Schutz kritischer Infrastrukturen in Europa
Was NIS2 für Unternehmen bedeutet
Fortsetzung des Artikels von Teil 1
Frist für die Umsetzung
Ende Dezember 2022 wurde die NIS2-Richtlinie verabschiedet und in der EU offiziell gemacht. Seither haben die Mitgliedsstaaten 21 Monate Zeit, die Richtlinie in nationales Recht zu wandeln. Das heißt aber nicht, dass Unternehmen bis dahin mit der Umsetzung der neuen Maßnahmen warten können: Bereits 18 Monate nach der Verabschiedung müssen die von der Richtlinie betroffenen Organisationen in der Lage sein, diese einzuhalten. Das mag zwar lang erscheinen, aber wir wissen aus Erfahrung, dass es für viele Unternehmen sehr lange dauern kann, neue Maßnahmen, Verfahren etc. einzuführen. Deshalb ist es wichtig, dass alle betroffenen Einrichtungen und Unternehmen sofort mit der Umsetzung beginnen.
Ratschläge zum Einstieg
Wie erwähnt, enthält die NIS2-Richtlinie keine Checkliste oder Mindestanforderungen an die Schutztechnologie. Sie beschreibt, wie ein angemessenes Schutzniveau aussieht, das sich auf verschiedene Weise interpretieren lässt. Man darf jedoch davon ausgehen, dass Unternehmen zumindest Firewall- und Intrusion-Prevention-Technik in ihrem Netzwerk benötigen, zudem Endpunktsicherheit und die Implementierung von Multi-Faktor-Authentifizierung, Datenverschlüsselung und Zugangsbeschränkung.
Es ist jedoch wichtig zu erwähnen, dass man nicht alles mit Technologie lösen kann: Verfahren und Technologie sind gleichermaßen wichtig. Das bedeutet, dass sich Unternehmen einen Überblick verschaffen und einen Plan aufstellen sollten, anstatt nur nach einer schnellen Lösung zu suchen. In diesem Sinne gibt es einige erste Schritte, die man gehen kann. Zunächst ist es wichtig zu prüfen, ob das eigene Unternehmen unter die neue Richtlinie fällt. Ist das der Fall, sind folgende Aspekte zu beachten:
- Vergewissern Sie sich, dass die IT-Sicherheit für die Unternehmensleitung Priorität hat und sich die Führungskräfte ihrer Verantwortung bewusst sind.
- Beginnen Sie mit der Analyse der Bedürfnisse Ihres Unternehmens und erstellen Sie einen Fahrplan mit klaren Zielen und Zeitvorgaben zur Umsetzung.
- Identifizieren und priorisieren Sie Ihre Vermögenswerte, einschließlich Informationen, Prozessen und Systemen.
- Konzipieren Sie einen Rahmen, auf dem Sie Ihre Sicherheit aufbauen können. Dies könnte ISO2001 oder NIST sein. Wichtig ist auch, dass Sie ein Risiko-Management für Ihre Vermögenswerte und Abläufe einführen.
- Automatisieren Sie so viele Prozesse und Routinen wie möglich. So sollte beispielsweise die IT-Sicherheit in Zukunft immer Teil neuer Systeme und Cloud-Einführungen sein.
- Konsolidieren Sie Ihre Sicherheitsfunktionen und -lösungen. Das macht den Betrieb einfacher und sicherer und senkt unter anderem die Personalkosten.
- Führen Sie einen Meldeprozess ein, der den NIS2-Anforderungen entspricht, und stellen Sie sicher, dass er nutzbar ist, um Angriffe und Bedrohungen zu entschärfen.
Viele Organisationen haben bereits einige Maßnahmen umgesetzt, da sie die ursprünglichen NIS-Anforderungen erfüllen mussten. Andere Organisationen müssen sich jedoch auf eine völlig neue Realität einstellen. Das kann eine große und entmutigende Aufgabe sein, für manche gar überwältigend erscheinen. Aus diesem Grund tut jeder gut daran, sich früh mit den Anforderungen und möglichen Maßnahmen zu befassen sowie Experten zu Rate zu ziehen.
- Was NIS2 für Unternehmen bedeutet
- Frist für die Umsetzung
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
