NIS-2, mehr als ein Buzzword. Intelligentes Risikomanagement ist gefragt!

Die neue europäische Cybersecurity-Richtlinie nimmt immer mehr Unternehmen und deren Management in die Pflicht. Dies ist besonders brisant, da viele CISOs nach eigener Einschätzung noch immer nicht ausreichend auf Angriffe ihrer IT-Systeme vorbereitet sind, sei es durch interne oder externe Bedrohungen. Für die Mehrheit ist die Anwendungssicherheit gar ein blinder Fleck in ihrer IT-Sicherheitsstrategie. NIS-2 sollte daher auch als Chance gesehen werden, um sich resilient und vor allem ganzheitlich aufzustellen.

Mit NIS-2 wird Cybersecurity zur Pflicht

Die Direktive stellt hohe technische und organisatorische Anforderungen, insbesondere an die Risikoanalyse und an den Schutz von Informationssystemen wie Krisen- und Notfallmanagement. Viele Unternehmen wissen nicht, wie sie den Herausforderungen komplexer IT-Systeme und hybrider ERP-Landschaften, einschließlich neuer Cloud-Anwendungen, begegnen sollen. Bereits vorhandene Softwaretools liefern häufig nicht die Informationen, die das Management benötigt, um Geschäftsrisiken zu verstehen und Bedrohungen zu begegnen. Diese Technologie- und Kommunikationslücke wird angesichts steigender Bedrohungen immer größer.

Trotz dieser Erkenntnisse findet allzu oft weder die überfällige Priorisierung der IT-Sicherheit innerhalb des Unternehmens noch die Einleitung dringend notwendiger Maßnahmen statt. Dabei ist die neue Direktive in ihren Konsequenzen für eine europaweite Resilienz eindeutig: Sie forciert, dass Cybersicherheit ein integraler Bestandteil der Unternehmenskultur und zur Chefsache wird. Wer sie vernachlässigt, setzt sein Unternehmen in Zukunft nicht nur einem erhöhten Angriffsrisiko aus, sondern auch enormen Bußgeldern. Das Thema muss daher jetzt priorisiert und die Umsetzungsfrist im Auge behalten werden.

Die Zahl der betroffenen Unternehmen ist groß, die Zeit knapp

Die Richtlinie weitet die Cybersicherheit auf geschätzte 30.000 mittelständische Unternehmen allein in Deutschland aus. Und diese sollten keine Zeit mehr verlieren, denn bereits im Oktober tritt NIS-2 endgültig in Kraft. Wer das Thema jetzt nicht angeht, wird es nicht mehr rechtzeitig schaffen. Einige wichtige Anforderungen greifen damit ab sofort, beispielsweise die Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Kommt es später zu einem sicherheitsrelevanten Vorfall, dessen Folgen auf eine Nichteinhaltung der Compliance-Vorgaben hindeuten, kann dies für Unternehmen sehr teuer werden.

Unsere Empfehlung: Schrittweise zur NIS-2 Konformität

Zunächst sollten Unternehmen prüfen, ob sie in den engen oder erweiterten Kreis der angesprochenen Organisationen fallen. Hier bietet die NIS-2-Betroffenheitsprüfung des BSI in wenigen Schritten eine gute Orientierung, auch für die vielen indirekt betroffenen Betriebe, die KRITIS-Unternehmen beliefern oder für diese tätig sind. Denn auch sie sind künftig verpflichtet, Standards zur Absicherung der Lieferkette zu erfüllen und nachzuweisen. Darüber hinaus wird NIS-2 als sogenanntes Artikelgesetz viele andere Gesetze für bestimmte Branchen, wie beispielsweise das Energiewirtschaftsgesetz, ändern und erweitern, somit sind auch diese zu prüfen.

Danach geht es an die Umsetzung der Maßnahmen. Marktlösungen, die pauschal die Bewältigung aller Herausforderungen versprechen, ohne die Besonderheiten jedes Unternehmens zu betrachten, sind dabei oft wenig effizient und zielführend.

Statt vieler Insellösungen gilt es vielmehr, die richtige Fachexpertise zu suchen und das Projekt möglichst ganzheitlich und passgenau schnell voranzutreiben. Bereits im Unternehmen vorhandene Prozesse, Software und etablierte Maßnahmen gilt es dabei zu berücksichtigen und neu zu bewerten.

Hilfestellungen für die Umsetzung der umfangreichen Maßnahmen

Die grundlegenden Anforderungen von NIS-2 sind

• ein Incident Management zur Vorbeugung, Erkennung und Bewältigung von Sicherheitsvorfällen,
• ein Identity & Access Management und
• ein Business Continuity Management, das nicht nur Backups und Disaster Recovery, sondern auch Krisenmanagement wie Notfallpläne vorsieht.

Da jedes Unternehmen anders ist, gibt es kein Patentrezept für die Vorgehensweise. Größere Unternehmen können sich bei der Implementierung eines Information Security Management Systems an die ISO 27001 und ihren Nachfolgern orientieren, kleinere auf den Grundschutzkatalog des BSI zurückgreifen, der mit dem ISO-Standard gut kompatibel ist. Auch branchenspezifische Sicherheitsstandards, die Sicherheitsmaßnahmen für Unternehmen definieren und Rechtssicherheit schaffen, gibt es mittlerweile in großer Zahl. Daneben bieten Regelwerke wie das NIST-Framework oder der DSAG-Prüfleitfaden speziell für SAP-Systemlandschaften Hilfestellungen, mit denen die IT-Sicherheit schnell um ein Vielfaches verbessert werden kann.

Der Weg zur Konformität folgt einem etablierten Muster

Die Roadmap sollte, wie bei jedem IT-Projekt dieser Art, mit einer Ist-Analyse der Assets und Technologien beginnen, um die internen IT-Strukturen zu dokumentieren und den Bedarf an zusätzlichen Anschaffungen und Dienstleistungen im Kontext von NIS-2 zu ermitteln. Aufbauend auf der Erstanalyse erfolgt dann eine realistische Risikoeinschätzung, um anschließend ein internes Kontrollsystem mit Prüfvorgaben sowie den sicher konfigurierten und optimalen Soll-Zustand zu definieren.

Im Rahmen der Systemhärtung erfolgt dann eine kontinuierliche Annäherung an den Soll-Zustand, indem Schwachstellen behoben und neue Prozesse etabliert werden. Um hier Zeit zu sparen, bietet sich ein agiles Projektmanagement an. Schließlich gilt es, das Erreichte kontinuierlich zu erhalten und durch präventive und detektive Kontrollen regelmäßig zu überprüfen. Am Ende steht so im Idealfall ein System, das all dies überwacht – und zwar rund um die Uhr und in Echtzeit. Denn die permanente Überwachung in Echtzeit ist eine der zentralen Forderungen von NIS-2.

Mit Threat Intelligence fundierte Entscheidungen treffen

Wir unterstützen Unternehmen dabei, die Umsetzung von NIS-2 nicht allein bewältigen zu müssen. Unsere neu entwickelte Threat-Intelligence-Lösung hilft, die Cybersicherheit zu verbessern und potenzielle Schwachstellen in Sekundenschnelle zu identifizieren und zu schließen – das gilt für SAP ECC Systemlandschaften, ebenso wie für SAP S/4HANA und integrierte Cloud Applikationen und darüber hinaus auch für Non-SAP-Systeme. Unsere intelligente Erweiterung von Threat Detection bildet eine zusätzliche Sicherheitsebene für IT-Systeme, in dem sie automatisierte, auf die jeweilige Risikosituation abgestimmte Prozesse, integriert. Dabei ist unsere Lösung weit mehr als ein weiteres statisches Tool, sie kann individuell angepasst und als integraler Bestandteil in die strategische Sicherheitsplanung jedes Unternehmens eingebunden werden.

Mit diesem ganzheitlichen Ansatz ist es möglich, die IT-Sicherheit sehr effektiv zu gestalten. Deshalb tun alle Unternehmen gut daran, ihre Sicherheitsmaßnahmen kontinuierlich zu verbessern, was nicht nur im Kontext von NIS-2 mehr denn je gefordert ist.

Wenn auch Sie Ihre Sicherheitsstrategie auf die nächste Stufe heben möchten oder noch Fragen haben, nehmen Sie gerne Kontakt mit uns auf.

Weiterführende Infos

Wie eine Zero-Trust-Strategie für NIS-2 aussehen kann, erfahren Sie in unserem Webinar: