Jetzt Beratungstermin anfragen
Whitepaper downloaden!

Geschäfts- und Betriebsmodelle
erfolgreich digitalisieren.

Jetzt entdecken
Die Progroup AG, ein europaweit tätiges Unternehmen der Papier- und Verpackungsindustrie.

Den digitalen Wandel erfolgreich gestaltet!

Zum Interview
Ihr Sparringspartner und Wegbegleiter in die digitale Zukunft

Management- und IT-Beratung

Jetzt entdecken

NIS-2: Was ist zu tun? Welche konkreten Handlungsoptionen haben Unternehmen?

15.07.2024 | NIS-2

Ihre Organisation ist von NIS-2 betroffen?

Dann ist jetzt schnelles Handeln angesagt. Unabhängig davon, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung eingestuft ist.

Die Zeit läuft: Ihre Berichtspflichten nach §23 werden bereits mit dem Inkraftsetzen des NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) ab dem 17. Oktober 2024 gelten.

Ihr Unternehmen, als wesentliche oder wichtige Einrichtungen eingestuft, wird ab diesem Zeitpunkt verpflichtet, „angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder zu minimieren.“ §21(1)

Wesentliche und wichtige Einrichtungen werde nach heutigem Stand bis zu drei Jahren Zeit haben, um Maßnahmen umzusetzen wie beispielsweise:

 

  • Risikoanalyse und Sicherheitskonzepte,
  • Bewältigung von Sicherheitsvorfällen,
  • Backup- und Krisenmanagement und
  • Gewährleistung der Sicherheit in der Lieferkette.

 

Je nach „Startlinie“ Ihrer Einrichtung eine mehr oder weniger große Herausforderung, die nicht unterschätzt werden sollte! Zudem ist zu erwarten, dass wesentliche Einrichtungen schneller der Kontrolle durch das BSI unterliegen werden.

Was ist zutun? Ermitteln Sie die „Startlinie“ für Ihre Organisation !

 

NIS-2 Compliance: Ehrliche Gap-Analyse

Beginnen Sie mit dem ersten und wichtigen Schritt zur NIS-2-Compliance: Die Erkennung, Beschreibung und Bewertung der Risken, wie sie für Ihre Einrichtung relevant sind.

Mit praxisbewährten Checklisten, bis hin zum mächtigen Werkzeug einer IT Due Diligence, unterstützen wir Sie und Ihre Einrichtung dabei, auf der Basis dieser Risikobewertung eine ehrliche GAP-Analyse durchzuführen.

Darauf aufbauend entwickeln wir mit Ihnen eine auf Ihre Einrichtung genau passende, angemessene und verhältnismäßige Vorgehensweise zur Erreichung ihrer NIS-2-Compliance. Was muss Ihre Einrichtung tun, um die NIS-2-Minimalanforderung zu erfüllen? Welche technischen und organisatorischen Veränderungen sind kurz-, mittel- und langfristig zu managen?

Welche Investitionen sind zu planen?

Ihre NIS-2-Compliance wird Geld kosten, es führt aber kein Weg daran vorbei.

 

Einführung/Optimierung eines ISMS

Als großen und wichtigen Schritt zur NIS-2-Compliance empfehlen wir die Einführung und Nutzung (oder Optimierung) eines Informations-Sicherheits-Management-Systems (ISMS) als Rahmenwerk, dass die Struktur, Richtlinien und Prozesse zur Verwaltung und Sicherung von Unternehmensinformationen definiert. Technologische Aspekte sind ebenso Fokus wie Prozesse, die Mitarbeitenden und die physische Sicherheit:

„Mit (Informations-)Sicherheitsmanagement wird die Planungs-, Lenkungs- und Kontrollaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen.“ (BSI)

Damit ist ein auf Ihre Einrichtung abgestimmtes ISMS ein wichtiger Baustein zur Erfüllung der NIS-2-Mindestanforderungen.

Wir empfehlen ein ISMS auf Basis der Best Practices der ISO 27000-Reihe.

Die ISO/IEC 27000 Familie (Auszug). Eigene Grafik.

Mit dieser laufend erweiterten Normenreihe hat die "International Organization for Standardization (ISO)" eine Sammlung internationaler Standards vorgelegt, die Sicherheitsmaßnahmen für den Schutz der IT definieren. Sie liefert Best-Practice-Empfehlungen und damit einen praxisbewährten Standard, einen ganzheitlichen Ansatz und eine risikobasierte Methodik.

Die Prüfung und Zertifizierung nach ISO 27001 ist ein großer Schritt Richtung NIS-2-Compliance.

 

 

Unsere Empfehlung: Zertifizierung nach ISO 27001:2024

Auch wenn es so scheint, als wäre noch viel Zeit bis zu Ihrer NIS-2-Compliance: Gehen Sie jetzt einen großen Schritt in die richtige Richtung, indem, auf Basis einer ehrlichen GAP-Analyse, zunächst Ihr vorhandenes ISMS optimiert oder ein neues ISMS eingeführt wird.

Eine mögliche Vorgehensweise: Ihr Phasenplan zur NIS-2-Compliance (Eigene Grafik)

 

Die damit verbundene Prozessoptimierung wird Zeit (und Geld) kosten, hilft Ihnen aber, die NIS-2-Mindestanforderungen inklusive der dazu gehörenden Dokumentation und Qualitätssicherung zu erreichen.

Beginnen Sie jetzt! Abwarten ist keine Option.

 

NIS-2-Compliance. Jetzt handeln!

Wir beraten und unterstützen Sie bei der GAP-Analyse, Planung und Umsetzung Ihrer angemessenen und verhältnismäßigen NIS-2-Compliance.

 


Ihren Weg zur NIS-2-Compliance begleiten wir von Anfang bis Ende auf Augenhöhe und unterstützen Sie in der Kommunikation mit den Aufsichtsbehörden.

 

Autor: Dr. Peter Samulat

Jetzt Kontakt aufnehmen

In unserem Blogartikel liegt uns die Gleichberechtigung aller Geschlechter am Herzen. Wir formulieren unsere Blogs stets genderneutral, um alle LeserInnen gleichermaßen anzusprechen und zu inkludieren.