Die neue europ\u00e4ische Cybersecurity-Richtlinie nimmt immer mehr Unternehmen und deren Management in die Pflicht. Dies ist besonders brisant, da viele CISOs nach eigener Einsch\u00e4tzung noch immer nicht ausreichend auf Angriffe ihrer IT-Systeme vorbereitet sind, sei es durch interne oder externe Bedrohungen. F\u00fcr die Mehrheit ist die Anwendungssicherheit gar ein blinder Fleck in ihrer IT-Sicherheitsstrategie. NIS-2 sollte daher auch als Chance gesehen werden, um sich resilient und vor allem ganzheitlich aufzustellen.<\/p>\n\n\n\n
Die Direktive stellt hohe technische und organisatorische Anforderungen, insbesondere an die Risikoanalyse und an den Schutz von Informationssystemen wie Krisen- und Notfallmanagement. Viele Unternehmen wissen nicht, wie sie den Herausforderungen komplexer IT-Systeme und hybrider ERP-Landschaften, einschlie\u00dflich neuer Cloud-Anwendungen, begegnen sollen. Bereits vorhandene Softwaretools liefern h\u00e4ufig nicht die Informationen, die das Management ben\u00f6tigt, um Gesch\u00e4ftsrisiken zu verstehen und Bedrohungen zu begegnen. Diese Technologie- und Kommunikationsl\u00fccke wird angesichts steigender Bedrohungen immer gr\u00f6\u00dfer.<\/p>\n\n\n\n
Trotz dieser Erkenntnisse findet allzu oft weder die \u00fcberf\u00e4llige Priorisierung der IT-Sicherheit innerhalb des Unternehmens noch die Einleitung dringend notwendiger Ma\u00dfnahmen statt. Dabei ist die neue Direktive in ihren Konsequenzen f\u00fcr eine europaweite Resilienz eindeutig: Sie forciert, dass Cybersicherheit ein integraler Bestandteil der Unternehmenskultur und zur Chefsache wird. Wer sie vernachl\u00e4ssigt, setzt sein Unternehmen in Zukunft nicht nur einem erh\u00f6hten Angriffsrisiko aus, sondern auch enormen Bu\u00dfgeldern. Das Thema muss daher jetzt priorisiert und die Umsetzungsfrist im Auge behalten werden.<\/p>\n\n\n\n
Die Richtlinie weitet die Cybersicherheit auf gesch\u00e4tzte 30.000 mittelst\u00e4ndische Unternehmen allein in Deutschland aus. Und diese sollten keine Zeit mehr verlieren, denn bereits im Oktober tritt NIS-2 endg\u00fcltig in Kraft. Wer das Thema jetzt nicht angeht, wird es nicht mehr rechtzeitig schaffen. Einige wichtige Anforderungen greifen damit ab sofort, beispielsweise die Registrierungspflicht beim Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI). Kommt es sp\u00e4ter zu einem sicherheitsrelevanten Vorfall, dessen Folgen auf eine Nichteinhaltung der Compliance-Vorgaben hindeuten, kann dies f\u00fcr Unternehmen sehr teuer werden.<\/p>\n\n\n\n
Zun\u00e4chst sollten Unternehmen pr\u00fcfen, ob sie in den engen oder erweiterten Kreis der angesprochenen Organisationen fallen. Hier bietet die NIS-2-Betroffenheitspr\u00fcfung des BSI<\/strong><\/a> in wenigen Schritten eine gute Orientierung, auch f\u00fcr die vielen indirekt betroffenen Betriebe, die KRITIS-Unternehmen beliefern oder f\u00fcr diese t\u00e4tig sind. Denn auch sie sind k\u00fcnftig verpflichtet, Standards zur Absicherung der Lieferkette zu erf\u00fcllen und nachzuweisen. Dar\u00fcber hinaus wird NIS-2 als sogenanntes Artikelgesetz viele andere Gesetze f\u00fcr bestimmte Branchen, wie beispielsweise das Energiewirtschaftsgesetz, \u00e4ndern und erweitern, somit sind auch diese zu pr\u00fcfen.<\/p>\n\n\n\n Danach geht es an die Umsetzung der Ma\u00dfnahmen. Marktl\u00f6sungen, die pauschal die Bew\u00e4ltigung aller Herausforderungen versprechen, ohne die Besonderheiten jedes Unternehmens zu betrachten, sind dabei oft wenig effizient und zielf\u00fchrend.<\/p>\n\n\n\n Statt vieler Insell\u00f6sungen gilt es vielmehr, die richtige Fachexpertise zu suchen und das Projekt m\u00f6glichst ganzheitlich und passgenau schnell voranzutreiben. Bereits im Unternehmen vorhandene Prozesse, Software und etablierte Ma\u00dfnahmen gilt es dabei zu ber\u00fccksichtigen und neu zu bewerten.<\/p>\n\n\n\n Die grundlegenden Anforderungen von NIS-2 sind<\/p>\n\n\n\n Da jedes Unternehmen anders ist, gibt es kein Patentrezept f\u00fcr die Vorgehensweise. Gr\u00f6\u00dfere Unternehmen k\u00f6nnen sich bei der Implementierung eines Information Security Management Systems an die ISO 27001 und ihren Nachfolgern orientieren, kleinere auf den Grundschutzkatalog des BSI zur\u00fcckgreifen, der mit dem ISO-Standard gut kompatibel ist. Auch branchenspezifische Sicherheitsstandards, die Sicherheitsma\u00dfnahmen f\u00fcr Unternehmen definieren und Rechtssicherheit schaffen, gibt es mittlerweile in gro\u00dfer Zahl. Daneben bieten Regelwerke wie das NIST-Framework oder der DSAG-Pr\u00fcfleitfaden speziell f\u00fcr SAP-Systemlandschaften Hilfestellungen, mit denen die IT-Sicherheit schnell um ein Vielfaches verbessert werden kann.<\/p>\n\n\n\n Die Roadmap sollte, wie bei jedem IT-Projekt dieser Art, mit einer Ist-Analyse der Assets und Technologien beginnen, um die internen IT-Strukturen zu dokumentieren und den Bedarf an zus\u00e4tzlichen Anschaffungen und Dienstleistungen im Kontext von NIS-2 zu ermitteln. Aufbauend auf der Erstanalyse erfolgt dann eine realistische Risikoeinsch\u00e4tzung, um anschlie\u00dfend ein internes Kontrollsystem mit Pr\u00fcfvorgaben sowie den sicher konfigurierten und optimalen Soll-Zustand zu definieren.<\/p>\n\n\n\n Im Rahmen der Systemh\u00e4rtung erfolgt dann eine kontinuierliche Ann\u00e4herung an den Soll-Zustand, indem Schwachstellen behoben und neue Prozesse etabliert werden. Um hier Zeit zu sparen, bietet sich ein agiles Projektmanagement an. Schlie\u00dflich gilt es, das Erreichte kontinuierlich zu erhalten und durch pr\u00e4ventive und detektive Kontrollen regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen. Am Ende steht so im Idealfall ein System, das all dies \u00fcberwacht – und zwar rund um die Uhr und in Echtzeit. Denn die permanente \u00dcberwachung in Echtzeit ist eine der zentralen Forderungen von NIS-2.<\/p>\n\n\n\n Wir unterst\u00fctzen Unternehmen dabei, die Umsetzung von NIS-2 nicht allein bew\u00e4ltigen zu m\u00fcssen. Unsere neu entwickelte Threat-Intelligence-L\u00f6sung<\/strong><\/a> hilft, die Cybersicherheit zu verbessern und potenzielle Schwachstellen in Sekundenschnelle zu identifizieren und zu schlie\u00dfen \u2013 das gilt f\u00fcr SAP ECC Systemlandschaften, ebenso wie f\u00fcr SAP S\/4HANA und integrierte Cloud Applikationen und dar\u00fcber hinaus auch f\u00fcr Non-SAP-Systeme. Unsere intelligente Erweiterung von Threat Detection bildet eine zus\u00e4tzliche Sicherheitsebene f\u00fcr IT-Systeme, in dem sie automatisierte, auf die jeweilige Risikosituation abgestimmte Prozesse, integriert. Dabei ist unsere L\u00f6sung weit mehr als ein weiteres statisches Tool, sie kann individuell angepasst und als integraler Bestandteil in die strategische Sicherheitsplanung jedes Unternehmens eingebunden werden.<\/p>\n\n\n\n Mit diesem ganzheitlichen Ansatz ist es m\u00f6glich, die IT-Sicherheit sehr effektiv zu gestalten. Deshalb tun alle Unternehmen gut daran, ihre Sicherheitsma\u00dfnahmen kontinuierlich zu verbessern, was nicht nur im Kontext von NIS-2 mehr denn je gefordert ist.<\/p>\n\n\n\n Wenn auch Sie Ihre Sicherheitsstrategie auf die n\u00e4chste Stufe heben m\u00f6chten oder noch Fragen haben, nehmen Sie gerne Kontakt<\/a> mit uns auf.<\/p>\n\n\n\n Lesen Sie mehr \u00fcber Pathlock Threat Intelligence<\/strong><\/a>.<\/p>\n\n\n\n Wie eine Zero-Trust-Strategie f\u00fcr NIS-2 aussehen kann, erfahren Sie in unserem Webinar:<\/p>\n\n\n\nHilfestellungen f\u00fcr die Umsetzung der umfangreichen Ma\u00dfnahmen<\/strong><\/h2>\n\n\n\n
\n
Der Weg zur Konformit\u00e4t folgt einem etablierten Muster<\/strong><\/h2>\n\n\n\n
Mit Threat Intelligence fundierte Entscheidungen treffen<\/strong><\/h2>\n\n\n\n
Weiterf\u00fchrende Infos<\/strong><\/h2>\n\n\n\n