NIS-2 - Was tun?
NIS-2-Umsetzung: Was können "wesentliche" (essential) und "wichtige" Einrichtungen (important entities) jetzt schon tun?
Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Die Umsetzung der NIS-2 Richtlinie bleibt weiterhin vordringlich.
Was konkret können Sie tun?
1. Benennen Sie zuständige Personen
Suchen, benennen und befähigen Sie mindestens zwei Personen Ihres Unternehmens, eine koordinierende Rolle für die Informationssicherheit zu übernehmen. IT-Grundschutz-Baustein ORP.2 Personal
2. Übernehmen Sie als Leitung die Verantwortung
Bereiten Sie sich als Unternehmensleitung darauf vor, Verantwortung im Bereich Risikomanagement übernehmen zu können und informieren Sie sich über entsprechende Schulungsangebote.
Auf der Webseite Management von Cyber-Risiken der Allianz für Cyber-Sicherheit finden Sie ein Handbuch und ein Toolkit für Unternehmensleitungen.
3. Machen Sie eine (erste) Bestandsaufnahme Ihrer Informationssicherheit
| KMU | Großes Unternehmen | |
|---|---|---|
| Informationssicherheit hat in Ihrem Unternehmen bisher eine untergeordnete Rolle gespielt | Einen guten Einstieg in das Thema NIS-2 bietet der CyberRisikoCheck nach DIN SPEC 27076. Weitere Informationen finden Sie unter www.cyberrisikocheck.de. Suche nach qualifizierten Dienstleistern, die den Check anbieten | Holen Sie sich professionelle Hilfe: Liste der Cybersicherheits-Dienstleister |
| Sie haben bereits grundsätzliche Strukturen der Informationssicherheit implementiert | Bestätigt der CyberRisikoCheck Ihre Einschätzung? | Haben Sie systematisch nach IT-Grundschutz oder ISO 27001/2 gearbeitet? Falls nicht, sollten Sie dies nachholen. Managementsysteme für Informationssicherheit (ISMS) und Geschäftskontinuität (BCMS) sind die Basis für eine umfassende Absicherung. BSI-Standard 200-1 (Managementsysteme für Informationssicherheit) |
| Ihre Informationssicherheit ist sehr gut aufgestellt | Das BSI empfiehlt auch in diesem Fall den CyberRisikoCheck und ggf. externe Beratung zur Identifizierung von Handlungsbedarfen. | Falls Sie bzgl. Informationssicherheit bereits sehr gut aufgestellt sind, empfehlen wir dennoch, gemeinsam mit einem unabhängigen Dritten Ihren Eindruck zu bestätigen oder Handlungsbedarfe zu erkennen: Lassen Sie sich extern prüfen oder auditieren, um evtl. noch bestehende Lücken zu finden, in der Umsetzung sowie in der Dokumentation der Risikomanagement-Entscheidungen. |
4. Verbessern Sie Ihre Informationssicherheit kontinuierlich
Die NIS-2-Richtlinie fordert die Adressierung folgender Themen:
- Risikomanagement,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement,
- Sicherheit der Lieferkette,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung,
- Systematische Bewertung der Wirksamkeit von Risikomanagementmaßnahmen der IT-Sicherheit,
- grundlegende Cyberhygiene,
- Schulungen zur Informationssicherheit,
- Systematischer Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
- Verwendung von Lösungen zur Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation.
Wie geht das? Hier finden Sie Hilfe:
B3S Branchenspezifische Sicherheitsstandards (B3S) für Unternehmen aus einer Branche der Kritischen Infrastrukturen (KRITIS)
BSI-Standard 200-3: für Risikomanagement
BSI-Standard 200-4: Business Continuity Management
5. Bereiten Sie sich auf die Meldepflicht und den Empfang von Warnungen und Lageberichten vor
Eine Meldepflicht für Sicherheitsvorfälle wird kommen. Legen Sie daher schon heute die Grundlagen dafür, einen Vorfall unverzüglich melden zu können. Legen Sie Prozesse und Rollen fest, damit es im Fall der Fälle dann schnell gehen kann. Nur schnelle Meldungen erlauben es dem BSI, ein verlässliches Lagebild zu erstellen und – für alle Einrichtungen wichtig – schnelle und aktuelle Warnungen zu verteilen. Meldepflichten existieren bereits in anderen Bereichen, zum Beispiel für KRITIS-Betreiber.
Bereiten Sie sich auch darauf vor, wie Sie mit vom BSI eingehenden Warnungen und Lageberichten umgehen: An welche E-Mail-Adresse können diese geschickt werden? Wer empfängt die Warnungen, ggf. 24/7? Können Sie eine automatische Alarmierung implementieren?
Als Mitglied der Allianz für Cyber-Sicherheit (Mitgliedschaft ist kostenfrei, ohne Verpflichtungen), erhalten Sie schon jetzt Lage- und Warninformationen des BSI und Sie können den Umgang damit üben.
Gleiches gilt für die UP KRITIS, wenn Sie zu den Branchen der KRITIS gehören.
Sie sind noch nicht Mitglied der Allianz für Cyber-Sicherheit oder der UP KRITIS? Melden Sie sich umgehend an:
