Umsetzung der NIS-2-Richtlinie

Herausforderungen für Unternehmen

Nicht nur die Meldepflicht mit ihren präzisen Vorgaben über den Ablauf, Inhalt und Zeitrahmen stellt für Unternehmen hinsichtlich der Umsetzung eine Herausforderung dar. Die größte Umstellung bringen vielmehr die zusätzlichen Sicherheitsanforderungen durch NIS-2 mit sich: Sie müssen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen [zu] ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme […] zu beherrschen und die Auswirkungen von Sicherheitsvorfällen […] zu verhindern oder möglichst gering zu halten.” Damit schreibt NIS-2 Firmen vor, ihre Sicherheitsmaßnahmen an den Stand der Technik sowie an die individuelle Gefährdungslage anzupassen. Die Schutzmaßnahmen müssen zudem einem gefahrenübergreifenden Ansatz folgen: Es gilt also nicht nur Cyberangriffe zu berücksichtigen, sondern alle Arten von Vorfällen, die die eigene IT-Umgebung gefährden können.

Vor allem die fristgerechte Implementierung stellt Unternehmen vor große Herausforderungen. Laut Cisco Cybersecurity Readiness Index 2023 haben bislang lediglich elf Prozent der Unternehmen eine bestmögliche Vorbereitung auf Cyberangriffe implementiert. Unternehmen kämpfen u.a. mit dem Fachkräftemangel in der IT-Abteilung; laut Digital Office Index 2022 der Bitkom fehlt es jedem vierten Unternehmen am nötigen Personal. Zudem haben Unternehmen mit fehlender Verfügbarkeit von aktueller Sicherheitstechnik zu kämpfen: Hardwarekomponenten haben aktuell eine Lieferzeit von bis zu zwölf Monaten.

Externen Partner hinzuziehen

Mit Blick auf die Gesamtsituation ist es unabdingbar, so früh wie möglich mit der Umsetzung der NIS-2-Anforderungen zu beginnen. Unternehmen müssen zunächst prüfen, ob ihr Betrieb überhaupt von der Richtlinie betroffen ist: Ist man in den genannten Sektoren tätig, erreicht man die Schwellenwerte, dient man zur Ausführung einer kritischen Tätigkeit oder ist man Teil einer durch KRITIS betroffenen Lieferkette?

Ein externer Partner wie die SRC GmbH kann bei der Feststellung, ob NIS-2 für das jeweilige Unternehmen gilt und anzuwenden ist, unterstützen und dann helfen, die relevanten Anforderungen umzusetzen. Notwendig sind zum Beispiel die Erstellung und Implementierung von Risikoanalyse- und Sicherheitskonzepten für Informationssysteme, die Bewertung der Wirksamkeit der bereits bestehenden Risikomanagement-Maßnahmen und ein Konzept für die Bewältigung von Sicherheitsvorfällen. Backup- und Krisenmanagement müssen implementiert und die Meldefristen bekannt sein. Zudem müssen die Sicherheit der Lieferkette gewährleistet sein und regelmäßige Cybersicherheits-Schulungen stattfinden.

SRC verfügt über langjährige Erfahrung in Beratung und Prüfung der durch KRITIS und NIS vorgegebenen Anforderungen. Sie kann Unterstützung bei der korrekten Interpretation, Umsetzung sowie eine fortlaufende Umsetzungsprüfung von NIS-2 leisten. Bei Anpassungen und Aktualisierungen der Richtlinie sind Unternehmen so stets auf dem aktuellen Stand. Durch die Umsetzung von NIS-2 können Unternehmen ihre IT technisch sowie organisatorisch stärken. Die Standardisierung von Sicherheitsmaßnahmen kann die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs reduzieren.

Fazit

Die rechtzeitige Umsetzung der NIS-2-Richtlinie stellt für Unternehmen eine Herausforderung dar: Möglicherweise sind sie durch den erweiterten Geltungsbereich neu betroffen und für sie gelten nun verschärfte Anforderungen und Pflichten. Mit einem externen Partner gewinnen Unternehmen Klarheit, wo sie stehen und welche Maßnahmen ergriffen werden müssen, um ihr Sicherheitsniveau in der Breite angemessen zu erhöhen und die Compliance hinsichtlich der neuen EU-Richtlinie sicher zu stellen.

Autor: Florian Reichelt, SRC Security Research & Consulting GmbH

src-gmbh.de/