Was konkret können Sie tun?

1. Benennen Sie zuständige Personen

Suchen, benennen und befähigen Sie mindestens zwei Personen Ihres Unternehmens, eine koordinierende Rolle für die Informationssicherheit zu übernehmen. IT-Grundschutz-Baustein ORP.2 Personal

2. Übernehmen Sie als Leitung die Verantwortung

Bereiten Sie sich als Unternehmensleitung darauf vor, Verantwortung im Bereich Risikomanagement übernehmen zu können und informieren Sie sich über entsprechende Schulungsangebote (vgl. § 38 BSIG-E im Regierungsentwurf zum NIS2UmsuCG).

Auf der Webseite Management von Cyber-Risiken der Allianz für Cyber-Sicherheit finden Sie ein Handbuch und ein Toolkit für Unternehmensleitungen.

3. Machen Sie eine (erste) Bestandsaufnahme Ihrer Informationssicherheit

	KMU	Großes Unternehmen
Informationssicherheit hat in Ihrem Unternehmen bisher eine untergeordnete Rolle gespielt	Einen guten Einstieg in das Thema NIS-2 bietet der CyberRisikoCheck nach DIN SPEC 27076. Weitere Informationen finden Sie unter www.cyberrisikocheck.de. Leichter Einstieg für KMU Suche nach qualifizierten Dienstleistern, die den Check anbieten	Holen Sie sich professionelle Hilfe: Liste der Cybersicherheits-Dienstleister
Sie haben bereits grundsätzliche Strukturen der Informationssicherheit implementiert	Bestätigt der CyberRisikoCheck Ihre Einschätzung?	Haben Sie systematisch nach IT-Grundschutz oder ISO 27001/2 gearbeitet? Falls nicht, sollten Sie dies nachholen. Managementsysteme für Informationssicherheit (ISMS) und Geschäftskontinuität (BCMS) sind die Basis für eine umfassende Absicherung. BSI-Standard 200-1 (Managementsysteme für Informationssicherheit)
Ihre Informationssicherheit ist sehr gut aufgestellt	Das BSI empfiehlt auch in diesem Fall den CyberRisikoCheck und ggf. externe Beratung zur Identifizierung von Handlungsbedarfen.	Falls Sie bzgl. Informationssicherheit bereits sehr gut aufgestellt sind, empfehlen wir dennoch, gemeinsam mit einem unabhängigen Dritten Ihren Eindruck zu bestätigen oder Handlungsbedarfe zu erkennen: Lassen Sie sich extern prüfen oder auditieren, um evtl. noch bestehende Lücken zu finden, in der Umsetzung sowie in der Dokumentation der Risikomanagement-Entscheidungen.

4. Verbessern Sie Ihre Informationssicherheit kontinuierlich

Die NIS-2-Richtlinie (und damit auch das NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz, § 30 Abs. 2 BSIG-E) fordert die Adressierung folgender Themen

• Risikomanagement,
• Bewältigung von Sicherheitsvorfällen,
• Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement,
• Sicherheit der Lieferkette,
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung,
• Systematische Bewertung der Wirksamkeit von Risikomanagementmaßnahmen der IT-Sicherheit,
• grundlegende Cyberhygiene,
• Schulungen zur Informationssicherheit,
• Systematischer Einsatz von Kryptografie und Verschlüsselung,
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
• Verwendung von Lösungen zur Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation.

Wie geht das? Hier finden Sie Hilfe:

Webseiten des IT-Grundschutz

B3S Branchenspezifische Sicherheitsstandards (B3S) für Unternehmen aus einer Branche der Kritischen Infrastrukturen (KRITIS)

BSI-Standard 200-3: für Risikomanagement

BSI-Standard 200-4: Business Continuity Management

KRITIS-IT-Grundschutz-Profile

5. Bereiten Sie sich auf die Meldepflicht und den Empfang von Warnungen und Lageberichten vor

Eine Meldepflicht für Sicherheitsvorfälle wird kommen. Legen Sie daher schon heute die Grundlagen dafür, einen Vorfall unverzüglich melden zu können. Legen Sie Prozesse und Rollen fest, damit es im Fall der Fälle dann schnell gehen kann. Nur schnelle Meldungen erlauben es dem BSI, ein verlässliches Lagebild zu erstellen und – für alle Einrichtungen wichtig – schnelle und aktuelle Warnungen zu verteilen. Meldepflichten existieren bereits in anderen Bereichen, zum Beispiel für KRITIS-Betreiber.

Bereiten Sie sich auch darauf vor, wie Sie mit vom BSI eingehenden Warnungen und Lageberichten umgehen: An welche E-Mail-Adresse können diese geschickt werden? Wer empfängt die Warnungen, ggf. 24/7? Können Sie eine automatische Alarmierung implementieren?

Als Mitglied der Allianz für Cyber-Sicherheit (Mitgliedschaft ist kostenfrei, ohne Verpflichtungen), erhalten Sie schon jetzt Lage- und Warninformationen des BSI und Sie können den Umgang damit üben.

Gleiches gilt für den UP KRITIS, wenn Sie zu den Branchen der KRITIS gehören.

Sie sind noch nicht Mitglied der Allianz für Cyber-Sicherheit oder des UP KRITIS? Melden Sie sich umgehend an:

• Antrag auf Teilnahme an der Allianz für Cyber-Sicherheit
• Kontakt zur Geschäftsstelle des UP KRITIS