NIS-2: Richtlinie für Cybersicherheit

Alles was Sie jetzt zu NIS-2 wissen sollten!

Für Ihre Sicherheit! Ja, wirklich! Die EU hat sich gedacht: „wäre doch super, wenn alle den gleichen Sicherheitsstandard hätten!“ – Zack: NIS-2, die 2. EU-Richtline zur Netzwerk- und Informationssicherheit. Damit wurde eine Richtline geschaffen, die nicht die „kritische Infrastruktur“ adressiert, sondern alle "besonders wichtigen" und "wichtigen" Einrichtungen.

Für diese ergeben sich dann erstmals Registrierungs-, Nachweis- und Meldepflichten. Aber genau lässt es sich noch nicht sagen, da das passende Gesetz (NIS2UmsuCG) noch nicht verabschiedet ist.

Was wir schon wissen, teilen wir genau hier mit Ihnen! 

Unternehmen mit und mehr als 50 Mitarbeitern bzw. einem Umsatz von 10 Millionen Euro.

Aber! Da wären auch noch:

• Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;
• Vertrauensdiensteanbieter;
• Namenregister der Domäne oberster Stufe und Domänennamensystem-Diensteanbieter;

Und zusätzlich die Sektoren:

• Energie
• Transport und Verkehr
• Gesundheit
• Wasser
• Ernährung
• Finanzen- und Versicherungswesen
• Siedlungsabfallentsorgung

Wie auch noch einige andere spezifische Sektoren.

Nicht dabei gewesen? Nicht zu vorschnell! Die Betroffenen müssen ihre Lieferketten prüfen und ggf. dazu anhalten! Vielleicht wird noch was aus Ihnen und NIS-2?

Nicht vergessen: die Unternehmen müssen selbstständig prüfen, ob sie betroffen sind! Es drohen empfindliche Strafen bis zu 10 Mio. € bzw. bis 2% Jahresumsatz!

Um auf Nummer sicher zu gehen, klicken Sie sich durch die „Betroffenheitsprüfung“ des BSI und schauen, ob Ihr Unternehmen dabei sein darf:

https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html

Den/die Chef*in ins Boot holen. IT- Sicherheit ist Chef*innen Sache! Hier haften die Chef*innen persönlich! Die sollten sich schnellstens über entsprechende Schulungen informieren. Das ist zum einen Vorgabe, aber auch hilfreich, um zu beurteilen, wie geeignet, verhältnismäßig und wirksam Ihre technischen und organisatorischen Maßnahmen sind.

Für den Einstieg empfehlen wir das Handbuch „Management von Cyber-Risiken“:

https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/NACD/handbuch_management_cyber_risiken_de.html?nn=1117136

Auch sehr empfehlenswert: „Toolkit für das Management“:

https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/NACD/toolkit_management_cyber_risiken_de.pdf?__blob=publicationFile&v=6

Dann benennen Sie Verantwortliche für die IT-Sicherheit im Unternehmen. Wenn möglich gleich 2 Personen. Kein Inselwissen im kritischen Bereich! Diese Personen sollten die Koordination übernehmen und alle relevanten Stellen im Unternehmen an einen Tisch bringen. Denn IT-Sicherheit ist ein weites Feld!

Und nun: ran an den Speck!

Machen Sie eine Bestandsaufnahmen.

• Wenn die Informationssicherheit bisher in Ihrem Unternehmen keine oder eine untergeordnete Rolle gespielt hat, machen Sie den CyberRisikoCheck nach DIN SPEC 27076 mit einem Dienstleister.
• Wenn Sie bereits grundsätzliche IT-Strukturen haben, lassen Sie Ihre Einschätzung durch den CyberRisikoCheck überprüfen.
• Wenn Ihre Informationssicherheit sehr gut aufgestellt ist, empfehlen wir auch in diesem Fall den CyberRisikoCheck, um Ihren Eindruck zu bestätigen oder Handlungsbedarf zu erkennen.

Und anschließend kommt, was kommen musste: verbessern, verbessern, verbessern!

• Risikomanagement,
• Bewältigung von Sicherheitsvorfällen,
• Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement,
• Sicherheit der Lieferkette,
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung,
• Systematische Bewertung der Wirksamkeit von Risikomanagementmaßnahmen der IT-Sicherheit,
• grundlegende Cyberhygiene,
• Schulungen zur Informationssicherheit,
• Systematischer Einsatz von Kryptografie und Verschlüsselung,
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
• Verwendung von Lösungen zur Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation.

Die Meldepflicht wird kommen! Daher nutzen Sie die Zeit und bereiten sich darauf vor. Sie müssen einen Vorfall unverzüglich melden können. Legen Sie Prozesse und Rollen fest, damit es im Fall der Fälle dann schnell gehen kann. Meldepflichten existieren bereits in anderen Bereichen und alle Beteiligten sind sich sicher, sie wird kommen.

Gleiches gilt für vom BSI eingehende Warnungen und Lageberichte. An welche E-Mail-Adresse können diese geschickt werden? Wer empfängt die Warnungen, vielleicht auch 24 Stunden an 7 Tagen? Können Sie eine automatische Alarmierung implementieren?

Wie schnell diese Themen auf den Weg gebracht werden, ist noch unklar. Aber wenn es losgeht, könnte es schnell gehen. Nutzen Sie die Zeit!