NIS2 – in 9 Schritten

Sie sind in der Regel betroffen, wenn Sie zu einem von 18 verschiedenen Sektoren gehören, mind. 50 Mitarbeiter haben und mind. 10 Millionen € Umsatz machen und als wesentliches oder wichtiges Unternehmen gelten. Sehen Sie dazu auch unseren Schnellcheck.

• Geschäftsführer und Vorstände übernehmen die Verantwortung bis zur persönlichen Haftung.
• Angriffe werden meldepflichtig
• Risiken müssen gemanagt werden. In dem Zusammenhang weist Ihr Unternehmen nach, das die Themen
• • Risikomanagement
  • Security-Konzepte inklusive Bewältigungsstrategie,
  • Supply Chain Security, 
  • Backup- und Krisenmanagement,
  • Schulungen zur Cybersicherheit,
  • Schwachstellenmanagement
  • Verschlüsselung und Kryptografie geplant und umgesetzt werden. 

Alle Systeme Anwendungen und Daten die Ihr Unternehmen benötigt, werden auf Sicherheit überprüft. Mit dem resultierenden Bericht haben Sie eine genaue Sicht auf die aktuelle Lage und Handlungsfelder. 
Berücksichtigt werden insbesondere:

• Die vorhandenen Sicherheitsrichtlinien und -verfahren
• Netzwerk-Infrastruktur und deren Konfiguration
• Aktualität von Software und deren Patch-Stand
• Allgemeine Prüfung der IT-Umgebung auf Schwachstellen
• Aktualität und Wirkung von Antivirus- und Antiphishing Software (Endpoint Protection)
• Verhaltens- und Sensibilisierungs-Training der Mitarbeiter
• Etablieren eines standardisierten Ablaufes als starke Angriffsantwortreaktion (Incident-Response)

Hinweis für Unternehmen die bereits ein Managementsystem zur Informationssicherheit (ISMS) umgesetzt haben oder dies planen:

Viele der aufgeführten Themen werden bereits im Rahmen des ISMS adressiert. Bei der Einführung eines ISMS wird in der Regel ein Soll-Ist-Vergleich / eine Gap-Analyse durchgeführt.

Der potentielle Schaden, durch Ausfall eines Geschäftsprozesses aufgrund der Störung eines dafür notwendigen IT-Services (Server, Netzwerk, Anwendung, ..) bestimmt das zu managende Risiko. Die Ausfallszenarien werden durch mögliche Auswirkungen von Cyberangriffen erstellt.
Wenn dieser erste Schritt der Identifikation und daraus resultierender Priorisierung erfolgt ist, werden die existierenden Abwehrmaßnahmen überprüft und ggf. verbessert. Außerdem werden Verfahren festgelegt, wie im Schadenfall zu reagieren ist, um den Schaden so gering wie möglich zu halten.

Die Robustheit gegen Angriffe wächst erfahrungsgemäß um ein Vielfaches durch den Risikomanagementprozess.

Hinweis für Unternehmen die bereits ein Managementsystem zur Informationssicherheit (ISMS) umgesetzt haben oder dies planen:

Das Risikomanagement ist ein Kernprozess des ISMS

Restriktive Vergabe und regelmäßige Überprüfung der Zugriffsrechte, insbesondere von privilegierten Berechtigungen, hilft Ihrem Unternehmen ständig den dafür höchsten Standard einzuhalten. Eine Passwortrichtlinie muss die erforderliche Komplexität und den sicheren Umgang mit Kennwörtern regeln, um ein Eindringen von Angreifern in die internen Systeme über gekaperte Benutzer-Accounts zu erschweren. 

Zudem sind bisherige Mechanismen (z.B. VPN) in einer digitalisierten Welt mit multiplen Cloud-Infrastrukturen und Heimarbeitsplatz nicht mehr ausreichend. Der Zero Trust Ansatz („Vertraue niemandem“) rechtfertigt, jeden Zugriffversuch auf Unternehmensdaten zu überprüfen.
Das Konzept wird durch eine Kombination aus Technologien, Prozessen und Trainings umgesetzt und wirkt u.a. durch starke Authentifizierungsmethoden, Berechtigungskonzepte und Bedrohungsanalysen, um Zugriffsversuche zu validieren. Mikrosegmentierung des Netzwerkes und die Sensibilisierung der Mitarbeiter unterstützen Zero-Trust maßgeblich.

Technische und organisatorische Schwachstellen werden durch regelmäßige Vulnerability-Scans, Security Audits und Penetrationstests sichtbar gemacht und über einen geregelten Prozess behandelt. Dies führt nach dem PDAC-Zyklus (Plan-Do-Check-Act) zu einer ständigen Verbesserung der IT-Sicherheit und einem nachhaltigen Schließen von Sicherheitslücken. 

Hinweis für Unternehmen die bereits ein Managementsystem zur Informationssicherheit (ISMS) umgesetzt haben oder dies planen:

Die Steuerung der regelmäßigen Assessments ist Bestandteil eines ISMS.

Ransomware zielt darauf ab, Ihre IT-Systeme so zu schädigen, dass Sie gegen Zahlung eines Lösegeldes wieder von dem Ausfall befreit werden. Den besten Schutz bieten integrierte Sicherheitslösungen (u.a. IDS, IPS, SIEM). Diese verfügen über ständig „wache“ Analysefunktionen und führen bei Detektion automatisch und sehr schnell Maßnahmen aus, die Ihr Unternehmen vor Schäden schützt. 

Die kritischen Geschäftsprozesse müssen auch weiterlaufen, wenn die unterstützenden IT-Systeme ausgefallen sind. Lassen Sie die Fachabteilungen zusammen mit der IT Übergangslösungen konzipieren und die entsprechende Verfahrensweise dokumentieren. Damit ist das Fortführen der wichtigsten IT-gestützten Geschäftsprozesse (Business-Continuity-Management) gewährleistet.

Außerdem werden Verfahren beschlossen und geübt, die zur schnellen Wiederherstellung eines IT-Service führen. Dazu gehören alle technischen, betrieblichen und vor allem organisatorischen Maßnahmen.

Der Notfallmanagementprozess muss auch die Erfüllung der Meldepflichten des Unternehmens berücksichtigen. Gemäß der NIS2 Richtlinie müssen Unternehmen bereits den Verdacht auf einen Sicherheitsvorfall innerhalb von 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Setzen Sie Mindeststandards mit konkreten Anforderungen und Erfüllungskriterien. Überprüfen Sie dann darauf die Sicherheitsmaßnahmen und -vereinbarungen mit Ihren Geschäftspartnern. Dies sind Lieferanten, Leistungspartner und auch Kunden.
Dazu gehören auch nicht-technische Maßnahmen wie z.B. der Abschluss von Vertraulichkeitsvereinbarungen / NDAs.

Durch gezielte Schulungen schaffen Sie nachhaltig ein Sicherheitsbewusstsein bei Ihren Mitarbeitern. Das trägt nachweislich sehr dazu bei, Cyberangriffe frühzeitig zu erkennen und zu verhindern. 
Auch das Erkennen sicherheitsrelevanter Informationen und der verantwortungsvolle Umgang werden trainiert und gehen in das Verhalten über.

Hinweis für Unternehmen die bereits ein Managementsystem zur Informationssicherheit (ISMS) umgesetzt haben oder dies planen:

Die Schulung von Mitarbeitern in Informationssicherheitsthemen ist Bestandteil eines ISMS und kann i.d.R. leicht um spezielle Cybersicherheitsthemen erweitert werden.

Sicherheit kostet Geld. Bei ständig steigender Anzahl und Qualität der Angriffe, ist Ihr Unternehmen auf steigende Sichertheitsbudgets angewiesen. In Falle von NIS2 ist es die Erfüllung eines notwendigen Gesetzes zum Schutz des Landes vor kritischen Systemausfällen und gilt für alle Betroffenen in gleicher Weise.
Vom Bundesamt für Sicherheit in der Informationstechnik(BSI) gibt es die Empfehlung, dass ca. 20% des IT-Budgets in Sicherheit investiert werden sollten.