Thought Leadership
Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter.
Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt auf der Abwehrbereitschaft und der Zusammenarbeit in kritischen Sektoren liegt. Die Richtlinie verpflichtet die Betreiber kritischer Dienstleistungen, angemessene Sicherheitsmaßnahmen zu ergreifen. Sie müssen die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren und die Sicherheitsrisiken in ihren Lieferketten verringern, indem sie die Produktqualität und die Cybersicherheitspraktiken von Lieferanten und Dienstleistern überprüfen.
NIS2 ist ein überarbeiteter Rechtsrahmen basierend auf dem ersten EU-weiten Rechtsakt zur Cybersicherheit. Sie trat am 16. Januar 2023 in Kraft und Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Am 24. Juli 2024 hat das Bundeskabinett den vorgelegten Entwurf des Gesetzes zur Stärkung der Cybersicherheit in Deutschland beschlossen, der die Umsetzung der EU-Richtlinie NIS2 regelt. Unternehmen riskieren bei Nichteinhaltung der Vorschriften Bußgelder, die Haftung des Managements, befristete Sperren für Verantwortliche und mehr.
Mit den folgenden fünf Schritten können Unternehmen bereits jetzt eine Grundlage für NIS2 bzw. die nationale Umsetzung von NIS2 schaffen, indem sie Programme und Verfahren einführen, die einige der wichtigsten Anforderungen adressiert:
Schritt 1: Die oberste Führungsebene sensibilisieren
Die oberste Führungsebene sollte über das Risikomanagement im Bereich der Cybersicherheit, die NIS2-Anforderungen und die möglichen Auswirkungen der Beibehaltung des Status sensibilisiert werden. In diesem Zusammenhang empfiehlt es sich, mit der Geschäftsleitung und den Managementteams zusammenzuarbeiten, damit alle Beteiligten in die Diskussion über die NIS2-Anforderungen einbezogen werden.
Schritt 2: Zusammenarbeit im Unternehmen
Die in der NIS2-Richtlinie beschriebenen Maßnahmen zum Management von Cybersicherheitsrisiken sollten in Zusammenarbeit mit internen Teams überprüft werden. Eine Bestimmung des Reifegrads in Bezug auf die einzelnen Mandate ist zu empfehlen
Schritt 3: Reaktionsfähigkeit und Berichterstattung
Verfügt das Unternehmen über einen vollständig ausgearbeiteten, vereinbarten und geübten Incident Response Plan bei Vorfällen? Ist bekannt, was die Reaktion auf einen Vorfall auslöst? Verfügt das Unternehmen über einen Geschäftskontinuitäts- und Krisenmanagementplan, der alle Bereiche des Unternehmens umfasst?
Schritt 4: Evaluation der Sicherheit der Lieferkette
Zu diesem Zweck wird eine Liste aller Assets, die in der Umgebung des Unternehmens im Einsatz sind, benötigt – jeder dieser Assets-Anbieter ist Teil der Lieferkette. Welche Softwarelösungen werden in welchem Prozess eingesetzt? Alle diese Anbieter müssen bewertet werden. Das Gleiche gilt für die Hardware- und Softwarelösungen auf Unternehmensebene, da sie über Netzwerke mit anderen Werken und Betrieben des Unternehmens verbunden sind.
Schritt 5: Erstellung einer Roadmap für die OT-Cybersicherheit
Eine Roadmap sollte den aktuellen Reifegrad in den wichtigsten Bereichen sowie zeitgebundene Pläne zur Verbesserung und Optimierung enthalten. Von der Technologieeinführung bis hin zur Personalentwicklung sollte eine langfristige Übersicht über Cyberbereitschaft erstellt werden, damit Fortschritt konsequent gemessen werden kann.
Führungskräfte müssen jetzt eine aktive Rolle bei der Überwachung und Umsetzung der OT-Cybersicherheit übernehmen. Ein koordinierterer Ansatz für die Cybersicherheit regelt das Management von Netzwerk- und Informationssicherheitsrisiken und kann die Lücken in der Cybersicherheitsresilienz zwischen verschiedenen Sektoren schließen. So können Unternehmen ihre OT-Cybersicherheit auf den neuesten Stand bringen und eine Basis für die NIS2-Richtlinie schaffen.
Autor: Kai Thomsen, Director of Global Incident Response Services bei Dragos
