Die neue EU-Richtlinie NIS-2 legt die Messlatte für Cybersicherheit höher, insbesondere für Bereiche mit kritischer Infrastruktur (KRITIS). Dabei geht es jedoch nicht nur um die Aufrüstung der Technologie. Es wird auch die wichtige Rolle des Managements beim Aufbau eines cyberresistenten Unternehmens betont.
Was bedeutet dies für Unternehmen?
1 – Fokus auf Risikomanagement
NIS-2 fordert einen risikobasierten Ansatz für Cybersicherheit. Das bedeutet, dass Unternehmen (die im Rahmen der Richtlinie als „wesentlich“ oder „wichtig“ eingestuft werden) einen klaren Plan zur Identifizierung, Bewertung und Bekämpfung von Cyberbedrohungen benötigen.
2 – Stärkeres Management: Führungskräfte sind gefordert
Dies sind die Veränderungen, die NIS-2 für das Management mit sich bringt:
- Einbindung des Managements: IT-Sicherheit darf nicht mehr allein in der Verantwortung der IT-Abteilung liegen. Die Unternehmensleitung muss Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit genehmigen und überwachen.
- Schulung des Managements: Geschäftsführer müssen zwar keine Cybersicherheitsexperten sein, benötigen aber ein grundlegendes Verständnis. NIS-2 sieht Schulungen für Führungskräfte vor, damit diese die einschlägigen Cyberrisiken und ihre Auswirkungen auf das Unternehmen erkennen.
- Sensibilisierung der Mitarbeiter: Eine starke IT-Sicherheitslage erfordert die Beteiligung aller. NIS-2 ermutigt Unternehmen, regelmäßige Cybersicherheitsschulungen für ihre Mitarbeiter anzubieten.
3 – Das Top-Management in die Pflicht nehmen
Traditionell liegt die Last der Cybersicherheit allein auf den Schultern der IT. Mit NIS-2 ändert sich das. Um die gemeinsame Verantwortung zu betonen und den Druck von der IT zu nehmen, finden sich in der Richtlinie Bestimmungen, nach denen das Top-Management persönlich für Cybersicherheitsmängel bei größeren Sicherheitsvorfällen haftbar gemacht werden kann, sofern sich grobe Fahrlässigkeit nachweisen lässt. Die EU-Mitgliedstaaten können nun Manager zur Verantwortung ziehen und von Unternehmen Folgendes verlangen:
- Offenlegung von Verstößen: Unternehmen können aufgefordert werden, die Verfehlung von NIS-2-Compliance öffentlich bekannt zu geben.
- Public Shaming: In Erklärungen für die Öffentlichkeit können Personen (natürliche Personen und gesetzliche Vertreter) genannt werden, die für Verstöße gegen NIS-2 verantwortlich sind.
Für Anbieter kritischer Infrastrukturen („wesentliche“ Einrichtungen) sind die Sanktionen noch strenger. Bei wiederholten grob fahrlässigen Verstößen können die Behörden Personen vorübergehend die Ausübung von Führungspositionen untersagen.
Die Vorteile eines starken Managements
Diese Anforderungen dienen nicht nur der Sanktionierung. Sie sollen zwei zentrale Ziele erreichen:
- Mehr Verantwortlichkeit des Managements: Indem das Management durch NIS-2 in die Pflicht genommen wird, wird ein proaktiverer Ansatz für das Risikomanagement im Bereich IT-Sicherheit gefördert.
- Verhinderung grober Fahrlässigkeit: Die Androhung persönlicher Konsequenzen schreckt davon ab, die Bemühungen rund um Cybersicherheit zu vernachlässigen.
Tatsächlich verändert NIS-2 die Betrachtungsweise der IT-Security-Verantwortlichkeit grundlegend. Es handelt sich nicht mehr nur um ein IT-Problem, sondern um eine Chefsache mit möglichen Konsequenzen für die Mitglieder der Geschäftsleitung.
Aus Vorschriften werden Vorteile
Diese Anforderungen an das Management sind ein deutlicher Weckruf. Sie sollten jedoch gleichzeitig auch als unternehmerische Chance gesehen werden:
- Klare Verantwortlichkeiten: Da nun auch das Management zuständig ist, wird eine Kultur der Verantwortung für Cybersicherheit gefördert, so dass jeder zum Schutz der eigenen Systeme beiträgt.
- Bessere Entscheidungsfindung: Mit einem besseren Verständnis der Cyberrisiken kann das Management fundierte Entscheidungen über die Zuweisung von Ressourcen und Investitionen in die Sicherheit treffen.
- Proaktiver Ansatz: Der Schwerpunkt auf dem Risikomanagement fördert einen proaktiven Ansatz für die Cybersicherheit, so dass nicht nur auf Vorfälle reagiert wird.
Aktiv werden
Die Erfüllung der Anforderungen an das NIS-2-Management erfordert Engagement. Hier sind einige Maßnahmen, die Unternehmen ergreifen können:
- Überprüfen Sie Ihre Managementstruktur: Stellen Sie sicher, dass die Zuständigkeiten für Cybersicherheit in Ihrem Managementteam klar definiert sind.
- Entwickeln Sie ein Trainingsprogramm: Investieren Sie in Schulungen für Führungskräfte und Mitarbeiter, um das Bewusstsein und Verständnis für Cyberbedrohungen zu schärfen.
- Integrieren Sie Cybersicherheit in Ihr Risikomanagement: Betrachten Sie Cyberrisiken und andere Geschäftsrisiken gemeinsam, um einen ganzheitlichen Ansatz verfolgen zu können.
NIS-2 mag eine Herausforderung sein, aber die Einbeziehung der Unternehmensführung ist ein sinnvoller Schritt. Durch die Stärkung der Führungsebene und die Förderung einer Kultur des IT-Sicherheitsbewusstseins können Unternehmen ihre Abwehrkräfte vor dem Hintergrund einer sich ständig weiterentwickelnden Bedrohungslandschaft stärken.
Dies ist der zweite Teil einer vierteiligen Blogserie über NIS-2. Hier geht es zum ersten Teil, der die Grundlagen von NIS-2 beleuchtet: Ein Wegweiser durch den NIS-2-Dschungel (Teil 1)