Noch in diesem Monat entscheidet der Bundestag über die Umsetzung der NIS-2-Richtlinie (NIS-2-RL) (Network and Information Security). Diese EU-weite Vorgabe soll die Cybersicherheit stärken und die Mitgliedstaaten sind verpflichtet, sie in nationales Recht umzusetzen. Mit NIS-2 wird der Geltungsbereich der ursprünglichen Regelung deutlich erweitert, sodass jetzt deutlich mehr Unternehmen und Einrichtungen als „wichtig“ oder gar „besonders wichtig“ eingestuft werden. Wer unter diese Kategorienfällt muss sich zu einer verstärkten IT-Sicherheitsvorsorge verpflichten und zahlreiche neue Auflagen einhalten. So gilt zum Beispiel eine Registrierungs-, Nachweis- und Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Informieren Sie sich frühzeitig, ob Sie betroffen sind. Das BSI hat dafür einen Online-Check entwickelt.
Unsere Experten beraten Sie gerne, wie Sie durch konsequentes Monitoring die technischen Voraussetzungen für ein NIS-2-konformes Kommunikations- und Datennetz.
Darüber hinaus empfehlen wir Ihnen in Hinblick auf NIS-2 diese Checklist zu berücksichtigen.
1. Zuständige Personen benennen und befähigen:
Bestimmen Sie mindestens zwei Personen, die die Verantwortung für Informationssicherheit übernehmen und stellen Sie sicher, dass diese Personen entsprechend geschult und vorbereitet sind.
2. Verantwortung als Unternehmensleitung übernehmen:
Informieren Sie sich über Ihre Verantwortung im Bereich Risikomanagement und entsprechende Schulungsangebote.
3. Bestandsaufnahme der Informationssicherheit durchführen
- Für KMU: Lassen Sie von einem qualifizierten Dienstleister einen ersten CyberRisikoCheck nach DIN SPEC 27076 durchführen
- Für größere Unternehmen: Überprüfen Sie, ob Ihre bisherigen Maßnahmen ausreichend sind und implementieren Sie umgehend ein ISMS nach IT-Grundschutz oder ISO 27001/2.
- Grundsätzlich gilt: Lassen Sie Ihre Maßnahmen extern prüfen oder auditieren, um potenzielle Lücken zu identifizieren.
4. Kontinuierliche Verbesserung der Informationssicherheit:
Implementieren Sie die Vorgaben der NIS-2-Richtlinie in den folgenden Bereichen:
- Risikomanagement
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, Backup-Management, Krisenmanagement
- Sicherheit der Lieferkette
- Cyberhygiene und Schulungen zur Informationssicherheit
- Einsatz von Kryptografie und Verschlüsselung
- Sicherheitskonzepte für Personal, Zugriffskontrolle, und Management von Anlagen
- Verwendung sicherer Kommunikationslösungen
5. Vorbereitung auf Meldepflichten und Umgang mit Warnungen
- Implementieren Sie Prozesse zur unverzüglichen Meldung von Sicherheitsvorfällen.
- Richten Sie Empfangsstellen für BSI-Warnungen und Lageberichte ein, ggf. 24/7.
- Werden Sie Mitglied der Allianz für Cyber-Sicherheit und/oder des UP KRITIS, um frühzeitig Warnungen und Lageberichte zu erhalten
Wenn Sie diese Tipps berücksichtigen, sind Sie gut auf NIS-2 vorbereitet.