|
Berlin (ots) - Die Nachricht "Sie sind von NIS-2 betroffen" sorgt in vielen
Unternehmen zunächst für Unsicherheit. Schnell stellen sich Fragen: Welche
Anforderungen gelten konkret? Wo beginnt man? Und wie lässt sich das Thema neben
dem laufenden Betrieb sinnvoll angehen?
Genau deshalb ist ein strukturierter Einstieg entscheidend. Denn NIS-2 ist keine
klassische IT-Sicherheits-Checkliste, die sich mit einzelnen Tools oder
kurzfristigen Maßnahmen abhaken lässt. Unternehmen müssen nachvollziehbar
festlegen, wie sie Risiken bewerten, Sicherheitsvorfälle behandeln und
Verantwortlichkeiten organisieren. Wer dabei methodisch vorgeht, erreicht
schneller einen belastbaren und nachweisbaren Zustand.
Zunächst die eigene Betroffenheit klären
Am Anfang steht die Frage, warum ein Unternehmen überhaupt unter NIS-2 fällt.
Für viele Organisationen bildet das deutsche BSI-Gesetz den zentralen
Bezugspunkt. Zusätzlich gelten für bestimmte digitale Anbieter - etwa
Cloud-Anbieter, Rechenzentren oder Managed Service Provider - weitergehende
Anforderungen der EU-Durchführungsverordnung 2024/2690.
Gerade diese Einordnung ist entscheidend, denn davon hängen sämtliche weiteren
Maßnahmen und Nachweispflichten ab.
§ 30 BSI-Gesetz als zentraler Einstiegspunkt
Wenn Unternehmen unter das deutsche BSI-Gesetz fallen, bildet § 30 den
wichtigsten Ausgangspunkt. Dort werden zehn Maßnahmenbereiche genannt, die
angemessen umgesetzt werden müssen.
Dazu gehören:
1. Risikoanalyse und Sicherheitskonzepte
2. Incident Response und Vorfallsmanagement
3. Business Continuity und Krisenmanagement
4. Sicherheit der Lieferkette
5. sichere Beschaffung, Entwicklung und Wartung
6. Wirksamkeitsprüfungen
7. Schulungen und Sensibilisierung
8. Kryptographie und Verschlüsselung
9. Zugriffskontrolle sowie Asset Management
10. Multi-Faktor-Authentifizierung und sichere Kommunikation
Diese Bereiche bilden die grundlegende Struktur für die Umsetzung. Unternehmen
sollten die Anforderungen deshalb nicht isoliert betrachten, sondern
systematisch entlang dieser Themenfelder aufbauen. Das BSI (Bundesamt für
Sicherheit in der Informationstechnik) gibt für jedes dieser zehn Felder
Handreichungen zur Umsetzung heraus.
Durchführungsverordnung 2024/2690 als zentraler Einstiegspunkt
Für bestimmte digitale Anbieter ist die EU-Durchführungsverordnung 2024/2690 der
zentrale Einstiegspunkt. Sie gilt unter anderem für Cloud-Anbieter,
Rechenzentren, Managed Service Provider, Online-Marktplätze und soziale
Netzwerke. Anders als allgemeine gesetzliche Vorgaben beschreibt sie deutlich
konkreter, welche technischen und organisatorischen Anforderungen umgesetzt
werden müssen.
Die Verordnung definiert nicht nur grundlegende Maßnahmenbereiche, sondern auch
konkrete Anforderungen an Umsetzung, Prüfung und Nachweisbarkeit. Dazu gehören
unter anderem Risikomanagement, Incident Handling, Business Continuity,
Lieferkettensicherheit, sichere Entwicklung, Zugriffskontrolle, Kryptographie
sowie regelmäßige Wirksamkeitsprüfungen.
Damit ist der Umsetzungsaufwand in vielen Fällen deutlich höher als bei einer
reinen Orientierung an den Maßnahmenbereichen des BSI-Gesetzes, denn die
Durchführungsverordnung regelt vieles deutlich genauer und hat klare
detaillierte Anforderungen an Dokumentation.
Die ENISA hat dazu eine umfangreiche technische Umsetzungshilfe veröffentlicht,
die praktische Hinweise, Beispiele für Nachweise und Zuordnungen zu
Sicherheitsanforderungen enthält.
NIS-2 ist kein reines IT-Projekt
In der Praxis wird NIS-2 häufig zunächst als klassisches IT-Sicherheitsprojekt
verstanden. Genau das greift jedoch zu kurz. Weder ein neuer Virenscanner noch
zusätzliche Firewalls erfüllen automatisch die regulatorischen Anforderungen.
Unternehmen müssen vielmehr nachvollziehbar regeln, wie Risiken bewertet,
Sicherheitsvorfälle behandelt und Verantwortlichkeiten organisiert werden.
Ebenso wichtig sind die Dokumentation und spätere Nachweisbarkeit der Maßnahmen.
Im Mittelpunkt stehen daher weniger einzelne technische Lösungen als vielmehr
belastbare Prozesse und klare Zuständigkeiten.
Dokumentation und Nachweise werden entscheidend
Viele Anforderungen bleiben bewusst allgemein formuliert. Die gesetzlichen
Vorgaben beschreiben zwar den Rahmen, erklären jedoch nicht im Detail, wie
Unternehmen die Umsetzung konkret gestalten sollen.
Gerade deshalb entsteht bei Organisationen ohne Erfahrung mit
Compliance-Projekten häufig Unsicherheit. Denn letztlich geht es darum,
regulatorische Anforderungen in bestehende Prozesse zu integrieren und
gleichzeitig nachvollziehbar zu dokumentieren.
In der Praxis bedeutet das beispielsweise:
- Risiken strukturiert bewerten
- Verantwortlichkeiten eindeutig festlegen
- Sicherheitsvorfälle dokumentiert behandeln
- Dienstleister sicherheitsbezogen bewerten
- Maßnahmen regelmäßig überprüfen
Damit wird deutlich: NIS-2 verlangt nicht nur technische Schutzmaßnahmen,
sondern vor allem organisatorische Verlässlichkeit.
Struktur statt Aktionismus
Gerade deshalb empfiehlt sich ein klar strukturiertes Vorgehen. Zunächst sollte
die eigene Betroffenheit geprüft werden. Anschließend gilt es zu identifizieren,
in welcher Form die Umsetzung erfolgen soll - Erst danach sollten konkrete
Maßnahmen aufgebaut werden.
Hilfreich sind dabei insbesondere die Leitfäden der ENISA sowie die aktuellen
Handreichungen des BSI. Beide liefern praktische Orientierung und erläutern,
welche Nachweise typischerweise erwartet werden.
Trotzdem bleibt die Umsetzung anspruchsvoll. Wer bislang noch kein
Compliance-Projekt dieser Größenordnung begleitet hat, steht häufig vor der
Herausforderung, regulatorische Anforderungen in bestehende Abläufe zu
integrieren. Deshalb kann es sinnvoll sein, frühzeitig externe Unterstützung
einzubeziehen, um Zeit zu sparen und Fehlentscheidungen zu vermeiden.
Am Ende entscheidet nicht die Anzahl eingesetzter Sicherheitsprodukte über den
Umsetzungserfolg. Maßgeblich ist vielmehr die Fähigkeit, Risiken nachvollziehbar
zu steuern und Maßnahmen dauerhaft organisatorisch zu verankern.
Über Joachim Reinke
Joachim Reinke ist Experte für Informationssicherheit und Mitglied des Teams von
einfachISO. Er begleitet IT-Dienstleister, Software-Agenturen und
SaaS-Unternehmen auf ihrem Weg zur ISO 27001-Zertifizierung. Sein Schwerpunkt
liegt auf klar strukturierten, praxisnahen Lösungen speziell für kleine und
mittlere Unternehmen. Bereits über 100 Unternehmen hat er erfolgreich bis zur
Zertifizierung geführt. Weitere Informationen unter: https://einfachiso.de/
Pressekontakt:
einfachISO GmbH
Vertreten durch: Jörn Bungartz, Joachim Reinke
mailto:info@einfachiso.de
https://einfachiso.de/
Weiteres Material: http://presseportal.de/pm/182384/6287262
OTS: einfachISO GmbH
|
