Vorbereitung auf NIS-2: 10 praktische Tipps für Unternehmen und Institutionen

Im Oktober 2024 tritt das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG, in Kraft. Betroffen sind hierzulande etwa 5.000 bis 6.000 KRITIS-Betreiber und rund 30.000 weitere Einrichtungen, die als „wichtig“ oder „besonders wichtig“ eingestuft werden. Doch wie bereiten sich diese Unternehmen und Organisationen in den kommenden Monaten optimal auf die neuen Anforderungen vor? Dieser Beitrag liefert 10 wichtige Praxistipps.

Diese Vorbereitungen sollten NIS-2-Betroffene jetzt umsetzen

Organisationen, die in den NIS-2-Geltungsbereich fallen, müssen laut der Richtlinie „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme […] zu beherrschen“. Zudem werden sie verpflichtet, „die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste“ möglichst gering zu halten oder im besten Fall vollständig zu verhindern. Die Verantwortung für all dies trägt nach dem Willen der EU das oberste Management in Unternehmen. Mit den nachfolgenden Handlungsempfehlungen sind Betroffene gut auf das Inkrafttreten der Richtlinie vorbereitet.

1. Betroffenheit prüfen

Zunächst ist es selbstverständlich wichtig, dass Organisationen überprüfen, ob sie von der NIS-2 betroffen sind – egal ob direkt oder indirekt. Falls ja, sollten die Tipps 2 bis 10 umgesetzt werden.

2. Ist-Zustand ermitteln

Zu Beginn sollte eine gründliche Sicherheitsanalyse durchgeführt werden, um den aktuellen Sicherheitsstatus der IT-Systeme zu ermitteln. Diese Analyse sollte alle relevanten Aspekte wie Sicherheitsrichtlinien, Netzwerkkonfiguration, Effektivität von Schutzprogrammen, Software-Aktualisierungen, Incident-Response-Prozesse, Notfallwiederherstellung und Mitarbeiter-Schulungen umfassen, um alle potenziellen Schwachstellen aufzudecken.

3. Geeignetes Risikomanagement implementieren

Unternehmen im Geltungsbereich der NIS-2 sollten weiterhin einen proaktiven Ansatz im Umgang mit IT-Risiken implementieren, in dessen Rahmen sie potenzielle Bedrohungen identifizieren, bewerten und entsprechende Gegenmaßnahmen ergreifen. Ziel ist es, Schäden durch Sicherheitsverletzungen zu verhindern oder zu minimieren. Die Einführung eines umfassenden Risikomanagements, das technische, betriebliche und organisatorische Maßnahmen umfasst, ist hierbei eine zentrale Maßnahme.

4. Schwachstellen kontinuierlich beheben

Ein kontinuierliches Management von Sicherheitslücken ist ebenfalls essenziell, um den Vorgaben der NIS-2-Richtlinie zu entsprechen. Wichtige Werkzeuge sind in diesem Kontext regelmäßige Sicherheitsaudits und Penetrationstests. Sie helfen dabei, Schwachstellen zu identifizieren und zu beheben, und sollten durch automatisierte Lösungen für ein effizientes Schwachstellenmanagement ergänzt werden.

5. Endpoint-Security modernisieren

Um sich vor Ransomware und weiteren Cyberbedrohungen zu schützen, sollten betroffene Unternehmen außerdem fortschrittlicher Endpointschutz-Lösungen nutzen. Empfehlenswert sind insbesondere Systeme, die Angriffe automatisch erkennen.

6. Benutzerkonten schützen

Ein effektives Zugriffsmanagement (IAM), insbesondere der Schutz privilegierter Konten durch regelmäßige Passwortänderungen, ist ebenfalls von großer Bedeutung. Entsprechende Maßnahmen reduzieren das Risiko, dass Hacker Zugang zu Systemen und Netzwerken erhalten.

7. Zero-Trust-Konzept einführen

Zur Vorbereitung auf NIS-2 sollten Unternehmen außerdem, sofern noch nicht geschehen, ein Zero-Trust-Modell implementieren. Dieses basiert auf dem Prinzip „Vertraue niemandem“ und beinhaltet eine kontinuierliche Überprüfung aller Datenflüsse auf ihre Vertrauenswürdigkeit. Relevant ist in diesem Zusammenhang außerdem eine mehrschichtige (perimeterbasierte) Verteidigungsstrategie.

8. Supply Chain absichern

Die Sicherheit der Lieferkette sollte durch die Überprüfung und Anpassung von Sicherheitsmaßnahmen und -vereinbarungen mit allen Beteiligten gewährleistet werden. Dabei sollten Mindeststandards für Sicherheit festgelegt und sowohl technische als auch nicht-technische Maßnahmen Berücksichtigung finden.

9. Mitarbeitende weiterbilden

Die Schulung von Mitarbeitern in Bezug auf IT-Sicherheit ist seit jeher entscheidend, um das Bewusstsein für potenzielle Risiken zu schärfen und die Fähigkeit zu verbessern, Cyberangriffe frühzeitig zu erkennen und zu verhindern. Jedoch sollte im Zuge der NIS-2 nochmals ein besonderes Augenmerk auf diesen Punkt gelegt werden. Auch eine Sensibilisierung zu den NIS-2-Inhalten ist in diesem Zusammenhang wichtig.

10. Notfallkonzepte erstellen & Notfallmanagement aufbauen

Es ist entscheidend, dass NIS-2-Betroffene im Rahmen ihrer Resilienz-Strategie Vorkehrungen für den Ernstfall treffen. Dies beinhaltet die umfassende Planung und Vorbereitung, um sicherzustellen, dass das Unternehmen auch in Krisensituationen oder bei Notfällen ihre wesentlichen Geschäftsprozesse aufrechterhalten kann. Es schießt die Identifizierung potenzieller Bedrohungen, die Entwicklung von Notfallplänen, die Implementierung von Maßnahmen zur Risikominderung sowie die Schulung der Mitarbeiter, um im Ernstfall angemessen zu reagieren, ein. Ein wichtiger Bestandteil ist auch die Implementierung von Wiederherstellungs- bzw. Wiederanlaufplänen für die IT-Systeme. Das übergeordnete Ziel besteht darin, die Resilienz einer Organisation zu stärken und ihre Fähigkeit zur kontinuierlichen Geschäftstätigkeit unter allen Umständen sicherzustellen.

Baldige Umsetzung lohnt sich

Wer jetzt damit beginnt, sich auf das Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes vorzubereiten, bringt sich nicht unnötig in Zeitnot. Es zahlt sich also aus, das Thema proaktiv anzugehen. Die zuvor genannten Handlungsempfehlungen können dabei als Leitfaden dienen. Vermutlich sind einige der genannten Punkte sogar bereits umgesetzt. In diesem Fall empfiehlt sich eine Fit-Gap-Analyse, um die noch offenen Maßnahmen zu identifizieren und die entsprechenden Lücken bis Oktober 2024 zu schließen.

Über den Autor: Thomas Neuwert ist Gründer von GORISCON und Geschäftsführer von neto consulting.