Sind Sie bereit? NIS2-Compliance

(Artikel vom 10.03.2025) Viele Firmen und Organisationen sind weiterhin mit Unsicherheiten konfrontiert, insbesondere hinsichtlich der Meldewege und Prozessabläufe im Falle eines Cyberangriffs. Aktuell erfolgt die Meldung eines Sicherheitsvorfalles nach vorheriger Registrierung über das Melde- und Informationsportal des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Vier Meldestellen stehen zur Auswahl:
1. Meldestelle Allianz für Cybersicherheit
2. Meldestelle Bund (§ 4 BSIG)
3. Meldestelle Cyber-Sicherheitsnetzwerk
4. Meldestelle KRITIS
Für meldepflichtige Betreiber einer kritischen Infrastruktur, Anbieter digitaler Dienste, Telekommunikationsunternehmen oder weitere meldepflichtige Unternehmen existieren jedoch andere Meldewege. Hier kann die Meldung eines Cyberangriffs nur telefonisch oder per E-Mail erfolgen.
Entscheidend ist jedoch, dass mit der Einführung der NIS2-Richtlinie bis Mitte dieses Jahres klar definierte Prozesse mit konkreten Vorgaben zu Inhalten, Fristen und Abläufen etabliert werden, die als verbindliche Grundlage für eine Meldung gelten.

Die erweiterte NIS2-Richtlinie betrifft deutlich mehr Unternehmen als ihre Vorgänger:
Neue Kriterien für Unternehmensgröße, Zahl der Mitarbeitenden und Umsatz erweitern den Kreis der betroffenen Firmen erheblich. Damit steigt auch die Verantwortung, die Sicherheitsstandards auf ein neues Level zu heben.

Die Anforderungen reichen von der 24/7-Überwachung der IT-Systeme über automatisierte Reaktionen auf Sicherheitsvorfälle bis zu regelmäßigen Meldungen an die zuständige Behörde. Doch der Schutz geht weit über IT-Sicherheit hinaus - auch physische und personenbezogene Sicherheitsaspekte müssen in das Gesamtkonzept integriert werden.

Eine Umfrage von Veeam Software Group GmbH ergab, dass sich zwar 70 Prozent der befragten Firmen gut auf die neue EU-Richtlinie vorbereitet fühlen, jedoch nur 37 Prozent tatsächlich konform mit NIS2 sind. Veraltete Technologien sind das Haupthindernis auf dem Weg zur NIS2-Compliance, gefolgt von fehlendem Budget und organisatorischen Silos.
Zudem berichteten 87 Prozent der Teilnehmer von mindestens einem Sicherheitsvorfall im vergangenen Jahr, der durch NIS2-Maßnahmen vermeidbar gewesen wäre. Diese Diskrepanz zwischen Selbstwahrnehmung und Realität verdeutlicht den Handlungsbedarf in deutschen Unternehmen.

Denn nur 23 Prozent der befragten Sicherheitsexperten haben fortgeschrittene Backup-Verfahren implementiert. In Zeiten zunehmender Ransomware-Attacken und Betriebsausfälle durch Malware-Infektionen stellt das Fehlen robuster Backup- und Recovery-Maßnahmen eine ernsthafte Bedrohung dar - im schlimmsten Fall kann es die Existenz eines Unternehmens gefährden.

Die Securam Consulting GmbH unterstützt und berät gezielt bei der Implementierung effektiver Backup- und Recovery-Strategien, die nicht nur den Anforderungen der NIS2-Richtlinie entsprechen, sondern auch einen zuverlässigen Schutz vor Cyberangriffen gewährleisten. Durch den Einsatz unveränderlicher Backups und Notfallwiederherstellungspläne sorgt das Hamburger IT-Consultingunternehmen dafür, dass Firmen und Organisationen auch im Ernstfall handlungsfähig bleiben und Datenverluste minimiert werden.

Die Bitkom-Studie "Wirtschaftsschutz 2024" wiederum zeigt eine alarmierende Zunahme von Cyberangriffen auf deutsche Unternehmen im Jahr 2024. Demnach waren in den vergangenen zwölf Monaten 81% der Unternehmen von Diebstahl, Industriespionage oder Sabotage betroffen, was einen Anstieg gegenüber den 72% im Vorjahr darstellt. Der dadurch entstandene finanzielle Schaden beläuft sich auf 266,6 Milliarden Euro, ein Plus von etwa 29% im Vergleich zum Vorjahr.
Besonders besorgniserregend ist, dass 65% der Unternehmen ihre Existenz durch Cyberangriffe bedroht sehen, während es im Vorjahr noch 52% waren. Nur 53% der Befragten glauben, gut auf solche Angriffe vorbereitet zu sein.

Besonders KRITIS-Unternehmen und Zulieferer stehen vor wachsenden Herausforderungen. Der Zeitdruck ist hoch, denn in wenigen Monaten greifen die Anforderungen der NIS-2 Richtlinie. Die Implementierung notwendiger Systeme, wie eines Informationssicherheits-Managementsystems (ISMS), kann bis zu einem Jahr in Anspruch nehmen.

Zusätzlich erschwert die zunehmende Komplexität moderner IT-Infrastrukturen die Umsetzung, während begrenzte Kapazitäten oft den Fokus auf das Tagesgeschäft lenken. Neben hohen Strafen von bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes fordert die NIS2-Richtlinie sowohl technische Maßnahmen als auch die Entwicklung klar definierter Strukturen und Prozesse
Die Geschäftsführung muss nachweisen, dass angemessene Schutzmaßnahmen getroffen wurden. Fehlen diese, drohen persönliche Haftungsansprüche.

Ein durchdachtes, strukturiertes Vorgehen ist der Schlüssel, um sich langfristig vorzubereiten und regulatorischen Anforderungen gerecht zu werden.

Ausgangspunkt - Gap-Analyse als strategischer Startpunkt:
Eine fundierte Bestandsaufnahme ist essenziell. Unternehmen müssen ihren aktuellen Sicherheitsstatus detailliert erfassen, um gezielte Maßnahmen ableiten zu können. In der Praxis gestaltet sich dies jedoch oft als Herausforderung, da vielfach die notwendige Transparenz in der IT-Landschaft fehlt.
NIS2 fordert zudem, dass nicht nur IT-Sicherheitsrisiken berücksichtigt werden, sondern auch physische und personenbezogene Sicherheitsrisiken in das Konzept einfließen. Begrenzte Ressourcen und fehlende strategische Priorisierung führen häufig dazu, dass essenzielle Prozesse vernachlässigt werden.

Diese Kernfragen helfen Unternehmen, Schwachstellen zu identifizieren und Handlungsbedarf abzuleiten:

- Patchmanagement: Sind alle Systeme auf dem aktuellen Stand? Gibt es eine strukturierte
Vorgehensweise zur Implementierung ausstehender Updates ohne Betriebsunterbrechung?

- Legacy-Systeme und Abhängigkeiten: Gibt es veraltete IT-Systeme, die keine Sicherheitsupdates mehr
erhalten? Falls ja, wie wird durch weitergehende Maßnahmen die Sicherheit gewährleistet oder ist der
Einsatz eines Legacy-Systems bereits geplant?

- Sensible Daten und Zugriff: Wo werden kritische und sensible Daten gespeichert (sowohl digital als auch
physisch)? Sind Zugriffsrechte klar geregelt und dokumentiert?

- Zulieferer und Partner: Partner haben Zugriff auf unternehmenskritische IT-Infrastrukturen und Daten?
Wie werden diese Zugänge kontrolliert verwaltet?

- Notfallmanagement: Gibt es Notfallpläne, die klare Zuständigkeiten und Abläufe auch außerhalb der
regulären Arbeitszeiten abdecken?

- Prozesse und Dokumentation: Welche Sicherheitsprozesse sind dokumentiert und wie wird deren
kontinuierliche Aktualisierung sichergestellt?

Eine fundierte Gap-Analyse ist nur der Anfang: Unternehmen benötigen eine langfristige Sicherheitsstrategie. Internationale Standards wie ISO 27001 bieten dabei wertvolle Orientierung. Diese Norm definiert die Anforderungen an ein ISMS, das als strukturiertes Rahmenwerk dient, um technische und organisatorische Sicherheitsmaßnahmen effizient umzusetzen und kontinuierlich zu verbessern.

Technologische Wegbereiter für NIS2-Compliance:
Nach der Gap-Analyse ist der nächste Schritt der Aufbau einer soliden technischen Infrastruktur zur Einhaltung der NIS2-Richtlinie. Einzellösungen reichen nicht aus, um die komplexen Anforderungen zu erfüllen. Vielmehr rückt der Einsatz eines Security Operations Centers (SOC) in den Fokus. Ein SOC spielt eine entscheidende Rolle in der Echtzeit-Analyse sicherheitsrelevanter Daten, der frühzeitigen Erkennung von Bedrohungen sowie der Automatisierung von Reaktionsmechanismen.

Organisatorische Integration - Prozesse und Krisenmanagement:
Die technologischen Maßnahmen entfalten ihre voll Wirkung durch eine nahtlose Integration in bestehende Prozesse. Ein Informationssicherheits-Managementsystem (ISMS) bildet dabei das zentrale Fundament: Es schafft eine einheitliche Sicherheitsstrategie, ermöglicht eine messbare Erfolgskontrolle und steigert die Anpassungsfähigkeit an neue Sicherheitsanforderungen.
Krisenmanagement als Schlüsselfaktor

Notfallpläne müssen nicht nur existieren, sondern aktiv in die Unternehmensprozesse eingebunden werden. Simulationsübungen und Tabletop-Trainings ermöglichen eine praxisnahe Überprüfung und Optimierung dieser Pläne. Die Schulung der Mitarbeitenden in Sicherheitsfragen ist ebenso essenziell, um das Sicherheitsbewusstsein und die Handlungskompetenz zu stärken.

Ein effektives Sicherheitsmanagement ist eine abteilungsübergreifende Aufgabe, die vom Management gesteuert und von allen relevanten Fachbereichen unterstützt werden muss. Eine Gap-Analyse ermöglicht eine detaillierte Identifikation von potenziellen Qualifikationslücken und zeigt auf, in welchen Bereichen zusätzlicher Schulungsbedarf bei Mitarbeitenden besteht.
Basierend auf diesen Erkenntnissen empfiehlt die Securam Consulting gezielt maßgeschneiderte Schulungen, um die erforderlichen Kompetenzen zu stärken und die IT-Sicherheitsstrategie nachhaltig zu optimieren.

Sind deutsche Unternehmen jetzt bereit für NIS2?
Ob Unternehmen tatsächlich NIS2-konform sind, lässt sich erst beantworten, wenn die Richtlinie in Deutschland in nur wenigen Monaten endgültig umgesetzt ist. Doch der Weg dorthin beginnt jetzt - mit einer fundierten Gap-Analyse, die Sicherheitslücken identifiziert und gezielte Maßnahmen ableitet. Ergänzt durch ein ISMS entsteht eine stabile Grundlage, um technische und organisatorische Prozesse automatisch auf NIS2 auszurichten und flexibel auf die endgültigen Anforderungen zu reagieren.

Die Sicherheitsexpertin und Geschäftsführerin der Securam Consulting, Nadine Eibel, zieht folgendes Fazit:
"NIS2 erfordert mehr als eine einmalige Anpassung. Regelmäßige Überprüfungen, eine starke Sicherheitsstrategie und ein belastbares Krisenmanagement sind essentiell, um Risiken zu minimieren und die Resilienz kontinuierlich zu steigern. Unternehmen müssen jetzt aktiv werden. Sie stärken nicht nur ihre Sicherheitskultur und das Vertrauen ihrer Partner, sondern verschaffen sich auch einen strategischen Vorteil im digitalen Wettbewerb."

Quellennachweis: Studie Bitkom, Studie Veeam Software Group GmbH
Quellenhinweis: Computer Weekly.com

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.)

---