Keine Panik vor NIS2! Unser IT-Sicherheitsexperte Thomas Lundström empfiehlt Gelassenheit und gibt die besten Tipps, wie Sie sich bestens für NIS2 rüsten und sicher in die Cyber-Zukunft schauen.
Wenn wir über NIS2 sprechen, wirkt es wie ein weiteres kompliziertes Regelwerk, das auf uns zukommt. Kannst du uns kurz über den aktuellen Stand informieren?
Thomas Lundström: Die NIS-2-Richtlinie stellt eine Weiterentwicklung der bestehenden Vorschriften zum Schutz kritischer Netz- und Informationssysteme in Europa dar. Angesichts der zunehmenden Bedrohungen durch Cyberkriminalität zielt sie darauf ab, die Sicherheit dieser Systeme zu stärken und die Gesamtsicherheit in Europa zu erhöhen. Sie legt für Unternehmen in kritischen Sektoren und von besonderem öffentlichen Interesse Mindestanforderungen an die IT-Sicherheit sowie Meldepflichten für Sicherheitsvorfälle fest.
Dabei baut NIS2 auf der bereits bestehenden Richtlinie von 2016 auf, die in Deutschland durch das IT-Sicherheitsgesetz 2.0 umgesetzt wurde. Mit NIS2 wird jedoch der Adressatenkreis erheblich erweitert. Die Frage, ob ein Unternehmen unter die neue Richtlinie fällt, hängt von Kriterien wie der Anzahl der Beschäftigten und dem Umsatz ab. (Mehr dazu erfahren Sie hier.)
Das klingt nach einer Menge bürokratischer Hürden…
Thomas Lundström: Was die Reihe der Meldepflichten angeht, können wir noch nicht viel sagen. Das wird alles gerade diskutiert. Wenn wir uns die technischen Dinge anschauen, die die Direktive vorsieht, ist nichts dabei, was ich jetzt als völlig übertrieben bezeichnen würde. Die meisten Vorgaben von NIS2 sind Maßnahmen, die Unternehmen ohnehin ergreifen sollten, um ihre eigene Sicherheit zu gewährleisten.
Welche konkreten technischen Maßnahmen müssen Unternehmen umsetzen, um NIS2 zu erfüllen?
Thomas Lundström: Zuallererst müssen Unternehmen ihre IT-Risiken transparent identifizieren und Mechanismen zur Erkennung von Sicherheitsvorfällen einführen, beispielsweise durch die Implementierung eines SIEM-Systems. Diese Systeme sind darauf ausgerichtet, verdächtige Aktivitäten zu erkennen und angemessen darauf zu reagieren. Microsoft und die führenden Firewall-Hersteller bieten SIEM-Systeme und Security Operations Center als Services an, sodass Sie Ihre IT-Abteilung nicht 24/7 besetzen müssen.
Desweiteren sollten Unternehmen sicherstellen, dass sie bei einem Sicherheitsvorfall angemessen reagieren können. Hierzu gehören die Entwicklung eines Notfallplan und regelmäßige Tests, ob mit dem Backup wirklich die komplette Organisation wieder zum Leben erweckt werden kann. Dafür brauchen Sie einen Anlaufplan, der bestenfalls nicht im SharePoint liegt, sondern dort, wo Sie im Notfall auch rankommen. All das zu organisieren, wäre planvolles Krisenmanagement.
Schließlich gilt es noch das Lieferkettenzuverlässigkeitsgesetz umzusetzen, um die Sicherheit der Lieferkette zu gewährleisten und potenzielle Risiken zu minimieren.
Lieferkettengesetz ist wieder so ein Wortungetüm, vor dem man am liebsten weglaufen möchte…
Thomas Lundström: Auf diesem Gebiet sind wir alle keine Helden. Letztendlich bedeutet es nur, dass Unternehmen gemäß NIS2 auch ihre Lieferketten hinsichtlich Netzwerk- und IT-Sicherheit überprüfen müssen. Das heißt, dass auch alle Zulieferer strenge Sicherheitsstandards einhalten müssen und somit unter die neue EU-Richtlinie fallen, um die NIS2-Anforderungen zu erfüllen. Das BSI bietet dazu mit dem Bill of Materials einen empfehlenswerten Handlungsleitfaden.
Im Grunde handelt es sich also um bewährte Praktiken und Prozesse, die Unternehmen bereits umsetzen sollten, um ihre IT-Sicherheit zu stärken. Oftmals hapert es dann jedoch in der Praxis an der Umsetzung. Hast du für unsere Leser konkrete Tipps zum Sofort-starten?
Thomas Lundström: Der sofortige Start ist entscheidend, um später Hauruck-Aktionen zu vermeiden. Auch wenn die neue Richtlinie national noch nicht verabschiedet ist, sind die geforderten technischen Maßnahmen zur Stärkung der Cyber-Resilienz klar definiert.
Ein erster Schritt besteht darin, Informationssicherheit als grundlegende Säule zu etablieren. Dabei können Sie auf gültige und erprobte Normen zurückgreifen; wer z.B. schon ISO 27001 einsetzt, hat in der Regel alle Anforderungen erfüllt.
Des Weiteren sollten Sie die Umsetzung und Integration erforderlicher technischer Lösungen beschleunigen, die Angreifern das Leben schwer zu machen. Dazu gehört die Überprüfung von Kryptographie-Richtlinien und die Einführung der Multi-Faktor-Authentifizierung. Dies ist alles kein Hexenwerk, aber verbunden mit Aufwand und Kosten.
Haben Sie auch Zero Trust als Teil Ihrer Strategie auf dem Schirm und führen Sie Awareness-Schulungen und Sensibilisierungsmaßnahmen für alle Mitarbeiter durch. Dies hilft dabei, die Risiken im IT-Betrieb zu verstehen und anzugehen.
Bereit für NIS2? Überprüfen Sie jetzt mit dem SoftEd NIS2-Checker!
Machen Sie den NIS2-Check für Ihr Unternehmen und erfahren Sie, ob die NIS2-Richtlinie für Sie relevant ist. Jetzt überprüfen und rechtzeitig handeln! Zum NIS-2 Checker
