NIS-2-Einführung: Rollen definieren und kommunizieren

Das von NIS 2 geforderte „Cyberrisikomanagement“ klingt nach einer sehr komplexen Aufgabe. Doch viele Experten betonen: Ein Unternehmen auf NIS-2-Kurs zu bringen ist kein Hexenwerk. 

Schritt: Führungsebene schulen

NIS 2 macht Cybersecurity und Cyberrisikomanagement zur Chefsache. Der Fokus der Geschäftsleitung liegt jedoch in aller Regel auf dem Business und den Finanzen. Wie sehr das alles heute von IT abhängt, ist vielen Führungskräften gar nicht bewusst. Ein Experte berichtete im Interview vom Chef eines ambulanten Pflegedienstes, der aus allen Wolken fiel, als ein Ransomware-Angriff seinen Betrieb beinahe lahmlegte.

„In der Geschäftsführung und den oberen Leitungsebenen ist das Problembewusstsein oft noch nicht in ausreichendem Maße vorhanden“, konstatiert Tim Berghoff, Security Evangelist bei G Data. Es gilt also zunächst, für einheitliches Basiswissen und eine gemeinsame Sprache zu sorgen. Viele IT-Verantwortliche kennen diese Hürde noch aus Zeiten, als es um die Einführung eines IT-Servicemanagements gemäß ITIL ging oder um die Umsetzung der Datenschutz-Grundverordnung (DSGVO), so im „Security-Insider„.

Ein Geschäftsführer eines Unternehmens haftet für die NIS-2-Umsetzung im doppelten Sinne: Erstens im Sinne einer „Wissenshaftung“: „Ich muss Entscheidungen, die ich zum Risikomanagement treffe, auch verstehen können“, sagt Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen. Zweitens hafte ein Chef, der NIS 2 vernachlässigt, für entstandene Schäden („Innenhaftung“).
Mangelndes Engagement fällt einem also spätestens beim ersten größeren Sicherheitsvorfall auf die Füße. Ein weiterer Tipp: Jeder Geschäftsführer sollte sich anschauen, ob man solche Vorfälle in die private Haftpflichtversicherung mit reinnimmt. Dagegen spricht, dass KRITIS und NIS-2 ausdrücklich den Haftung aus Geschäftsführerverträgen abweist.

Schritt: Security-Strategie kommunizieren

Ein Unternehmen muss also eine Security-Strategie erarbeiten oder seine bestehende gegebenenfalls überarbeiten. Es ist sinnvoll, dies frühzeitig im Haus zu kommunizieren. „Die Geschäftsleitung sollte alle Führungskräfte gleich zu Anfang informieren und dem auch Nachdruck verleihen: Wie, „wir haben die Auflage, NIS 2 umzusetzen, und ich möchte, dass Sie mithelfen!‘“

Ein wichtiger Baustein der Unternehmenssicherheit sind informierte und wachsame Beschäftigte. Hilfreich ist es hier, Achtsamkeitsschulungen einzuführen, sofern sie im Haus nicht schon üblich sind.

Welcher Unternehmen sind von NIS-2 betroffen?

Wichtig, Unternehmen müssen nicht direkt betroffen sein. Auch als Zulieferer eines solchen kann der Kunde auf Sie zukommen.
Sind Sie unsicher, ob Ihr Unternehmen vom Gesetzentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betroffen ist?
Die kostenlose NIS-2-Betroffenheitsprüfung des BSI bietet Ihnen in wenigen Schritten dafür eine erste Orientierung.
Zum sog. Entscheidungsbaum der NIS-2-Betroffenheitsprüfung gelangen Sie hier: Download Entscheidungsbaum der NIS-2-Betroffenheitsprüfung des BSI (PDF).

Anforderungen für Unternehmen: Sicherstellung der IT-Sicherheit und Einhaltung der Meldepflichten – Effektive Strategien für IT-Sicherheit und Risikomanagement

Unternehmen, die relevante Systeme betreiben, müssen effektive technische und organisatorische Maßnahmen (TOM) zur Sicherstellung ihrer IT-Sicherheit implementieren. Es wird erwartet, dass folgende grundlegende Maßnahmen ergriffen werden:

  • Risikoanalyse und Sicherheit für IT-Systeme
  • Aufrechterhaltung und Wiederherstellung sowie Backup-Management
  • Sicherheit der Lieferketten sowie zwischen Einrichtungen und Dienstleistern
  • Sicherheit in der Entwicklung, Beschaffung und Wartung sowie Schwachstellen-Management
  • Bewertung der Effektivität der IT-Sicherheit und entsprechendes Risiko-Management
  • Schulungen zur IT-Sicherheit und Cyberhygiene
  • Verschlüsselung und Kryptografie
  • Personalsicherheit, Zugriffskontrolle und Anlagen-Management
  • Multi-Faktor-Authentifizierung
  • Sichere Kommunikation
  • Krisen-Management und sichere Notfallkommunikation

Hinweis: Bis zur Verabschiedung des Gesetzes können sich die Details noch ändern.

Meldepflicht für Unternehmen

Sollte sich in einem betroffenen Unternehmen ein Sicherheitsvorfall ereignen, ergibt sich daraus für Unternehmen eine verschärfte Meldepflicht.

1. Innerhalb von 24 Stunden nach Bekanntwerden eines Sicherheitsvorfalls muss ein vorläufiger Bericht an das BSI übermittelt werden.

2. Innerhalb von 72 Stunden muss ein vollständiger Bericht mit einer ersten Bewertung des Vorfalls folgen.

3. Innerhalb eines Monats muss dann ein Abschlussbericht folgen, der den Vorfall und die Art der Bedrohung detailliert beschreibt und grenzüberschreitenden Auswirkungen enthält.

Sanktionen & Bußgelder für Unternehmen: Risiken bei Nichtbeachtung verstehen

Um die Einhaltung strenger Vorschriften durch betroffene Organisationen sicherzustellen, werden bei Nichteinhaltung erhöhte Meldepflichten und verschärfte Sanktionen angewandt. 

Was konkret können Sie tun?

1. Benennen Sie zuständige Personen

Suchen, benennen und befähigen Sie mindestens zwei Personen Ihres Unternehmens, eine koordinierende Rolle für die Informationssicherheit zu übernehmen. IT-Grundschutz-Baustein ORP.2 Personal

2. Übernehmen Sie als Leitung die Verantwortung

Bereiten Sie sich als Unternehmensleitung darauf vor, Verantwortung im Bereich Risikomanagement übernehmen zu können und informieren Sie sich über entsprechende Schulungsangebote (vgl. § 38 BSIG-E im Regierungsentwurf zum NIS2UmsuCG).

Auf der Webseite Management von Cyber-Risiken der Allianz für Cyber-Sicherheit finden Sie ein Handbuch und ein Toolkit für Unternehmensleitungen. Weitere Infos auch auf den BSI-Seiten: www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun_node.html


Einen interessanten Beitrag zum Thema IT-Risiken findet sich hier: „Ursachen und Szenarien von IT-Systemausfällenhttps://www.bitmi.de/business-continuity-management-und-krisenkommunikation-bei-it-systemausfaellen/

Steht eine NIS-2-Einführung an?

Wie Sie Rollen definieren und kommunizieren, dabei unterstützen wir Sie, und geben Ihnen die Werkzeuge in die Hand, um die Sicherheitsrichtlinien umzusetzen.
Kostenfreies Consulting buchen.

Dieser Beitrag wurde unter Blog, Change Communication, Change Management, Cleantech, Cloud-IT, Consulting, Digitalisierung, Digitalization, IT-Development, IT-Security, IT/Cloud, Security, Ziele abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.