Angriffe von Cyberkriminellen haben seit geraumer Zeit Hochkonjunktur. Forscher warnen, das gerade der zunehmende Reifegrad von KI-Technologien in diesem Umfeld, zukünftig zu immer mehr Cyberangriffe führen können. Nicht nur entstehen der Wirtschaft durch solche Angriffe jährlich Verluste in Milliardenhöhe, auch das tägliche Leben ist durch Cyber-Angriffe auf kritische Infrastrukturen wie Klärwerke, Strom, Gas-Pipelines und Krankenhäuser stark bedroht. Hier könnten Ausfälle besonders große Schäden anrichten.
Um die kritische Infrastruktur (KRITIS) besser zu schützen, hat die Europäische Union Ende des Jahres 2022 die Richtlinie „Netzwerk- und Informationssysteme 2“ (NIS2) verabschiedet. Neben wesentlich erhöhten Anforderungen im fachlichen Kontext vergrößert sich durch die Einführung auch die Anzahl der Unternehmen, für die dieses Gesetz gilt.
Wer von den neuen Richtlinien betroffen ist
Unternehmen, die dem KRITIS-Sektor zugeordnet werden, haben nach Inkrafttreten 21 Monate Zeit, alle enthaltenen Vorgaben zu erfüllen. Doch welche Unternehmen und Sektoren sind eigentlich von den neuen Sicherheitsstandards betroffen?
Schon jetzt ist für die allermeisten Firmen mit mehr als 50 Mitarbeitern und 10 Millionen Euro Umsatz, die in irgendeiner Weise Teil einer Lieferkette im KRITIS-Bereich sind, NIS2 relevant. Hierzu zählen neben der Energieversorgung, dem Gesundheitssystem, dem Transportwesen, Banken und Finanzmärkte auch Unternehmen, die Internetknoten, DNS-Dienste und Cloud-Infrastrukturen anbieten. Ebenfalls betroffen sind Post- und Kurierdienste, die Abfallwirtschaft, die Chemie-Branche, Ernährung, Industrie, digitale Dienste und Forschung. Diese werden jedoch nicht zu einem genauso hohen Standard gehalten, müssen jedoch auch die Einhaltung von NIS2 einhalten.
Die nationale Gesetzgebung zieht mit dem IT-Sicherheitsgesetz 3.0 nach
Mit NIS2 werden auch in Deutschland entsprechende Erlasse – etwa das IT-Sicherheitsgesetz 3.0 – folgen. Viele Experten gehen davon aus, dass in diesem nationalen Gesetz weitere Konkretisierungen und gegebenenfalls sogar Verschärfungen enthalten sein werden.
Das Problem: Viele Organisationen – von KMUs bis hin zu großen Unternehmen und den entsprechenden Zulieferern – sind sich ihrer Zugehörigkeit zu den betroffenen Sektoren gar nicht wirklich bewusst. Sie verfügen so auch oft über zu wenig Metriken und Audits sowie über kein Information Security Management System (ISMS Diese Bereiche sind in Zukunft für die Einhaltung von NIS2 jedoch unerlässlich. Für Unternehmen, die bisher noch keinen Schwerpunkt auf diese Bereiche gelegt haben, bedeutet dies viel Arbeit und Planung.
Vorbereitung ist das A und O
Was sollten betroffene Unternehmen nun tun, um sich für NIS2 zu rüsten? Bevor überstürzt Entscheidungen getroffen werden, Investitionen zu früh getätigt werden oder operative Hektik entsteht, sollte sich zunächst einige relevante Fragen gestellt und wichtige Punkte geklärt werden. Dazu gehören:
- Management von Assets
Welche Assets gibt es im Unternehmen und wer ist für diese zuständig? Wo befinden sich deren Schwachstellen und welche Risiken bergen sie? - Management von Daten
Wie sind relevante Daten gespeichert und wer arbeitet damit? Gibt es Konzepte für neue und ausscheidende Mitarbeiter, um deren Zugriffe zu kontrollieren? Sind Administrator-Rechte reguliert und eingeschränkt? Grundsätzlich gilt: Mitarbeiter sollen nur auf notwendige Daten Zugriff haben. - Reaktion im Ernstfall
Wurden Arbeitsabläufe erarbeitet, getestet und dokumentiert, die bei Cyber-Angriffen durchgeführt werden sollen? Werden Sicherheitsvorfälle sorgfältig analysiert und bestehen Schutzmaßnahmenkonzepte im Angriffsfall? Unternehmen sollten sich damit beschäftigen, wie gut sie in Sachen Sicherheitspartnerschaften aufgestellt sind, denn professionelle Hilfe kann im Notfall ein entscheidender Faktor sein.
Jetzt „NIS“-ready werden mit Serviceware
Geht man von einer realistischen Projektdauer von 24 Monaten bis zur endgültigen Etablierung aller Maßnahmen aus, ist es für Unternehmen jetzt höchste Zeit sich mit dem Thema auseinanderzusetzen.
Erfahren Sie, welche regulatorischen Maßnahmen Sie jetzt umsetzen müssen und was die richtigen Maßnahmen für Ihr Unternehmen sind, um beispielsweise die vorgesehenen unangekündigte Audits oder Security Scans bestehen zu können.
Serviceware hilft Ihnen dabei, die Anforderungen an Ihr Unternehmen zu verstehen und alle zeitkritischen Maßnahmen umgehend in die Wege zu leiten!
Lassen Sie sich keine Informationen entgehen und lernen Sie in unserem Webinar „Die NIS-2 Richtlinie und das IT-Sicherheitsgesetz 3.0“ im Detail, wie Sie Ihr Unternehmen optimal auf die Herausforderungen von NIS2 und dem IT-Sicherheitsgesetz 3.0 vorbereiten.
