Nach Studien ist Deutschland in Bezug auf Cyber-Sicherheit lediglich Mittelmaß (Wer mehr dazu wissen möchte, dem empfehle ich die folgende Seite: https://www.gdata.de/fileadmin/web/de/documents/Studies/G_DATA_Cybersicherheit_in_Zahlen_2022.pdf ).
Aus meiner Sicht eine gute Gelegenheit noch einmal auf die bald von einige Unternehmen umzusetzende NIS2-Richtlinie hinzuweisen, denn es gibt noch reichlich Nachholbedarf. Wenn Sie eine Cyber-Versicherung abschließen wollen, wird man ebenfalls einige Unterlagen und Nachweise über getroffenen Maßnahmen verlangen, was ein zusätzlicher Ansporn sein könnte.
Das NIS-2-Umsetzungsgesetz, basierend auf der EU NIS-2 Richtlinie (EU-Amtsblatt 2022/2555) tritt demnächst in Kraft. Aktuell ist es im Entwurfsstadium. Ein vierter Referentenentwurf der NIS2-Umsetzung könnte Anfang 2024 veröffentlicht werden. Es werden jedoch keine großen Änderungen zum hier beschrieben Stand mehr erwartet.
Für etwa 30.000 betroffene Unternehmen in Deutschland, die über klassische Kritische Infrastrukturen hinausgehen, steigen damit die Security-Pflichten. Betroffen sind Betreiber kritischer Anlagen (KRITIS) und die neuen besonders wichtigen und wichtigen Einrichtungen der festgesetzen Sektoren (Identifikation über Unternehmensgröße). Ebenfalls betroffen sind Bundeseinrichtungen und einige Sonderfälle.
Unterere Schwelle sind hier mittlere Unternehmen gem. Empfehlung 2003/361/EG: Beschäftigung von min. 50 Personen und Jahresumsatz/Jahresbilanz übersteigt 10 Mio. EUR.
Was muss ich als Unternehmen aufgrund NIS-2 tun?
• Überprüfung auf Betroffenheit nach NIS2UmsuCG und selbstständige Meldung
• Orientierung an den aktuellen Standards
• ISO2700X
• BSI-Standards 200-1 bis 200-4
• Einhaltung der Meldepflicht für erhebliche Sicherheitsvorfälle
Für einen Überblick darüber, wo Sie stehen sollten Sie zunächst einmal die folgenden Aspekte prüfen:
Gibt es eine Sicherheitpolitik / -leitlinie, also das Bekenntnis der Unternehmensleitung zur Informationssicherheits?
Besteht eine ausreichende Dokumentation in Bezug auf Informationssicherheit?
• Infrastruktur
• Rechner
• Geschäftsprozesse
• Berechtigungen
• Zugang usw.
Welche Maßnahmen wurden ergriffen? Idealerweise orientiert man sich an den Controlls nach ISO 27001 Anhang A:
> Organizational Controls mit 37 Maßnahmen
> People Controls mit 8 Maßnahmen
> Physical Controls mit 14 Maßnahmen
> Technological Controls mit 34 Maßnahmen
Sofern Sie sich mit der ISO 27001 befassen, sollte auch NIS-2 für Ihr Unternehmen keine unüberwindbaren Anforderungen mehr mit sich bringen, auch wenn sich hierdurch staatliche Befugnisse dann erweitern (Registrierungspflicht, Nachweise, Meldepflichten und verbindlichen Informationsaustausch).
