3 min
Lesezeit
Anforderungen an Risikomanagement für IT-Systeme steigen
Deutlich höhere Anforderungen an Cybersicherheit sowie damit verbundene Nachweis- und Meldepflichten kommen voraussichtlich ab Oktober 2024 auf KMU und größere Unternehmen bestimmter Bereiche zu. Hintergrund ist die Umsetzung einer EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2). Nach Einschätzung der Bundesregierung sind etwa 30.000 Unternehmen betroffen. „Diese Unternehmen müssen ihre IT-Sicherheitsmaßnahmen prüfen und ggf. an den neuen Standard anpassen“, sagt Max Tarantik vom Jenaer IT-Sicherheitsdienstleister Enginsight. Und er rät dazu, sich schon jetzt darauf vorzubereiten.
© gopixa/Shutterstock
Die Enginsight GmbH begleitet und unterstützt gemeinsam mit Partnern ihre Kunden bei der Umsetzung und kontinuierlichen Einhaltung von IT-Sicherheitsmaßnahmen und somit auch bei der Umsetzung von Anforderungen aus NIS 2.
Unternehmen müssen selbst prüfen, ob sie betroffen sind
Die erste Herausforderung sei, dass die Unternehmen selbst anhand der neuen NIS2-Kriterien einschätzen und bewerten müssen, ob sie betroffen sind oder nicht. „Unternehmen aus 18 verschiedenen Sektoren ab 50 Mitarbeitern und zehn Millionen Euro Umsatz fallen unter die Regulierung, wenn sie als ‚wesentliche‘ und ‚wichtige‘ Unternehmen gelten“, verweist er auf die Bandbreite der betroffenen Firmen zusammen. „Einige sollen unabhängig von ihrer Größe reguliert werden, z .B. digitale Infrastruktur, öffentliche Verwaltung, qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste.“
Elf Schritte zur Umsetzung
Die zweite Herausforderung: Konkrete technische Maßnahmen gibt die Richtlinie nicht vor. Sie verweist auf Branchenstandards wie B3S und es gibt generell eine große Überlappung mit der ISO/IEC 27001. „Dennoch lassen sich grundlegende Sicherheitsziele ableiten, die wir als Schwerpunkte unserer Arbeit sehen.“ Die IT-Sicherheitsexperten aus Jena haben sie in einem Leitfaden mit elf Schritten zusammengefasst:
- Prüfen Sie sorgfältig, ob Sie (direkt oder indirekt) betroffen sind
- Risikomanagement: Identifizieren, bewerten, mindern Sie Sicherheitsrisiken
- Security Analyse: Ermitteln Sie den aktuellen Status-quo zur IT-Sicherheit
- Schließen Sie Sicherheitslücken, regelmäßig!
- Setzen Sie auf fortschrittliche Lösungen zum Endpointschutz
- Zugriffsmanagement: Schützen Sie privilegierte Konten
- Setzen Sie auf Zero Trust
- Sichern Sie die Lieferkette ab
- Schulen Sie Ihre Mitarbeiter
- Sorgen Sie für den Ernstfall vor
- Planen Sie angemessene Security-Budgets
Außerdem rät Max Tarantik zur Zusammenarbeit mit einem (herstellerunabhängigen) Berater und Dienstleister. „Um wirksame Strategien zur Einhaltung von NIS2 zu entwickeln, als auch genügend Ressourcen zur Erfüllung der neuen Sicherheitspflichten parat zu haben, sollten CEOs in fester Zusammenarbeit mit ihren IT-Security-Verantwortlichen stehen. Denn bei nicht Einhaltung der NIS2-Regularien, haften Sie als Geschäftsführer persönlich für die entstandenen Risiken oder Schäden.“
Enginsight GmbH
Die 2017 in Jena gegründete Enginsight GmbH ist ein IT-Sicherheitsdienstleister für den Mittelstand. Ihre komplett selbst entwickelte Software ist inzwischen bei zahlreichen KMU im Einsatz und insbesondere bei IT-Dienstleistern beliebt. Diese nutzen Enginsight, um den Reifegrad der IT-Sicherheit ihrer Kunden zu ermitteln und aktiv tätig zu werden sowie Angriffe zu detektieren und zu blocken. Nach dem Ansatz „Unsichtbares sichtbar“ und „Unsicheres sicher machen“ stehen für Enginsight hierbei Transparenz und Automatisierung in puncto IT-Security im Vordergrund. Der „Human Factor in IT-Security“, der bei vielen Cyberangriffen im Vordergrund steht, soll dabei eliminiert werden. Mit Security 100 % Made in Germany verfolgt Enginsight die Vision, mit seiner technologisch führenden Lösung den Mittelstand wirksam und nachhaltig sicher zu machen.
enginsight.com
Was ist die NIS-2-Richtlinie? Und was bedeutet sie für Unternehmen?
Leitfaden: In 11 Schritten zur Einhaltung der NIS2-Richtlinie
Die 2017 in Jena gegründete Enginsight GmbH ist ein IT-Sicherheitsdienstleister für den Mittelstand. Ihre komplett selbst entwickelte Software ist inzwischen bei zahlreichen KMU im Einsatz und insbesondere bei IT-Dienstleistern beliebt. Diese nutzen Enginsight, um den Reifegrad der IT-Sicherheit ihrer Kunden zu ermitteln und aktiv tätig zu werden sowie Angriffe zu detektieren und zu blocken. Nach dem Ansatz „Unsichtbares sichtbar“ und „Unsicheres sicher machen“ stehen für Enginsight hierbei Transparenz und Automatisierung in puncto IT-Security im Vordergrund. Der „Human Factor in IT-Security“, der bei vielen Cyberangriffen im Vordergrund steht, soll dabei eliminiert werden. Mit Security 100 % Made in Germany verfolgt Enginsight die Vision, mit seiner technologisch führenden Lösung den Mittelstand wirksam und nachhaltig sicher zu machen.
enginsight.com
Was ist die NIS-2-Richtlinie? Und was bedeutet sie für Unternehmen?
Leitfaden: In 11 Schritten zur Einhaltung der NIS2-Richtlinie
RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 14. Dezember 2022
vom 14. Dezember 2022
Kontakt
Immer aktuell über Neues im Onlinemagazin informiert sein? Abonnieren Sie unseren Newsletter „News Ostthüringer Wirtschaft“!
Jetzt hier anmelden
Jetzt hier anmelden
Sie haben Fragen, kritische Hinweise, Verbesserungsvorschläge oder eine Idee für einen Artikel? Schreiben Sie uns: magazin@gera.ihk.de.
Mit Namen oder Initialen gezeichnete Beiträge geben nicht unbedingt die Meinung der IHK wider.
Zur besseren Lesbarkeit verwenden wir Status- und Funktionsbezeichnungen in der Regel in der männlichen Form. Sie gelten jedoch für alle Geschlechter gleichermaßen.