Nur in knapp zwei Drittel der deutschen Unternehmen gibt es Richtlinien zum richtigen Verhalten bei Sicherheitsvorfällen – das hat eine aktuelle Umfrage im Auftrag von secunet ergeben. Dabei ist Cybersecurity wichtiger denn je und wird inzwischen auch von der Politik gefordert. Besonders die NIS-2-Richtlinie betrifft einen großen Teil der deutschen Wirtschaft. Worum geht es darin und wie gelingt die Umsetzung?
Die „Directive on Security of Network and Information Systems“ (kurz: NIS-2-Richtlinie) gilt seit Januar 2023 und muss von alle EU-Mitgliedsstaaten in nationales Recht überführt werden. In Deutschland existiert bereits ein Entwurf zum Umsetzungsgesetz (NIS2UmsuCG), dessen Inkrafttreten im März 2025 erwartet wird. Betroffen von der neuen Regulierung sind vor allem Betreiber kritischer Infrastrukturen in Branchen wie Energie, Gesundheitswesen, digitale Infrastruktur sowie Finanzmärkte. Sie sind dazu aufgefordert, sich im Bereich Informations-, IT- und OT-Sicherheit entsprechend den Anforderungen des Gesetzes aufzustellen und ihre Prozesse zu schützen.
NIS-2: So gelingt die Umsetzung im Unternehmen
Dabei ist die Implementierung der Sicherheitsvorgaben als Marathon, nicht als Sprint zu sehen. Unternehmen sollten zunächst prüfen, ob und wie sie von den neuen Gesetzen betroffen sind oder sein werden. Ein Information Security Management System (ISMS), das Risikomanagement und die Umsetzung von Maßnahmen zur Erreichung eines angemessenen Risiko- und Sicherheitsniveaus in der IT und gegebenenfalls OT sind unerlässlich. Dazu gehören auch die Umsetzung und Aufrechterhaltung der IT-Sicherheitstechnologien, die dem aktuellen Stand der Technik entsprechen müssen. secunet bietet Unternehmen mit dem NIS-2-Check-up eine Standortbestimmung, die ihnen Aufschluss über ihre Compliance-Situation gibt und potenzielle Sicherheitslücken aufdeckt.
Das deutsche NIS-2-Umsetzungsgesetz im derzeitigen Entwurf fordert von KRITIS-Unternehmen, ein System zur Angriffserkennung zu implementieren. Um die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu erfüllen und Cyberangriffe frühzeitig zu erkennen, sind vor allem mittelständische KRITIS-Betreiber auf eine einfach umsetzbare Lösung angewiesen. Denn häufig fehlt es an Budget und Ressourcen, genauso wie an Forensik-Kenntnissen bei einem Cyberangriff. Hier kommen Systeme zur Angriffserkennung wie secunet monitor KRITIS ins Spiel. Diese können verhaltensbasierte Anomalien und verdächtige Aktivitäten im Netzwerk identifizieren, bevor sie zu größeren Sicherheitsvorfällen führen.
Unternehmen sollten jetzt handeln – denn NIS-2 kommt, daran führt kein Weg vorbei.