1 17 Table of Contents 19 52

NET 9 2023

18 www.net-im-web.de 9/23 Neue Mindestanforderungen an die Cybersicherheit müssen. Das ist wichtig, denn Lieferketten werden immer komplexer, und schon der Ausfall eines kleinen Bausteins kann heute zu kritischen Engpässen führen. Wie gefährlich Supply-Chain-Angriffe sein können, hat zum Beispiel der Solar- winds-Hack gezeigt. Alles in allem wirkt sich NIS2 also auf eine breite Masse an Unterneh- men aus, von denen viele erst auf den zweiten Blick feststellen, dass sie betroffen sind. Welche Neuerungen bringt NIS2? Die neue Direktive erhöht die Mindest- anforderungen an die Cybersicherheit und nimmt Geschäftsführer in die Pflicht. Sie haften dafür, dass die vorgeschriebenen Standards eingehalten werden. Falls es zu einem Cyberangriff kommt, gelten strenge Meldepflichten ähnlich wie bei der DSGVO. Unternehmen müssen den Vorfall dann innerhalb einer bestimmten Frist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Damit will der Gesetzgeber verhindern, dass Betroffene einen Cyberangriff ver- tuschen, um ihre Reputation zu schützen. Außerdem schärft NIS2 die europäische Rechtsprechung und ver- tieft die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Be- treibern. So sollen zumBeispiel nationale Computer Emergency Response Teams eingerichtet werden, die grenzübergrei- fend miteinander kooperieren und In- formationen austauschen. Parallel dazu soll eine Schwachstellendatenbank auf EU-Ebene aufgebaut werden. Was sollten Betroffene jetzt tun? NIS2 schreibt technische und organisato- rische Security-Maßnahmen nach Stand der Technik vor. Dazu zählt zumBeispiel eine Methodik, um Cyberrisiken einzu- schätzen, und eine Strategie, um die Ser- vice- undGeschäftskontinuität zu sichern. Pflicht sind außerdem Maßnahmen zur Prävention, Detektion und Bewältigung von Cybervorfällen. Im Grunde geht es darum, ein Informationssicherheits- Managementsystem (ISMS) aufzubauen. Dieses definiert Regeln, Prozesse, Metho- den, Tools undVerantwortlichkeiten, um die Cybersicherheit imUnternehmen zu steuern und zu kontrollieren. Eine Orien- tierungshilfe bietet zum Beispiel der BSI Grundschutz und die ISO/IEC 27001. Die meisten Unternehmen ha- ben bisher nur Puzzleteile eines ISMS etabliert. Zunächst ist es daher wichtig, Lücken zu identifizieren und diese dann Schritt für Schritt zu schließen. Zahlrei- che Rollen müssen besetzt und Policies definiert werden. All das ist meist auf- wendiger als gedacht und erfordert Zeit. Deshalb ist es empfehlenswert, dasThema möglichst bald in Angriff zu nehmen. Ein externer Dienstleister, der Erfahrung in der Einführung undWeiterentwicklung eines ISMS hat, kann dabei mit Rat und Tat unterstützen. Bitte nicht ignorieren Ähnlich wie bei der DSGVO verleiht der Gesetzgeber seinen Anforderungen Nachdruck, indem er bei Verstößen hohe Bußgelder verhängt. Strafen und Enforce- ment Actions werden deutlich ausgeweitet – auf Maximalstrafen von mindestens 7 oder 10 Mio. €, je nach Sektor. Um die Einhaltung der NIS2- Anforderungen zu überprüfen, kann das BSI Audits durchführen oder bei Dritten beauftragen.WerdenDefizite aufgedeckt, erhalten betroffene Unternehmen eine Frist, innerhalb der sie nachbessern müs- sen. Nicht zuletzt haften Geschäftsführer persönlich, wenn sich bei der forensischen Untersuchung eines Cybervorfalls heraus- stellt, dass das Unternehmen Security- Vorgaben missachtet hat. NIS2 als Chance Wer bisher schon dem Kritis-Bereich zugeordnet war, hat vermutlich vieles, was NIS2 fordert, bereits umgesetzt. Für Unternehmen, die neu dazukommen, fällt der Aufwand höher aus. Daher empfiehlt es sich, möglichst bald zu starten. Auch wenn NIS2 zunächst einmal Arbeit ver- ursacht, lohnt sich die Investition. Denn die Cybersicherheit zu erhöhen, ist ange- sichts der wachsenden Bedrohungslage unverzichtbar. In der Praxis haben es Security- Verantwortliche oft schwer, Budget für Se- curity-Maßnahmen freizuschlagen. Daher braucht es den Druck durch gesetzliche Vorgaben. NIS2 hängt das Thema Cyber- security jetzt ganz oben auf Geschäftslei- tungsebene auf und macht dadurch die Bahn frei für Veränderung. Security-Ver- antwortliche dürften es künftig also leichter haben, CEOs davon zu überzeugen, stärker in Cybersicherheit zu investieren. Um möglichst schnell und ef- fizient zur NIS2-Compliance zu gelan- gen, empfiehlt sich die Zusammenarbeit mit einem erfahrenen Managed Security Services Provider. Er kann helfen, die Se- curity-Strategie zu überprüfen, ein ISMS aufzubauen, geeignete Security-Technik auszuwählen und zu betreiben. www.indevis.de Dirk Wocke Alles in allem wirkt sich NIS2 auf eine sehr breite Masse an Unternehmen aus, von denen viele jedoch erst auf den zweiten Blick feststellen, dass sie be- troffen sind

RkJQdWJsaXNoZXIy MjE2Mzk=