NIS-2 Blogreihe – Teil 3: Compliance sichern – Welche Nachweise du als Geschäftsführer jetzt erbringen musst + Praxisbeispiel

NIS-2 verpflichtet dein Unternehmen, Sicherheitsmaßnahmen nicht nur umzusetzen, sondern auch umfassend zu dokumentieren. Diese Dokumentation muss den Behörden auf Anfrage vorgelegt werden und einen klaren Überblick über die getroffenen Maßnahmen und deren Wirksamkeit geben.

Die NIS-2 Richtlinie setzt auf den „Stand der Technik“ und einschlägige europäische und internationale Normen. Die ENISA hat im März 2022 eine Zusammenfassung der bestehenden Risikomanagement-Standards veröffentlicht. Wir können davon ausgehen, dass Nachweise, die sich an diesen Standards orientieren ausreichen oder zumindest eine valide Grundlage darstellen, um die NIS-2 Richtlinie zu erfüllen. Daher empfehlen wir dir dein Risikomanagement anhand dieser Normen aufzubauen und ausführlich zu dokumentieren:

Überblick über bestehende Standards (aus ENISA 2022)

• ISO 31000: Allgemeine Leitlinien zum Risikomanagement.
• ISO/IEC 27005: Risikomanagement im Bereich Informationssicherheit.
• BSI 7799-3: Leitlinien für das Informationssicherheitsrisikomanagement.
• NIST SP 800-39: Management von Informationssicherheitsrisiken.
• IT-Grundschutz (BSI Deutschland): Methode zur IT-Sicherheitsbewertung.

Auch wenn du bereits ein darauf aufbauendes Risikomanagement hast, kommt zur Erfüllung der NIS-2-Richtlinie noch die Registrierungs- und Meldepflicht hinzu. Die Einrichtung einer Meldestelle in deinem Unternehmen mit mindestens zwei Verantwortlichen muss daher auf jeden Fall zusätzlich bedacht werden. Darauf werden wir in unserem nächsten Beitrag genauer eingehen.

Der Aufbau eines Risikomanagements ist zentral und kann je nach Unternehmen dennoch sehr unterschiedlich aussehen. Hier einige Beispiele für mögliche Risiken:

Beispiel 1: Produktionsunternehmen (Automobilzulieferer)
Ein Automobilzulieferer möchte ein Risikomanagement etablieren. Ein Beispiel für betroffene Assets sind Lieferketten und Produktion.

Risiko 1 bzgl. Lieferkette: Ausfall eines Hauptlieferanten für Bauteile

• Mögliche Folgen: Produktionsstopps, Lieferverzögerungen.
• Lösung: Aufbau eines Zweitlieferanten-Netzwerks und eine regelmäßige Risikobewertung der Lieferkette.

Risiko 2 bzgl. Produktion: Cyberangriff auf Fertigungsanlagen (z. B. Ransomware-Angriff)

• Mögliche Folgen: Produktionsstillstand, Datenverlust.
• Lösung: Implementierung eines Backup-Systems, umsetzen von Netzwerksegmentierung und Erstellen von Notfallpläne für IT-Sicherheitsvorfälle.

Beispiel 2: Stadtwerke
Die Stadtwerke einer mittelgroßen Stadt möchten die Risiken in Bezug auf die Versorgungssicherheit und den Schutz kritischer Infrastrukturen minimieren.

Risiko 1: Cyberangriff auf das Strom- oder Wasserversorgungssystem

• Mögliche Folgen: Stromausfälle, Störungen in der Wasserversorgung, hohe Wiederherstellungskosten.
• Lösung: Einführung eines ISMS (Informationssicherheitsmanagementsystems) nach ISO 27001, regelmäßige IT-Sicherheitsaudits und Penetrationstests, Netzwerksegmentierung zur Trennung kritischer Systeme.

Risiko 2: Ausfall eines zentralen Umspannwerks durch Extremwetter

• Mögliche Folgen: Flächendeckende Stromausfälle, Schäden an Infrastrukturen, hohe Reparaturkosten.
• Lösung: Aufbau von Redundanzsystemen, Investitionen in klimafeste Infrastrukturen und Notfallpläne für schnelle Wiederherstellung.

Beispiel 3: Finanzunternehmen (Bank)
Ein mittelgroßes Finanzunternehmen fokussiert sich z.B. auf Risiken in den Bereichen Cyberangriffe und Compliance.

Risiko 1: Phishing-Angriffe auf Mitarbeiter

• Mögliche Folgen: Unbefugter Zugriff auf Kundendaten, Betrugstransaktionen.
• Lösung: Implementierung von Multi-Faktor-Authentifizierung (MFA), regelmäßige Schulungen zu Phishing-Erkennung.

Risiko 2: Nichteinhaltung regulatorischer Anforderungen (z. B. DSGVO)

• Mögliche Folgen: Hohe Strafen, Reputationsverlust.
• Lösung: Einführung eines Compliance-Management-Systems, regelmäßige Audits und Mitarbeiterschulungen.

Unsere Empfehlung: Beginne frühzeitig mit einer umfassenden Vorbereitung. Identifiziere und priorisiere deine Assets und mögliche Risiken. Prüfe und passe deine bestehenden Sicherheitskonzepte kritisch an. Nutze die Expertise externer Berater, um Schwachstellen zu identifizieren und zu beheben. Mit einem robusten Sicherheitsmanagement und der passenden Unterstützung kannst du nicht nur die Compliance sicherstellen, sondern auch die Resilienz deines Unternehmens gegenüber Cyberbedrohungen erheblich steigern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird höchstwahrscheinlich die zentrale Aufsichtsbehörde für die Umsetzung von NIS-2 in Deutschland. Damit wird es zuständig für die Überwachung der Einhaltung der Anforderungen. Gleichzeitig bietet es Unterstützung bei der Umsetzung an. Aktuell bereitet sich die Behörde auf diese neue Herausforderung vor durch:

• Schaffen einer zentralen Meldestelle
• Verschlanken bisheriger Prozesse
• Entwickeln einer integrierten Portallösung über die die Registrierung und Meldung erfolgen wird, sobald die Richtlinie in nationales Recht umgesetzt ist
• Durchführen von Beteiligungsworkshops für die Wirtschaft
• Entwickeln und bereitstellen von Informationsprodukten rund um die NIS-2-Richtlinie

Auch du, als Unternehmer, solltest dich vorbereiten. Das BSI bietet dazu aktuell folgende Unterstützung an:

• Bereitstellen und aktuell halten von NIS-2-FAQ
• Eine Betroffenheitsprüfung für Unternehmen, um schnell herauszufinden, ob ihr Unternehmen unter die NIS-2-Richtlinie fällt
• Praktische Hinweise und Hilfestellungen unter dem Stichwort NIS-2-Was tun?

Selbstverständlich unterstützen auch wir dich gerne dabei, festzustellen, ob dein Unternehmen betroffen ist und wie es in Bezug auf die NIS-2-Richtlinie insgesamt aufgestellt ist. Gerne gehen wir diesen Weg gemeinsam mit dir.

Wir bieten dir eine umfassende Beratung und unterstützen dich bei der Umsetzung aller erforderlichen Maßnahmen. Von der Analyse der bestehenden Sicherheitsvorkehrungen über die Erstellung eines individuellen Sicherheitskonzeptes bis hin zur Implementierung und Dokumentation stehen wir dir zur Seite.

Nutze unser Beratungsangebot:

• Gap-Analyse und Bewertung deiner aktuellen Sicherheitsmaßnahmen: Wir identifizieren Schwachstellen in deiner IT-Infrastruktur und bewerten das aktuelle Sicherheitsniveau.
• Entwicklung einer NIS-2-konformen Sicherheitsstrategie (nach aktuellem Wissensstand)
• Implementierung notwendiger technischer und organisatorischer Maßnahmen
• Schulungen für deine Mitarbeiter

Kontaktiere uns noch heute für ein unverbindliches Beratungsgespräch!

Die Umsetzung der NIS-2-Richtlinie ist eine Aufgabe, die du nicht allein bewältigen musst. Eine enge Zusammenarbeit mit dem BSI und eine strategische Weiterentwicklung deiner Sicherheitskonzepte sind entscheidend. Mit einem robusten Sicherheitsmanagement und der passenden Unterstützung kannst du nicht nur die Compliance sicherstellen, sondern auch die Resilienz deines Unternehmens gegenüber Cyberbedrohungen erheblich steigern.

Bleib dran für unseren nächsten Beitrag, in dem wir konkrete Schritte zur NIS-2-Compliance vorstellen werden.

In den kommenden Beiträgen unserer NIS-2-Blogreihe werden wir uns detailliert mit den folgenden Themen befassen:

• Teil 4: Registrierungs- und Meldepflichten
• Teil 5: Aufsicht, Risiken und Sanktionen
• Teil 6: Risikomanagement im Detail
• Teil 7: Technische und organisatorische Maßnahmen
• Teil 8: Zuständigkeiten innerhalb der EU

Bleib dran, um dein Unternehmen optimal auf die NIS-2-Richtlinie vorzubereiten!

Haftungsausschluss:

Die in diesem Blogpost enthaltenen Informationen dienen lediglich zu Informationszwecken und stellen keine Rechtsberatung dar. Wir haben die Informationen nach bestem Wissen und Gewissen zusammengestellt, übernehmen jedoch keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Für eine verbindliche Auslegung der NIS-2-Richtlinie und deren Umsetzung in nationales Recht konsultiere bitte einen Rechtsberater.