Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden, ist es entscheidend, rechtzeitig ein Kernteam für Sicherheitsbelange zu bestimmen

[datensicherheit.de, 03.07.2024] Mit der neuen EU-Direktive NIS-2 stehen Unternehmen ganz offensichtlich vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen dieser Richtlinie gerecht zu werden, sei es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen – wie Unternehmen dabei vorgehen sollten, erläutert Dirk Wocke, „IT Compliance Manager“ und Datenschutzbeauftragter bei indevis, in seiner aktuellen Stellungnahme.

Foto: indevis

Dirk Wocke zum NIS-2-Nutzen: Bei einem Cyber-Vorfall entsteht erst einmal Chaos – wer bereits vorher Verantwortlichkeiten und Abläufe geklärt und ein Team aufgestellt hat, kann schnell und geordnet definierten Prozessen folgen!

Neue NIS-2-Direktive stellt konkrete Anforderungen an TOM

Wocke führt zum Hintergrund aus: „Die neue NIS-2-Direktive stellt konkrete Anforderungen an die technischen Maßnahmen, Richtlinien und Prozessbeschreibungen der Sicherheitsvorkehrungen in Unternehmen. Betriebe müssen sicherstellen, dass sie dafür über die notwendige Expertise verfügen – entweder aus den eigenen Reihen heraus oder durch externe Berater.“

Vor allem die sogenannten Kleinen und Mittleren Unternehmen (KMU) – welche nach den Neuerungen nun auch in den Geltungsbereich von NIS fallen können – sollten für die Einführung eines „Information Security Management System“ (ISMS) oder dessen Erweiterung einen Top-down-Ansatz fahren. „Die Geschäftsführung sollte sich zunächst eingehend mit ihren Pflichten und möglichen Sanktionen auseinandersetzen und sich schulen lassen“, rät Wocke. Mit diesem Wissen ausgestattet, könne sie dann entscheiden, „welche Maßnahmen zur Umsetzung der Anforderungen notwendig sind und wie die Verantwortlichkeiten und Prozesse innerhalb des Unternehmens verteilt werden“.

Verantwortung für NIS-2 sollte in erfahrene Hände gelegt werden

Im nächsten Schritt gehe es darum, ein Kernteam aufzustellen, welches „in Zusammenarbeit mit der Geschäftsführung die vielfältigen Sicherheitsanforderungen im Blick behält“. Die Rolle des Informationssicherheitsbeauftragten (ISB) und damit die Leitung sollte eine außerhalb der eigenen IT-Abteilung stehende Person mit IT-Hintergrund übernehmen, um im Ernstfall Interessenskonflikte zu vermeiden.

„Ist eine Person mit dieser Qualifikation nicht im Unternehmen zu finden, können Unternehmen auf externe Expertise zurückgreifen. Vor allem kleinere Betriebe profitieren vom Einsatz eines externen ISB.“ Dieser könne beispielsweise die Kommunikation mit den Aufsichtsbehörden übernehmen oder bei der Auswahl von Sicherheitstools wie auch bei Zertifizierungen unterstützen. Sein Einsatz erfolge flexibel im Rahmen einer Beratungspauschale – und die Organisation profitiere von der Erfahrung eines professionellen Experten.

Per Gap-Analyse den Bedarf im NIS-2-Spannungsfeld klären

Um neben dem ISB weitere passende Mitglieder für das IT-Sicherheitskernteam aufzustellen, sollten Unternehmen ihren aktuellen Stand in Sachen Sicherheit erfassen: „Mittels einer Gap-Analyse, für die sich Unternehmen ebenfalls Hilfe von externen Experten holen können, lassen sich bestehende Lücken im Security-Konzept oder in der IT-Security-Infrastruktur identifizieren.“ Diese umfassende Untersuchung gebe zusätzlich Hinweise darauf, wo und in welcher Reihenfolge noch fehlende Maßnahmen umgesetzt werden sollten. Die Umsetzung und Dokumentation dieser Maßnahmen erfolge dabei am besten innerhalb eines kontinuierlichen Verbesserungsprozesses.

Die Gap-Analyse helfe ebenfalls zu erkennen, „wer zu den verschiedenen Fragestellungen fachlich beitragen kann“. Meist seien dies gleich mehrere Personen im Unternehmen, „etwa der Facility-Manager, der sich um die physische Sicherheit kümmert; der Einkauf, der die Lieferanten im Blick hat; die Personalabteilung, wenn es um die Personalsicherheit geht oder die Marketingabteilung, falls Krisenkommunikation notwendig wird“. Ist im Unternehmen ein Qualitätsmanagement-Beauftragter (QMB) vorhanden, könne dieser bei entsprechender Qualifikation im IT-Umfeld auch die Funktion des ISB übernehmen. „Die Aufgabe, die Belegschaft über die geplanten Maßnahmen zu informieren und die Sicherheitsorganisation zu unterstützen, fällt der Geschäftsführung zu“, stellt Wocke klar.

NIS-2-Richtlinie schreibt Meldepflicht vor: Ablaufplan für den Ernstfall empfohlen

Die NIS-2-Richtlinie schreibe unter anderem vor, dass ein die IT-Sicherheit betreffender Vorfall innerhalb von 72 Stunden zu melden sei und eine Evaluation nachgereicht werden müsse. Unternehmen müssten daher sicherstellen, „dass sie in der Lage sind, sicherheitsrelevante Vorfälle zu erkennen und zu verfolgen“. Es gelte also, entsprechende Verantwortlichkeiten und Informationsketten festzulegen. Wocke unterstreicht: „Das macht eine interne Prozessbeschreibung notwendig, die das Prozedere im Ernstfall detailliert aufführt – und alle Mitglieder des Kernteams ausgedruckt in der Schreibtischschublade haben, falls ein Cyber-Vorfall die IT lahmlegt. Wie Vorfälle einzustufen sind, beurteilt federführend der ISB.“ Regelmäßige Notfallübungen und Planspiele hielten das Kernteam fit für den Ernstfall und würden helfen, immer wieder die eigene Sicherheitsstrategie mit möglichen künftigen Szenarien abzugleichen.

Die von NIS-2 geforderten Maßnahmen umzusetzen, stelle viele Unternehmen erst einmal vor Herausforderungen. „Dabei sollten sie sich aber vor Augen halten: Bei einem Cyber-Vorfall entsteht erst einmal Chaos. Wer bereits vorher Verantwortlichkeiten und Abläufe geklärt und ein Team aufgestellt hat, kann schnell und geordnet definierten Prozessen folgen“, so Wocke abschließend. So ließen sich die Folgen eines Angriffs auf ein Minimum reduzieren – und die neuen NIS-2-Standards erfüllen.

Weitere Informationen zum Thema:

indevis
Informationssicherheitsbeauftragter as a Service

indevis
NIS-2 Consulting / NIS-2-Richtlinie erfüllen und mehr Cybersicherheit erzielen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

[datensicherheit.de, 30.01.2014] Ein moderner Webauftritt ist inzwischen auch für Handwerksbetriebe ein wichtiges Aushängeschild. Doch ohne den nötigen Schutz und regelmäßige Überprüfungen können Firmenwebsites zum Einfallstor für Schadsoftware und andere Angriffe werden. Was Handwerker und andere Websitebetreiber beachten sollten und wie sie sich einfach, effektiv und nachhaltig gegen Attacken wehren können, zeigt die Initiative-S von eco – Verband der deutschen Internetwirtschaft e.V. im Rahmen einer aktuellen Road Show. Am 6. Februar 2014 stellen die eco-Experten im Bildungszentrum der Handwerkskammer Dortmund (Ardeystraße 93-95) den Initiative-S Website Check vor und beantworten gemeinsam mit Vertretern aus Wirtschaft, Recht und Verbänden alle Fragen rund um das Thema Websitesicherheit.

Auch Websites kleinerer Betriebe sind gefährdet

Eine infizierte Website stellt nicht nur eine Gefahr für den eigenen Betrieb dar, sondern kann auch unwissentlich die Rechner von Kunden und anderen Besuchern befallen. Neben den direkten wirtschaftlichen Folgen wird das Vertrauen der Kunden in den Betrieb oft nachhaltig gestört. Markus Schaffrin, Leiter der Initiative-S im eco Verband erklärt: „Auch Websites kleinerer Firmen sind beliebte Angriffsziele von Cyberkriminellen. Ohne entsprechende Schutzmaßnahmen können die Schadprogramme oft über lange Zeiträume hinweg unbemerkt eingeschleust und verbreitet werden.“ Gleichzeitig rät Schaffrin Handwerksbetrieben davon ab, aus Sorge auf eine eigene Internetpräsenz zu verzichten: „Ein gesundes Misstrauen ist in Sachen Sicherheit entscheidend. Generell gilt: Vorsicht ist immer besser als Nachsicht. Wer seine Website regelmäßig kostenfrei von der Initiative-S überprüfen lässt, erlebt keine bösen Überraschungen und kann alle Vorteile eines eigenen Internetauftritts beruhigt nutzen.“

Experten zeigen in Dortmund, wie man sich effektiv schützt

Die Initiative-S ist ein Projekt im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Technologie. Unter www.initiative-s.de können Betriebe ihre Firmenwebseite kostenfrei auf Sicherheitslücken überprüfen lassen. Auch wenn der Internetauftritt extern betreut wird, verschaffen wenige Klicks Gewissheit. Im Rahmen der Initiative-S Roadshow in Dortmund stehen Markus Schaffrin vom eco Verband, Thorsten Urbanski von der G Data Software AG, der IT-Fachanwalt Dr. Jens Eckhardt sowie Gabriele Röder-Wolff und Wolfgang Diebke von der Handwerkskammer Dortmund für alle Fragen rund um das Thema IT-Sicherheit im Handwerk zur Verfügung.

Weitere Informationen zum Thema:

Initiative-S
Sicherheit für Ihre Onlinepräsenz

[datensicherheit.de, 03.04.2011] Der Bundesminister für Wirtschaft und Technologie, Rainer Brüderle, hat am 29. März 2011 den offiziellen Startschuss für die Task-Force „IT-Sicherheit in der Wirtschaft“ gegeben. Damit wolle man vor allem kleine und mittelständische Unternehmen (KUM) stärker unterstützen:
Diese hätten oft keine eigene IT-Abteilung oder seien sich der Gefahren für ihr Unternehmen gar nicht bewusst. Studien zeigten, dass Datendiebstahl ein mittelständisches Unternehmen im Einzelfall bis zu einer Million Euro kosten könne. Viel schlimmer noch seien der mögliche Vertrauensverlust bei Kunden und die Rufschädigung – das könne im Extremfall sogar den Verlust der Existenz bedeuten.
Bislang verfüge nur jedes zehnte Unternehmen über ein IT-Sicherheitspaket. Knapp zwei Drittel der befragten KMU hätten überhaupt keine Schutz-Maßnahmen umgesetzt. Dass sich die Unternehmen ohne entsprechenden Schutz wie zum Beispiel Verschlüsselungen angreifbar machen, sei nur einer knappen Mehrheit von 56 Prozent bewusst. 44 Prozent der Befragten beschäftigten sich überhaupt nicht mit dem Thema IT-Sicherheit.
Mit der neuen Task-Force solle der „Angebote-Dschungel“ gelichtet und den KMU maßgeschneiderte Lösungen aufgezeigt werden, so Brüderle. Die bestehenden Initiativen sollen unter einem Dach gebündelt werden; gemeinsam soll nach Wegen gesucht werden, wie die mittelständische Wirtschaft noch besser angesprochen und geschützt werden kann.
Die Task-Force wolle zusammen mit der Wirtschaft mehr Anreize für IT-Sicherheitsmaßnahmen schaffen. Ein Steuerkreis, in dem zahlreiche Wirtschaftsverbände und bereits bestehende IT-Sicherheitsinitiativen vertreten seien, begleite und berate die Task-Force. Schwerpunkte der Arbeit lägen vor allem in den Bereichen bessere Information, Identifikation von Brückenbauern zu den KMU und dem Aufzeigen von Vorteilen der IT-Sicherheit für die Wirtschaft.

Der ds-Kommentar: Dass die Bundesregierung die zentrale Rolle der sogenannten KMU anerkennt und gar die volkswirtschaftliche Dimension der Datensicherheit bei diesen strategisch wichtigen Wertschöpfungsquellen, hätte man kaum noch zu hoffen gewagt… Dieser längst überfällige Schritt ist zu begrüen, insbesondere wenn dahinter tatsächlich ein Erkenntnisgewinn steckt! In der Tat geht es nicht nur vordergründig um Datenschutzverletzungen oder Probleme mit der betrieblichen IT, sondern auch um schwer behebbare Einbußen an existenziell wichtigem immateriellen Vermögen, wie eben Vertrauen der Kunden und Geschäftsbeziehungen. Es bleibt zu hoffen, dass mit der Einrichtung der Task-Force „IT-Sicherheit in der Wirtschaft“ nun nicht nur einfach neue Gremien geschaffen werden, sondern tatsächlich im Betriebsalltag umsetzbare Verbesserungen bei der Datensicherheit gerade des kleineren Mittelstands erzielt werden! Red. datensicherheit.de