LEADERSNET: Könnten Sie uns eine kurze Einführung in die NIS2-Richtlinie geben und erläutern, wie sie sich von der vorherigen NIS-Richtlinie unterscheidet und wen sie betrifft?
Mit der neuen Cybersicherheitsgesetzgebung – kurz NIS 2 - werden für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei IT-Sicherheitsvorfällen gelten.
Die derzeit geltenden Regelungen aus der NIS-Richtlinie aus dem Jahr 2016 betreffen vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter:innen digitaler Dienste. Die grundlegende Zielsetzung der NIS-2-Richtlinie bleibt im Vergleich zu NIS 1 bestehen, nämlich die Schaffung eines hohen gemeinsamen Cybersicherheits-Niveaus in der EU.
Zentraler Unterschied ist jedoch die enorme Ausweitung des Anwendungsbereiches und damit der betroffenen Unternehmen. Vor allem durch die Einbeziehung eines wesentlichen Teils der produzierenden Industrie (u. a. chemische Stoffe, Lebensmittel, elektrotechnische Industrie) betrifft NIS 2 künftig weite Bereiche der Wirtschaft. Bezugnehmend auf die Sicherheit der Lieferkette kommt ergänzend dazu, dass NIS 2 auch Auswirkungen für Zuliefernde, Auftragnehmer:innen oder Partner:innen von kritischen Diensteanbieter:innen hat – sogenannte indirekt betroffene Unternehmen.
Durch die Ausweitung des Anwendungsbereiches gelten nun auch strengere Haftungsregeln für das Management der betroffenen Organisationen. Neu eingeführt wird mit NIS 2 eine persönliche Haftung von Führungskräften, die für Verstöße gegen die Einhaltung der Richtlinie verantwortlich gemacht werden können.
LEADERSNET: Welche Herausforderungen sehen Sie bei der Umsetzung der NIS2-Richtlinie für Unternehmen und was passiert, wenn man sie nicht umsetzt?
Viele Firmen, die das Thema Cybersicherheit bisher nur stiefmütterlich behandelt haben, stehen mit NIS 2 nun vor der zentralen Herausforderung, verpflichtende Maßnahmen auf technischer, betrieblicher und organisatorischer Ebene umzusetzen.
Dazu gehören unter anderem die Konzeption und Umsetzung von Maßnahmen zur Bewertung von Risikomanagementmaßnahmen, die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung bzw. der kontinuierlichen Authentifizierung sowie die Konzeption und Umsetzung von Maßnahmen im Bereich der Zugriffskontrollen, um nur einige zentrale Aspekte aus der NIS 2 Richtlinie hervorzuheben. Zu den Pflichten der Führungskräfte gehört es künftig auch, selbst an Cybersicherheitsschulungen teilzunehmen und solche Schulungen regelmäßig allen Mitarbeitenden anzubieten.
Verschärfend kommt dazu, dass die Regelungen aller Voraussicht nach ab 18. Oktober 2024 gelten werden. Übergangsfristen sind im aktuellen Gesetzesentwurf keine vorgesehen.
Ob die Organisation gemäß NIS 2 als sogenannte "wesentliche" der "wichtige" Einrichtung eingestuft wird, hat keine Auswirkung auf die Umsetzung der geforderten Sicherheitsmaßnahmen – sehr wohl aber bei Aufsicht und Sanktionen. So werden bei "wesentlichen Einrichtungen" regelmäßige und gezielte Sicherheitsüberprüfungen sowie Stichprobenkontrollen gefordert, während "wichtige Einrichtungen" nur bei begründetem Verdacht überprüft werden müssen. Das Sanktionsausmaß bei Nichteinhaltung der NIS 2 Anforderungen ist allgemein sehr hoch und vergleichbar mit dem DSGVO-Bußgeldrahmen.
LEADERSNET: Wie schätzen Sie den Bedarf an spezialisierten Dienstleistungen zur Unterstützung bei der NIS2-Compliance ein?
Hoch! Wir empfehlen dringend, sich frühzeitig mit der Umsetzung der NIS 2-Richtlinie vertraut zu machen, da die geforderten Maßnahmen eine nicht zu unterschätzende Vorlaufzeit benötigen.
Bewährt hat sich die Durchführung einer NIS 2 Gap-Analyse, wo im ersten Schritt die Betroffenheit des Unternehmens geklärt wird, Lücken in Bezug auf die NIS 2 Anforderungen identifiziert werden sowie abschließend eine Maßnahmenkatalog – „NIS 2 RoadMap“ – erstellt wird. Derzeit gibt es bei uns noch freie Termine für eine solche Analyse, wie gesagt, empfehlen wir aber sich nicht zu lange Zeit zu lassen.
LEADERSNET: Wie gewährleisten Sie die kontinuierliche Schulung und Sensibilisierung Ihrer Mitarbeiter im Bereich Cybersecurity und NIS2?
Unsere Software "Security as a Service" ermöglicht es Unternehmen, Sicherheitslösungen schnell, flexibel und kostengünstig zu nutzen. Security as a Service ist modular lizenzierbar und umfasst unter anderem monatliche Cybersecurity-Videos für alle Mitarbeitenden. Die Videos sind leicht verständlich und werden durch ein Quiz und eine Unterschrift bestätigt. Außerdem bieten wir Phishing-Simulationen an, bei denen wir die Mitarbeitenden mit ähnlichen Methoden wie echte Angreifer:innen zur Herausgabe persönlicher Daten auffordern. Gibt ein Mitarbeitender diese ein, wird er automatisch zu einer Schulung weitergeleitet. Weitere Komponenten sind Lösungen, die Sicherheitsinformationen aus verschiedenen Quellen in Echtzeit sammeln, analysieren und verwalten.
Mit unserer Security-Lösung können Unternehmen außerdem einen großen Teil der Anforderungen von NIS 2 erfüllen.
LEADERSNET: Wie bereiten Sie sich auf zukünftige Entwicklungen und weitere Regulierungen im Bereich Cybersecurity vor, und sehen Sie hier Bedarf an externer Beratung?
Stellen sich Unternehmen rechtzeitig auf künftige Trends und Anforderungen im Bereich der Cybersecurity ein, können sie sich nicht nur vor Bedrohungen schützen, sondern auch neue Möglichkeiten zur Optimierung und Innovation nutzen. Der Hauptzweck der meisten Regulierungen und Anforderungen ist es, dass Unternehmen ihre IT-Risiken identifizieren, wesentliche Risiken reduzieren und das verbleibende Restrisiko akzeptieren.
Externe Beratung kann dabei unterstützen, schnell und effizient einen Risikokatalog zu erstellen und spart dem Unternehmen somit wertvolle Zeit für seine Kernaktivitäten. Häufig stellen wir beispielsweise fest, dass Firmen keine oder nur vage Angaben darüber machen können, wie lange die Systemwiederherstellung dauern würde, falls sie durch einen Angriff verschlüsselt werden. Dabei ist in dieser Zeit meistens keine Arbeit möglich, und ein hoher finanzieller Schaden droht.
Eine gute Kenntnis der eigenen Risiken und eine adäquate Strategie, unterstützt durch geeignete Instrumente, bilden die Basis für eine erfolgreiche Zukunft, zumindest aus der Sicht der IT-Security. So können aus Regulierungen und Anforderungen auch mögliche Chancen und Potenziale entstehen.
www.forvismazars.com/at
Kommentar schreiben