Zum Schutz gegen Cyberattacken wurde 2021 das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) beschlossen. Durch die in nationales Recht umzusetzende NIS-2-Richtlinie soll das Sicherheitsniveau weiter erhöht und die Resilienz auf einen größeren Kreis von Unternehmen ausgeweitet werden. Die Etablierung eines angemessenen Sicherheitsniveaus bringt neben einer Erhöhung der Netzwerksicherheit auch einige Schwierigkeiten für Unternehmen und insbesondere KRITIS-Betreiber mit sich.
Die Umsetzung von Schutzmaßnahmen erscheint auf den ersten Blick als technisches Projekt, jedoch birgt die Umsetzung mehrere potenzielle Fallstricke, die zum Teil außerhalb des technischen Bereichs liegen.
Herausforderungen und Lösungsansätze für KRITIS-Betreiber
Die erste und wohl offensichtlichste Herausforderung bei der Umsetzung der Anforderungen aus IT-SiG 2.0 und NIS-2 besteht darin, die technischen Anforderungen zu identifizieren und dann angemessen umzusetzen. Die Implementierung der Anforderungen aus IT-SiG 2.0 und NIS-2 kann sich als besonders anspruchsvoll erweisen, wenn die Anforderungen den Soll-Zustand zwar skizzieren, der Ist-Zustand aber nicht explizit dokumentiert wurde. Die Diskrepanz zwischen Soll- und Ist-Zustand sollte aber in jedem Fall mithilfe einer GAP-Analyse ermittelt werden, um das weitere Vorgehen zu definieren.
Ein weiteres Problem liegt darin, dass IT-Sicherheit häufig als Expertenthema betrachtet wird. Die Etablierung eines abteilungsübergreifenden Managementsystems, das den Themenbereich IT-Sicherheit als solches umfasst, sorgt dafür, dass das Thema gesamtheitlich betrachtet wird. In der Praxis gestaltet sich das jedoch schwierig, denn häufig fehlt es unternehmensintern an qualifiziertem Personal. Eine effiziente Möglichkeit ist die Nutzung von professionellem Projektmanagement bei der Etablierung eines Managementsystems zur IT-Sicherheit. Dabei ist es häufig unklar, welche Schritte dafür unternommen werden müssen.
Es ist wichtig, zu Beginn ein Vorgehensmodell zu entwickeln. Für ENLITE ist dabei ein zentraler Faktor interne Multiplikatoren zu schaffen, die die Nachhaltigkeit der geschaffenen Systeme sicherstellen. Durch den bei ENLITE etablierten Train-the-Trainer-Ansatz können Stakeholder auch unternehmensintern geschult werden, während das Managementsystem bereits etabliert wird. Denn auch das schönste System ist wirkungslos, wenn IT-Sicherheit nicht nachhaltig gelebt wird und Passwörter weiterhin „123456“ sind oder unter der Tastatur kleben.
Bei der Umsetzung von konkreten Cybersecurity-Maßnahmen sollten jene Managementprozesse verwendet werden. Denn die Kombination aus technischer Umsetzung und Vorhandensein eines Managementsystems haben nicht zwangsläufig zur Folge, dass regulatorische Anforderungen angemessen umgesetzt werden – die dritte große Herausforderung. Die Anwendung von Projektmanagementtools, wie z. B. Risikomanagement und Terminplanung, tragen hierbei erheblich zur erfolgreichen Umsetzung bei. Für den Projekterfolg ist es förderlich, diese Projektmanagement-Leistungen zur internen Ressourcenschonung zu externalisieren und von spezifischer Expertise bei der Umsetzung von IT-Sicherheitsprojekten zu profitieren.
IT-SiG 3.0 und NIS-3
Auch wenn aktuell die Anforderungen aus IT-SiG 2.0 und NIS-2 umgesetzt werden, ist davon auszugehen, dass zukünftig weitere Richtlinien erlassen werden, da Cyberkriminelle stetig neue Methoden entwickeln. IT-Sicherheit ist daher nicht als Sprint zu betrachten, sondern als Marathon. Demnach ist es sinnvoll, bereits jetzt mit dem Training zu beginnen, um sich auf die Herausforderungen von morgen vorzubereiten.