NIS-2 kommt – bereiten Sie sich jetzt schon darauf vor
NIS-2 – auch mittelständische Unternehmen betroffen
Am 18.10.2024 soll das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) als nationales Umsetzungsgesetz für die EU-Richtlinie NIS-2 in Kraft treten. Dabei wird sich der Kreis der betroffenen Unternehmen stark erweitern und weit über die bisherigen KRITIS-Einrichtungen hinausgehen. Insbesondere werden auch viele mittelständische Unternehmen in den Geltungsbereich der NIS-2 fallen. Doch wie startet man am besten und welche Maßnahmen sollten zeitnah in die Wege geleitet werden?
Geltungsbereich
Im ersten Schritt ist zu prüfen, ob Sie in den Geltungsbereich der NIS-2 fallen. Momentan wird mit rund 30.000 betroffenen Unternehmen in Deutschland gerechnet, wobei diese Zahl auch noch steigen könnte, da die im Risikomanagement explizit erwähnten Lieferketten mit betrachtet werden müssen. Da die Kriterien oft Fragen aufwerfen, haben wir einen Entscheidungsgenerator entwickelt, mit dem wir Sie in der Betroffenheitsanalyse unterstützen können. Fällt Ihr Unternehmen in den Geltungsbereich, sollten Sie betroffene Prozesse identifizieren und eine Projektgruppe mit den Verantwortlichen organisieren.
Maßnahmen zum Risikomanagement im Bereich Cybersicherheit
Laut NIS-2-Richtlinie müssen „besonders wichtige Einrichtungen und wichtige Einrichtungen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden“. Die geforderten Maßnahmen reichen von Konzepten für Risikoanalysen über Krisenmanagement bis hin zu konkreten Anforderungen wie der Umsetzung von Multi-Faktor-Authentifizierung. Teilweise haben Sie diese Maßnahmen womöglich schon im Rahmen anderer Anforderungen umgesetzt. Zusammenfassend lässt sich sagen, dass die Umsetzung der NIS-2-Richtlinie nur mit einem effektiven Informationssicherheitsmanagement (ISMS) erreicht werden kann. Sollten Sie bereits ein ISMS im Einsatz haben oder sogar ISO-27001-zertifiziert sein, lässt sich daran anknüpfen. Im Rahmen unseres Online-Seminars geben wir Ihnen eine Übersicht über die Maßnahmen, die Sie möglicherweise schon an anderer Stelle umgesetzt haben, die auch mit einem ISMS noch offenbleiben, und zeigen Ihnen Lösungsmöglichkeiten auf.
Wie können wir Sie unterstützen?
Im Rahmen von Online-Seminaren und Blogbeiträgen informieren wir Sie über die aktuellen Entwicklungen zum nationalen Umsetzungsgesetz (NIS2UmsuCG). Die Durchführung einer Betroffenheitsanalyse bieten wir gerne im Zusammenspiel mit unseren Rechtsexpert:innen an. Sollte das der Fall sein, empfehlen wir, in einer gemeinsamen Gap-Analyse zu erarbeiten, wo Sie aktuell stehen und was Ihnen fehlt, um den Anforderungen gerecht zu werden. Weiterhin bieten wir eine gesamtheitliche Umsetzungsberatung und natürlich auch modulare Unterstützung für die Umsetzung an. Dies kann eine ISMS-Beratung oder die Begleitung der Einführung eines Business Continuity Management bedeuten, aber auch Penetrationstests oder die Aufschaltung eines Security Operation Center (SOC). Sprechen Sie uns gerne an.