NIS2 ist die neue Richtlinie zur Stärkung der Cybersicherheit, Verhinderung von Cyberangriffen und Vereinheitlichung der Sicherheitsstandards in der Europäischen Union. Die geforderten Security-Maßnahmen müssen bis Oktober 2024 umgesetzt werden. Die EU Richtlinie gilt für 18 konkret benannte Sektoren aus Industrie und öffentlichen Versorgern. Die betroffenen Unternehmen und Organisationen müssen angemessene Cyber-Sicherheitsmaßnahmen ergreifen und schwerwiegende Vorfälle melden.
Finden Sie heraus, ob Ihr Unternehmen betroffen, welche Maßnahmen umzusetzen sind, und erfahren Sie wie ConSecur Sie bei der Umsetzung unterstützen kann.
Was sollten Unternehmen jetzt tun?
- Nutzen sie die NIS2 Betroffenheitsprüfung vom BSI
Prüfen Sie zunächst ob Sie von der NIS2 Richtlinie betroffen sind
2. Maßnahmen identifizieren und umsetzen
Prüfen Sie Ihre vorhandenen Maßnahmen und identifizieren Sie welche
Maßnahmen zeitnah umgesetzt werden müssen
Gerne beraten wir Sie, wie Sie die Anforderungen in Ihrem Unternehmen umsetzen können. Mit Hilfe einer GAP-Analyse können wir vorhandene Lücken identifizieren und bei deren Bearbeitung unterstützen.
Welche Maßnahmen zur NIS-2 Konformität müssen
umgesetzt werden?
Registrierungspflicht: Betroffene Institutionen müssen sich beim BSI registrieren und hierzu geforderte Informationen bereitstellen.
Risikomanagement: Die NIS2 Richtlinie definiert Mindestanforderungen an das Risikomanagement und nennt konkrete Anforderungen für IT-Sicherheitsmaßnahmen zur Risikoreduzierung. Ziele sind u.a. das Management von Zwischenfällen, eine verbesserte Sicherheit der Lieferkette, angemessene Maßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, verbesserte Netzwerksicherheit, bessere Zugangskontrolle und Datenverschlüsselung.
Verantwortlichkeit des Managements: Die Geschäftsführung ist verantwortlich für die Umsetzung der gemäß §30 geforderten Maßnahmen sowie für die Überwachung dieser Umsetzung. Darüber hinaus ist die Geschäftsführung zur und regelmäßigen Teilnahme an Schulungen zur CybersicherheitEinschätzung von Risiken in der Sicherheit der Informationstechnik verpflichtete. Verstöße können zu empfindlichen Sanktionen führen.
Meldung von Vorfällen: Betroffene Unternehmen müssen die zuständigen Behörden innerhalb vorgegebener Zeiträume über Sicherheitsvorfälle sowie über die Bearbeitungserfolge sowie nach Beendigung des Vorfalls informieren.
Geschäftskontinuitätsplan: Unternehmen brauchen Pläne für den Umgang mit größeren Cyber-Vorfällen, einschließlich Systemwiederherstellung, Notfallverfahren und die Einrichtung eines Krisenreaktionsteams.
Regelmäßige Schulungen: Geschäftsleitungen sind verpflichtet Risikomaßnahmen umzusetzen und die Umsetzung zu überwachen. Hierzu sind regelmäßige Cybersicherheitsschulungen für Mitarbeiter notwendig.
Mindestniveau an IT-Sicherheit: Betroffene Unternehmen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um IT-Störungen zu vermeiden
Wie kann ConSecur hier unterstützen?
ISMS zur Erfüllung der Compliance Vorgaben
Zur Erfüllung der NIS 2 Richtlinie empfiehlt sich die Umsetzung eines ISMS. Ein ISMS (Informationssicherheits-Managementsystem) besitzt verbindliche Regeln und Verfahren, Informationswerte in Unternehmen und Organisationen auf Grundlage einer Risikobetrachtung angemessen und strukturiert zu schützen.
Für einzelne Sektoren stehen konkrete „branchenspezifische Sicherheitsstandards“ zur Verfügung, die konkrete Vorgaben zur Umsetzung formulieren.
SIEM zur proaktiven Bedrohungserkennung
Security Information and Event Management System zeigt die Aktivitäten innerhalb der IT-Landschaft und wertet diese nach Angriffskriterien aus. SIEM sammelt dabei Protokolldaten von Netzkomponenten wie Router, Firewalls, IT-Systemen und Anwendungen ein, wertet diese sogenannten Logs aus und schlägt Alarm, sobald eine verdächtige Kombination von Ereignissen erkannt worden ist. Ein SIEM-System hilft bei der Umsetzung der Risikobehandlung, indem es die IT-Infrastruktur permanent überwacht.
Managed SIEM (Cyber Defense Center)
Im Cyber Defense Center werden Sicherheitsereignisse in der Netzwerk-Infrastruktur kontinuierlich überwacht. Es ist eine zentrale Einheit, die sich mit der kontinuierlichen Überwachung, Analyse und Reaktion auf Vorfälle beschäftigt. Die Anforderungen der NIS2 Richtlinie zur Überwachung und Erkennung von Cybersicherheitsvorfällen sowie die Reaktion darauf lassen sich mit einem Cyber Defense Center effektiv erfüllen.
Spezifische GAP-Analyse zum Start
Für den Start empfiehlt ConSecur eine spezifische GAP-Analyse. Diese berücksichtigt einerseits mögliche konkrete Anforderungen des Sektors, dem die fragliche Organisation zuzuordnen ist und andererseits auch die Einordnung „besonders wichtig“ oder „wichtig“. ConSecur ermittelt somit konkret die erforderlichen To-dos, um die NIS2 Anforderungen für die Organisation angemessen zu erfüllen.