NIS2-Richtlinie in 10 Schritten umsetzen

Data Privacy von Chantal Nußbaum

alexandersupertramp/shutterstock.com

Die NIS2-Richtlinie stellt eine komplexe Herausforderung für betroffene Unternehmen dar. Viele Unternehmen sind aktuell ratlos und fragen sich, wie sie die NIS2-Anforderungen umsetzen sollen.

Durch die NIS2-Richtlinie soll ein EU-weites Cybersicherheitsniveau etabliert werden. Von der Richtlinie betroffene Unternehmen müssen strenge Sicherheitsmaßnahmen umsetzen. So sollen Netz- und Informationssysteme besser vor Angriffen geschützt werden. Mit unserem NIS2 Quick-Check stellen Sie schnell und einfach fest, ob ihr Unternehmen von der NIS2-Richtlinie betroffen ist.

Die NIS-2-Richtlinie bringt großen bürokratischen Aufwand mit sich. Dennoch ist die Umsetzung der Richtlinie mit der richtigen Strategie gut machbar. Wir haben den Prozess für Sie in zehn Schritten zusammengefasst.

1. Machen Sie sich mit den Anforderungen der NIS2-Richtlinie vertraut und bestimmen Sie zuständige Personen

Auch wenn die NIS2-Richtlinie für Sie womöglich wie ein Buch mit sieben Siegeln erscheint, gibt es mittlerweile viele öffentliche Informationen zur NIS2-Richtlinie. Derzeit finden zahlreiche Webinare oder Workshops zur NIS2-Richtlinie auf unterschiedlichen Plattformen statt. Mit unserem Webinar zur Umsetzung der NIS2 geben wir ebenfalls einen Einblick in die gegenwärtige gesetzliche Situation und wie eine Umsetzung gelingen kann. Auch durch unseren Blog informieren wir regelmäßig zur NIS2.

Ohne geregelte Koordination bringen Informationen jedoch nichts. Benennen Sie mindestens zwei Personen für eine koordinierte und strukturierte Steuerung.  Die Umsetzung der Informationssicherheit ist eine wichtige Aufgabe. Nur wenn Verantwortlichkeiten klar definiert und die Sicherheitsvorkehrungen gelebt werden, kann eine konforme Umsetzung gestaltet und nachhaltig gelebt werden. Mitarbeiter haben einen entscheidenden Anteil am Erfolg oder Misserfolg des Unternehmens. Doch nicht nur Mitarbeiter sind in der Pflicht. Die Unternehmensleitung wird bei der NIS2-Richtlinie hervorgehoben. Leitungsorgane müssen sich mit dem Thema NIS2 auseinandersetzen und entsprechende Schulungen zur Cybersicherheit absolvieren.

 

2. Den IST-Zustand erfassen: Nehmen Sie eine Bestandsaufnahme Ihrer gegenwärtigen Sicherheitsmaßnahmen und Prozesse vor

  • Szenario A: Sie stehen noch ganz am Anfang – Informationssicherheit hat bisher eine untergordnete Rolle im Unternehmen gespielt.
    Die grüne Wiese bietet Chancen für Wachstum und Verbesserung. Dadurch, dass noch keine oder weniger Strukturen aufgebaut wurden, haben Sie die Möglichkeit bestehende Prozesse aufzuarbeiten und genau zu betrachten. Orientieren Sie sich an gängigen Rahmenwerken wie die Norm ISO 27001 oder den IT-Grundschutz des BSI. Sollte das notwendige Know-how, zeitliche und personelle Ressourcen knapp sein, können externe Berater unterstützend zur Seite stehen.

  • Szenario B: Es gibt bereits grundsätzliche Strukturen der Informationssicherheit.
    Sie haben bereits Basiselemente der Cyber-Sicherheit, wie Datensicherungen, Firewall, Softwareupdates, sichere Passwörter (Passwortrichtlinie), Virenschutz und Zwei-Faktor-Authentisierung, implementiert. Auch hier lohnt sich der Blick in gängige Managementsysteme wie die ISO 27001 oder den BSI IT-Grundschutz. Erstellen Sie eine Übersicht über technische und organisatorische Maßnahmen, die Sie bereits nach den Rahmenwerken konform umsetzen. Eventuell fehlt es noch an der Dokumentations- und Nachweisführung.

  • Szenario C: Das Unternehmen ist bereits gut aufgestellt und nach einem ISMS-Standard zertifiziert.
    Sie arbeiten bereits nach einem ISMS-Standard und sind möglicherweise schon  zertifiziert. Nun gilt es genau hinzuschauen und die letzten Lücken zu identifizieren. Hier lohnt es sich, erfahrene Mitarbeiter und auch externe Experten ins Boot zu holen. Idealerweise lassen Sie sich von Externen auditieren, um mögliche Lücken zu finden oder um einen Nachweis für Ihre Konformität zu erlangen. Bei der NIS2-Richtlinie liegt das Augenmerk auf Krisenmanagement und sicheren Lieferantenbeziehungen. Hinweis: Derzeit ist eine ISMS-Zertifizierung im Hinblick auf die NIS2 nicht verpflichtend.

Generell gilt: Nehmen Sie eine Analyse Ihrer bestehenden Systeme, Prozesse und Dokumentation vor.

 

3. Vergleichen Sie den IST-Zustand mit den NIS2-Anforderungen (Soll-Zustand)

Anhand des IST-Soll-Vergleiches können Sie Defizite ausmachen und entsprechend technische und / oder technische Maßnahmen umsetzen. Bei der Auswahl technischer und organisatorischer Maßnahmen gilt es den Stand der Technik, die Implementierungskosten, den Umfang, die Unternehmensumstände sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Risiken zu berücksichtigen. Prüfen Sie, ob Sie Tools und Software für die Umsetzung benötigen. Eine ISMS-Software wie EDIRA kann bei der Etablierung eines ISMS unterstützen und Sie maßgeblich beim Umsetzungsprozess entlasten.

 

4. Entwickeln Sie einen Maßnahmenplan

Planen Sie die Umsetzung der technischen und organisatorischen Maßnahmen entlang der geforderten NIS2-Anforderungen und ggf. entlang eines ISMS-Rahmenwerkes wie ISO 27001 oder dem BSI IT-Grundschutz. Setzen Sie sich einen zeitlichen Horizont. Die Implementierung der geforderten Maßnahmen kann zäh und nervenaufreibend werden, wenn nicht kontinuierlich daran gearbeitet wird. Legen Sie dabei Verantwortlichkeiten fest und priorisieren Sie die Maßnahmen.

Die Umsetzung der NIS2-Richtlinie kann je nach Größe und Komplexität des Unternehmens variieren. Nach unserer Erfahrung dauert die Umsetzung zwischen 3 und 6 Monaten, in manchen Fällen auch bis zu 12 Monate.

 

5. Erstellen Sie eine Dokumentations- und Nachweisführung

Dokumentieren Sie relevante Prozesse und Maßnahmen Ihres Unternehmens. Diese sind zur Nachweisführung für ein wirksames ISMS und bei einer geplanten Zertifizierung essentiell. Wenn ein Norm-Standard verwendet wird, wird öfter von „dokumentierter Information“ gesprochen. Eine dokumentierte Information beschreibt eine „Information, die von einer Organisation gelenkt und aufrechterhalten werden muss“. Eine dokumentierte Information ist dann als solche anzusehen, wenn die Norm diese speziell vorschreibt. Ohne eine entsprechende Dokumentation und Nachweisführung, wird ein externes Audit nicht gelingen.

 

6. Führen Sie Risikoanalysen durch

Identifizieren Sie mögliche Bedrohungen, die auf das Unternehmen wirken können. Nehmen Sie eine Bewertung der Bedrohungen vor, indem Sie Eintrittswahrscheinlichkeiten und Schadenswerte feststellen. Dadurch erkennen Sie, welche Systeme und Prozesse kritisch für den Unternehmensbetrieb und dessen Aufrechterhaltung sind. Bei der Durchführung von Risikoanalysen kann eine ISMS-Software ebenfalls entscheidend unterstützen.

 

7. Regelmäßige Schulungen für Führungskräfte und Mitarbeiter

Die NIS2 Richtlinie schreibt die Schulung von Leitungskräften und Mitarbeitern zwingend vor. Informieren Sie sich über Schulungen zur Informationssicherheit, Cyber-Sicherheit und auch Datenschutz. Führungspersonen und Beschäftigte müssen kontinuierlich geschult werden, damit ein ISMS gelebt und auch eine NIS2-Konformität erreicht werden kann. Idealerweise wird schon beim Beschäftigungsbeginn geschult und Mitarbeitern über eine Informationsplattform (Intranet, Knowledgebase, interne Ordner, Leitlinien) über bestehende Prozesse zur Informationssicherheit und Cyberresilienz und Regeln informiert. Dabei unterstützt Sie auch unsere Lernplattform ETES Education. Der Umgang mit der IT-Infrastruktur, Meldevorgänge bei IT-Sicherheits- und Datenschutzvorfällen, das Verhalten bei der externen Kommunikation, sowie Informationsübermittlung nach Außen, muss allen bewusst sein.

 

8. KVP – Kontinuierlicher Verbesserungsprozess

Planen Sie regelmäßige Überprüfungen und entwickeln Sie Sicherheitsmaßnahmen stetig weiter. Die NIS2-Richtlinie fokussiert sich auf folgende Themen:

  • Risikomanagement
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs
  • Sicherheit der Lieferkette
  • grundlegende Cyberhygiene im Unternehmensalltag
  • Schulungen zur Informationssicherheit
  • Einsatz von Kryptografie und Verschlüsselung
  • Sicherheit des Personals & Zutrittskontrolle
  • Sichere Informationsübermittlung per Sprach-, Video und Textkommunikation

Durch kontinuierliche Arbeit am Managementsystem können in den jeweiligen Bereichen Verbesserungen erwirkt werden. Auch ändern sich im Laufe der Zeit Systeme und auch die Unternehmensstruktur.

 

9. Behalten Sie die Bedrohungslage im Blick und informieren Sie sich fortwährend über Veränderungen der Angriffsvektoren

Im Lagebericht 2024 des BSI wird die IT-Sicherheitslage in Deutschland als angespannt beschrieben. Dabei wurden Schwerpunkte genannt wie Ransomware und Cyberkriminalität, die Zunahme von DDOS-Angriffen, sowie die Zunahme von Schwachstellen – unabhängig der Unternehmensgröße und Branche. Auch kommt es vermehrt zu Angriffen auf Cloud-Infrastrukturen und politische Organisationen. Indirekt werden kleine und mittelständische Unternehmen durch Angriffe auf IT-Dienstleister getroffen. Unternehmen, Behörden und Einzelpersonen müssen ihre Sicherheitsvorkehrungen weiter ausbauen, um der wachsenden Angriffsfläche der Cyberkriminalität zu begegnen. Es lohnt sich daher, sich über vertrauenswürdige Publikationen und Quellen Informationen zur gegenwärtigen Lage einzuholen und darüber auch Abhilfemaßnahmen zu erfahren.

Beispielsweise erhalten Sie durch die Allianz für Cyber-Sicherheit Lage- und Warninformationen des BSI. Die Mitgliedschaft ist kostenfrei und ohne Verpflichtungen.

 

10. Unterstützung durch externe Berater  

Lassen Sie sich bei Bedarf von externen Beratern unterstützen, um Ihre IT-Sicherheit zu stärken. Ein erfahrenes Team mit Kenntnissen zur Informationssicherheit, aber auch zur Cybersicherheit kann Sie bei der Etablierung und beim Betreiben eines ISMS unterstützen. Durch die Integration von externen und erfahrenen Beratern können Sie sich auf eine konforme Umsetzung der NIS2 verlassen und gewinnen Vorteile im Hinblick auf Ihre Cyberresilienz, IT-Infrastruktur, Kunden- und Lieferantenbeziehungen.

 

Wir stehen Ihnen zur Seite

Unsere Berater für Informationssicherheit stehen Ihnen gerne zur Verfügung, um die Umsetzung der NIS2-Anforderungen erfolgreich mit Ihnen durchzuführen. Mit unseren erfahrenen Beratern und unserer ISMS-Software bieten wir eine umfassende Lösung für eine effiziente Etablierung. Unser Team ist flexibel und kann sich an Ihre spezifischen Anforderungen anpassen. Kommen Sie gerne auf uns zu!

Sie möchten sich weiter zur NIS2-Richtlinie informieren? Wir haben bereits zahlreiche Blogposts zu NIS2 veröffentlicht und halten Sie auch weiterhin im Bog, Newsletter und LinkedIn auf dem Laufenden. Alle Blogbeiträge zu NIS2 auf einen Blick:

 

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Unsere Kontaktdaten: +49 711 / 489083 - 0

Was ist die Summe aus 6 und 4?
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.