Die Nachrichten der Woche aus der digitalen Welt, jeden Freitag Nachmittag.

NIS2 ist Chefsache … und geht doch alle an!

Nicht nur die empfindlichen Strafen bei Nichteinhaltung von NIS2, sondern auch die in der Richtlinie verankerte persönliche Haftung von Führungskräften macht Cybersecurity zur Chefsache. Doch bei vielen betroffenen Unternehmen steht Cybersicherheit noch nicht auf der Agenda. Insbesondere KMU stellt die Erreichung der NIS2-Compliance vor organisatorische und finanzielle Herausforderungen. 

Die Schaffung der notwendigen Security-Awareness ist ein zentraler Baustein und betrifft die gesamte Belegschaft, beginnend bei der Geschäftsleitung mit Vorbildfunktion. 

Warum Security Awareness? 

Der jüngste IT-Ausfall, verursacht durch ein fehlerhaftes Software-Update von Crowdstrike, zeigt wie anfällig unsere global vernetzte Infrastruktur ist. Auch wenn es sich in diesem Fall wohl nicht um einen Cyberangriff handelte, versuchten Cyberkriminelle durch unterschiedliche Aktionen über Phishing, Scam oder Fake-Webseiten aus dieser Panne Kapital zu schlagen. 

Mitarbeiter, die mit entsprechender Security Awareness ausgestattet sind, wissen mit den verschiedenen Sicherheitsbedrohungen während ihrer täglichen Arbeit umzugehen, wodurch das Risiko eines erfolgreichen Angriffs minimiert wird. 

Was genau fordert die NIS2-Richtlinie? Was sollten Unternehmen jetzt tun? In diesem Whitepaper finden Sie einen kompakten Überblick.

Was zu tun ist

Die Implementierung der NIS2-Richtlinie stellt strenge Anforderungen an die Cybersecurity an ein breites Spektrum von Unternehmen.

Gesetzliche Anforderungen

Umsetzung und Einhaltung von Cybersicherheits-Maßnahmen in folgenden Bereichen:

In der Regel trifft NIS2 nicht auf ein Vakuum und es gibt in vielen Unternehmen diverse Richtlinien, Prozesse und Mechanismen (u.a. Arbeitsschutz, QHSE) wie auch IT-Sicherheit. Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 bietet die ideale Grundlage, um die Anforderungen von NIS2 zu erfüllen. 

Für KMU, die noch kein ISMS implementiert haben, bieten sich pragmatische und skalierbare Lösungen an. Die Umsetzung dieser Maßnahmen ist zwar keine Zauberei, erfordert jedoch konsequentes und nachhaltiges Handeln sowie die Unterstützung der Geschäftsleitung.

Wie robust ist Ihre IT-Infrastruktur? Wirksame und praktische Maßnahmen für mehr Sicherheit finden Sie im Whitepaper „Cyber Resilienz – Widerstandsfähigkeit im digitalen Zeitalter“

Im Kern fordert die NIS2-Richtlinie IT-Verantwortliche dazu auf, die Rolle der IT etwas anders zu verstehen als die Summe der IT-Dienste, die sie zur Verfügung stellt. Der IT ist heute eher der Stellenwert des Business Enablers beizumessen, von dessen Funktionsfähigkeit der Geschäftsbetrieb an sich abhängt. Bezeichnend für die Aufwertung der Rolle der IT ist auch die Tatsache, dass mit NIS2 die Cybersicherheit zur Chefsache wird. Für den Beschluss und die Umsetzung der gesetzlichen Risikomanagement-Maßnahmen haften nunmehr die Geschäftsleiter persönlich. Eine Entbindung von dieser Pflicht sieht die Richtlinie explizit nicht vor.

Maßnahmen für KMU

NIS2-Richtlinie: Herausforderungen für KMUs

Die NIS2-Richtlinie der Europäischen Union zielt darauf ab, die Cybersicherheit zu stärken. 

Für viele KMU (kleine und mittlere Unternehmen) bringt sie jedoch organisatorische und finanzielle Herausforderungen mit sich. Hier sind einige wichtige Aspekte:

  1. Compliance-Kosten:
    Die Umsetzung der NIS2-Anforderungen erfordert Investitionen in Angriffserkennung, Risikomanagement und Meldepflichten. Die Gesamtkosten werden auf rund 1,6 Milliarden Euro im ersten Jahr geschätzt
  2. Mangelnde Expertise:
    Viele KMUs verfügen nicht über ausreichendes IT-Fachpersonal. Daher greifen sie vermehrt auf Unterstützung durch Managed Service Provider (MSPs) zurück. 
  3. „Detection & Response“-Modelle: MSPs können Managed Detection and Response (MDR) Lösungen einsetzen, um KMUs bei der NIS2-Compliance zu unterstützen.  

Fazit

NIS2 zielt darauf ab, die Informationssicherheit umfassend zu verbessern. Sie fördert eine stärkere Einbindung der Geschäftsleitung in Fragen der Informations- und IT-Sicherheit und betont die Bedeutung von Security-Awareness. Neben technischen Sicherheitsmaßnahmen wird der menschliche Faktor durch Schulungen gestärkt. Regelmäßige, abwechslungsreiche Schulungen sind entscheidend, um das Sicherheitsbewusstsein aufrechtzuerhalten. Zudem ist es wichtig, geeignete Partner zu finden, um die Anforderung von NIS2 effektiv zu gestalten.

Ist Ihr IT-Management auf der Höhe der NIS2-Richtlinie? Finden Sie es mit dem 20-Fragen-Katalog des Self-Assessment-Whitepapers von Sycor heraus.