NIS-2: Mein Risikomanagement-Einmaleins für den Mittelstand

| 16 Mai 2024

Bei guter Vorbereitung ist Prüfungsangst vor der NIS-2-Umsetzung im Oktober überflüssig, meint unser Autor Florian Goldenstein

Die neue europäische Informationssicherheits-Richtline NIS-2 trifft etwa jedes dritte Unternehmen ab 50 Mitarbeiter*innen in Deutschland und Österreich. Durch meine Arbeit als CISO und Cybersecurity-Experte bei Konica Minolta weiß ich: Bei manchen Verantwortlichen macht sich Panik wie vor einer Klassenarbeit breit – denn die Geschäftsleitung ist persönlich für die Einhaltung verantwortlich. Neben der Registrierungspflicht und neuen Meldepflichten gehört für sie das Risikomanagement zu den neuen Pflichtfächern. Wer die Versetzung ins neue Zeitalter der Cybersecurity nicht gefährden will, muss zwar nicht die Mindestanforderungen im Schlaf aufsagen können – aber sollte dennoch das Risikomanagement-Einmaleins sicher beherrschen



Wer die Anforderungen der NIS-2 umsetzen will, muss die Risikomanagement-Hausaufgaben erledigen


Risikomanagement galt lange als Luxus, den sich große Unternehmen leisten. Doch mit NIS-2 bildet es den Kern der Informationssicherheit bei „wichtigen“ und „wesentlichen“ Unternehmen – und davon gibt es laut Aussage vom BMI alleine in Deutschland rund 29.000. Auch deren Lieferanten werden indirekt von der neuen Richtlinie betroffen sein, davon bin ich überzeugt. Der Grundgedanke dabei: Um die gesamte Wirtschaft resilienter und krisensicherer gegenüber Cyberangriffen zu machen, darf die Sensibilität für alltägliche Gefahrenquellen nicht nur bei den Klassenbesten vorhanden sein. In Artikel 21 der NIS-2 Richtlinie gibt NIS-2 deshalb klar vor, welche organisatorischen und technischen Maßnahmen mindestens erfüllt werden müssen. Statt mit Fleißbienchen arbeiten die Behörden also in Zukunft mit harten Anforderungen und Kontrollen. 

Diese 10 Mindestanforderungen gelten für das Risikomanagement nach NIS-2

NIS-2 sieht einen „gefahrenübergreifenden Ansatz“ vor, um „die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen“. Was das im Einzelnen bedeutet, erkläre ich gerne: 
 

1. Risikoanalyse und Sicherheitskonzept 

Die wichtigste Hausaufgabe für jedes Unternehmen, für das NIS-2 ein Thema ist, lautet in den kommenden Monaten: Die Risiken identifizieren, bewerten und dokumentieren, nur so lässt sich ein wirksames Konzept entwickeln. Je systematischer die Grundlagen, desto höher die Sicherheit. Der Zeitpunkt ist jetzt gekommen, ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einzuführen. 
 

2. Sicherheitsvorfälle und Meldepflicht 

In zahlreichen Unternehmen gibt es noch keine Verhaltensregeln oder Prozesse für Sicherheitsvorfälle. Das muss und wird sich ändern. Eindeutige Verantwortlichkeiten und Meldeketten sind in Zukunft unerlässlich, um NIS-2 gerecht zu werden. Ohne diese Grundlagen kann keine Incident Response-Strategie funktionieren. 
 

3. Backups, Continuity und Notfallmanagement

Murphys Cybersecurity-Gesetz: Was passieren kann, wird auch passieren – aber idealerweise in einem Unternehmen, das darauf vorbereitet ist. Ein gutes Business Continuity Management beinhaltet unter anderem ein Notfallhandbuch und verschiedene Szenarien, wie der Betrieb wiederaufgenommen oder IT-Systeme mittels Backups nach und nach wiederhergestellt werden können. 
 

4. Sicherheit der Lieferkette

Eine wirksame Risikomanagement-Strategie muss auch die Schnittstellen zu anderen Unternehmen berücksichtigen. Wer hat Zugriff auf Systeme, wer darf die Halle betreten, welche Daten und Produkte gelangen in die sichere Zone des eigenen Unternehmens? Sind diese Fragen geklärt und sauber dokumentiert, lassen sich Mechanismen für eine gute Zusammenarbeit finden – von Audit bis zum Zertifikat
 

5. Erwerb, Entwicklung und Wartung von ITK 

Klar: Updates nerven. Doch richtig nervig wird es in Zukunft für Unternehmen, die sich nicht um die Wartung ihrer IT kümmern – sie handeln nach NIS-2 nämlich ebenso fahrlässig wie beim Erwerb bedenklicher IT-Lösungen. Glücklicherweise lassen sich viele Aufgaben systematisieren und automatisieren, etwa das Patch Management als Service. 
 

6. Planung und Bewertung von Maßnahmen 

Ein umfangreiches Konzept ist gut – ein funktionierendes noch besser. Deshalb ist es wichtig zu verifizieren, inwiefern die organisatorischen und technischen Maßnahmen greifen. Cybersecurity-Analysen, Vulnerability Checks und Penetration Tests durch Profis helfen dabei, die Strategie auf Herz und Nieren zu prüfen. Die Bewertung von Risiken und deren Maßnahmen ist für die Geschäftsleitung verpflichtend.
 

7. Awareness und Cyber-Hygiene

Die wichtigste Schutzmaßnahme in jedem Unternehmen ist die menschliche Firewall. Alle technischen oder organisatorischen Maßnahmen sind nur dann wirkungsvoll, wenn alle Mitarbeiter*innen sie kennen und umsetzen. Mit Awareness-Workshops oder Schulungen zur Cyber-Hygiene wird Informationssicherheit zur Gemeinschaftsaufgabe. 
 

8. Konzepte und -verfahren für Kryptografie

Die unverschlüsselte E-Mail ist noch immer eine der beliebtesten Formen der Kommunikation in der Geschäftswelt. Dabei mangelt es nicht an Angeboten für Kryptografie-Verfahren. Was oft fehlt, ist die richtige Strategie – deshalb ist Kryptografie ein zentraler Baustein im Risikomanagement gemäß NIS-2. Einen Blackout zu verhindern kann dadurch manchmal einfacher sein als gedacht. 
 

9. Personal, Zugriffskontrolle und Anlagenmanagement

Risiken bestehen nicht nur da, wo Firewalls oder Virenscanner versagen – sondern auch dort, wo Unbefugte ohne Weiteres Zugriff auf Dokumente, Maschinen oder IT haben. Wer wann wo reinkommt, ist deshalb in allererster Linie eine organisatorische Frage. Konsequenten Zugriffskontrollen oder Videoüberwachung helfen dabei, sensible Bereiche zu schützen. 
 

10. Multifaktor-Authentifizierung und gesicherte Kommunikation

Zweistufige oder kontinuierliche Authentifizierung hat sich in den letzten Jahren durchgesetzt –bei der Endpoint Security genauso wie im privaten Online-Banking. Die Verfahren machen unberechtigte Zugriffe unwahrscheinlicher, aber nicht unmöglich. Deshalb sieht NIS-2 auch funktionierende Kommunikationskanäle für den Notfall vor. 
 

Nachhilfe im Risikomanagement gewünscht? Wir helfen! 

Wer bis zehn zählen kann, beherrscht auch das Risikomanagement nach NIS-2? Ganz so einfach ist es leider nicht. Wenn manche Themen noch Fremdworte für Sie sind, unterstützen wir gerne: Mit mehreren Jahrzehnten Erfahrung in Informationssicherheit und Cybersecurity sind wir für Sie da. Wenn Sie möchten, beraten wir Sie zu Lösungen in einzelnen Bereichen oder entwickeln gemeinsam mit Ihnen eine Risikomanagement-Strategie für das gesamte Unternehmen. Meine Kolleg*innen und ich freuen uns darauf, Sie kennenzulernen! 

NIS-2: Das steckt hinter der neuen Richtlinie

Sie möchten mehr Details zur NIS-2 Richtlinie? Eine Einführung sowie eine Übersicht zu den nächsten Schritten gebe ich in diesem Video.

Weitere Infos

Mit regelmäßigen Updates von Konica Minolta

Wir informieren bereits mehr als 8.000 interessierte Abonnentinnen und Abonnenten über Trends rund um Digitalisierung, IT und Digital Office. Und immer nur dann, wenn es wirklich etwas Neues gibt – versprochen!
Jetzt Update abonnieren
Bleiben Sie auf dem Laufenden!