Die Umstellung auf NIS2: Was Unternehmen wissen müssen
Seit dem 1. Mai 2023 müssen Betreiber kritischer Infrastrukturen (KRITIS) die Vorschriften des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) einhalten. Doch bereits jetzt steht fest, dass das IT-SiG 2.0 nur vorübergehend gilt. Es wird durch das „Gesetz zur Umsetzung und Stärkung der Cybersicherheit“ (NIS2UmsuCG) abgelöst werden, das die Bestimmungen der seit Januar geltenden EU-Richtlinie NIS2 bis spätestens zum 17. Oktober 2024 umsetzt. Dies bedeutet, dass alle betroffenen Unternehmen in naher Zukunft eine Reihe von Cyber-Sicherheitsmaßnahmen umsetzen müssen.
Zu den geforderten Maßnahmen gehören unter anderem ein Risikomanagement-Konzept, die Implementierung von Notfallplänen und die Einrichtung eines Systems zur schnellen Meldung von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Technische Anforderungen und Best Practices
Die vorgeschriebenen technischen Maßnahmen umfassen unter anderem:
- Systematische Datensicherung
- Zugriffskontrollkonzepte
- Verschlüsselung von Informationen
- Schwachstellenmanagement
- Schulung der Mitarbeitenden
Im Gegensatz zum IT-Sicherheitsgesetz 2.0 schreibt NIS2 vor, dass Unternehmen auch Schutzkonzepte für ihre Lieferketten entwickeln müssen, um sicherzustellen, dass Kriminelle nicht über Zulieferer in die Systeme anderer Unternehmen eindringen können.
Herausforderungen und Möglichkeiten der Umsetzung
Die Umsetzung von NIS2 sollte kein unlösbares Problem darstellen. Die geforderten Sicherheitsstandards und Prozesse sind im Grunde Best Practices, die in den meisten Unternehmen bereits bekannt sein sollten. Unternehmen, die in den letzten Jahren auf Sicherheit gegen Cyberkriminalität geachtet haben, müssen daher wahrscheinlich nicht viel zusätzlich tun, um die Anforderungen zu erfüllen.
Allerdings stehen Unternehmen, die bisher das Thema Cybersicherheit vernachlässigt haben, vor neuen Herausforderungen. Ohne professionelle Unterstützung und Beratung kann es leicht sein, sich in technischen Details zu verlieren. Daher ist es ratsam, einen kompetenten Partner hinzuzuziehen, der beim Assessment unterstützt, beratend zur Seite steht und ein Sicherheits- und Risikomanagement-Konzept gemäß gültiger Standards erarbeitet.
Fazit
Die Einführung von NIS2 stellt Unternehmen vor die Herausforderung, ihre Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls anzupassen. Durch die Einhaltung dieser Vorgaben werden nicht nur rechtliche Anforderungen erfüllt, sondern auch die Sicherheit und Resilienz der Unternehmen gegenüber Cyberbedrohungen verbessert. Professionelle Beratung und Unterstützung können den Umstellungsprozess erleichtern und sicherstellen, dass die Unternehmen den neuen Standards gerecht werden.