind? Wenn ja, sind Systeme zur Bedrohungserkennung unverzichtbar? Gerade Letzteres beantwortet sich leider von selbst. Denn das Einzige, was man sich heute nicht mehr fragen muss, ist, ob ein Unternehmen angegriffen wird, sondern wann es geschieht.
Das Bewusstsein für Gefahren steht im Fokus: Vor allem bei kleinen und mittelgroßen Unternehmen fehlen häufig fortschrittliche Sicherheitslösungen. So sind Security Information and Event Management (SIEM) oder Endpoint Detection and Response (EDR) oft unbekannt. Es hängt vom Aufbau des Unternehmens ab, ob es Managed Detection and Response (MDR), Extended Detection and Response (XDR) oder Model-Driven Architecture (MDA) benötigt. Auch für diese komplexen Sicherheitsthemen empfiehlt es sich, erfahrene Spezialisten mit einzubeziehen. Sie zeigen Ihnen auf, wie besonders schützenswerte Bereiche gesichert werden können und Schwachstellen zu bewerten sind. Sie unterstützen auch dabei, gemeinsam eine geeignete Sicherheitsstrategie zu entwickeln.
3. Einführung von Informationssicherheits-Managementsystem (ISMS)
Betroffene Unternehmen und Organisationen sollten nicht nur IT-Sicherheitssysteme bestehend aus Hard- und Software berücksichtigen. Es empfiehlt sich auch die Einbindung eines Information Security Management Systems (ISMS), das bestimmte Verfahren und Regeln etabliert, mit denen die Informationssicherheit kontinuierlich definiert, gesteuert, kontrolliert und verbessert wird. Ein ISMS hilft dabei, die Informationssicherheit in Ihrem Unternehmen effektiv zu verwalten und Fortschritte der aktuellen Sicherheitsoptimierungen zu dokumentieren. Die so gewonnenen Erkenntnisse können anschließend auf neue Bedrohungen oder Regularien angewendet werden.
4. Cybersecurity-Konzeption
Nachdem man durch Analysen und Einschätzungen ein klares Bild von Ihrem Unternehmen oder Ihrer betroffenen Organisation und der bestehenden Cybersecurity gewonnen hat, wird es spannend. Nun können gezielte Maßnahmen in Angriff genommen werden. Auf Grundlage der gewonnenen Erkenntnisse können konkrete Sicherheitskonzepte entwickelt werden. Dabei orientiert sich das Cybersecurity-Team an offiziellen Sicherheitsstandards wie dem BSI-Grundschutz, der ISO 2700x und einer Zero-Trust-Architektur. Insbesondere der BSI-Grundschutz liefert im Grundschutzkompendium detaillierte Empfehlungen und Anleitungen zur Einbindung geeigneter Sicherheitsmaßnahmen.
Gesetzeskonform gut gewappnet: Auf Basis der erfüllten Standards und einer Zero-Trust-Architektur wird abgewogen, wie Sie Ihr Abwehrniveau weiter steigern können und welche Lösungen dafür empfehlenswert sind. Sobald diese Entscheidungen getroffen sind, haben Sie die wichtigsten Vorkehrungen abgeschlossen.
5. Implementierung von Hardware- und Softwarelösungen
Im letzten Schritt zur NIS2-Konformität kommen jetzt bedarfsgerechte Hardware- und Software-Lösungen ins Spiel. Diese wurden zuvor durch die Risikobewertung und das Cybersecurity-Konzept definiert. Jetzt können Sie aus geeigneten Möglichkeiten auswählen, wie Sie die Sicherheit Ihres Unternehmens effektiv erhöhen können. Dabei behalten Sie den kalkulierbaren Aufwand im Blick und erfüllen gleichzeitig die gesetzlichen Vorgaben. Der Fokus liegt immer zuerst auf der Optimierung bereits bestehender Prozesse und Systeme. Erst wenn diese den neuen gesetzlichen Anforderungen nicht mehr genügen, sind Sie auf eine Erweiterung Ihrer Sicherheitsarchitektur angewiesen.
envia TEL berät individuell zu den neuen NIS2-Anforderungen
An Cybersecurity führt heute und in Zukunft kein Weg vorbei. Als Geschäftskunde von envia TEL profitieren Sie von unserem Know-how im Bereich Cybersecurity. Neben unserer Beratungskompetenz bieten wir Ihnen ausgewählte Technologien und Lösungen, die Ihnen dabei helfen können, die geforderten Sicherheitskriterien zu erfüllen und das Sicherheitsniveau Ihres Unternehmens zu optimieren. Mit unserem neuen SAFE-Modell bieten wir Ihnen ein Framework, das Ihnen dabei hilft, Ihr aktuelles Sicherheitsniveau zu beurteilen und effiziente Wege zu einer stärkeren Absicherung aufzuzeigen. Vereinbaren Sie einen Termin mit unserem IT-Sicherheitsteam, um die ersten Schritte zu besprechen und Klarheit zu schaffen. Wir freuen uns auf Ihre Anfrage zu unserem neuen enSecure Produktportfolio.