ITSM ISMS IT-Infrastruktur
NIS2

Was NIS2 für die IT-Infrastruktur heißt – und wer für was verantwortlich ist

Stefan Lütkemeier
von Stefan Lütkemeier
4 Min. Lesezeit
16. Juli 2024
Was NIS2 für die IT-Infrastruktur heißt – und wer für was verantwortlich ist
9:04

Lassen Sie sich diesen Blog-Artikel von einer Künstlichen Intelligenz vorlesen.

CIO, IT-Leitung und Administratoren: NIS2 erfordert nicht nur umfassende Maßnahmen im Hinblick auf die IT-Infrastruktur, es stellt auch die genannten Akteure in den betroffenen Unternehmen vor Herausforderungen. Wer bis zum Inkrafttreten der neuen Richtlinie am 18. Oktober 2024 welche Aufgaben zu erledigen hat und wie CIO, IT-Leitung und Administratoren diese bestmöglich meistern, zeigt der folgende Beitrag .

 

Inhalt

NIS2 - Herausforderung und Segen zugleich
In die Pflicht genommen: CIOs haften persönlich für Schäden durch Cyberangriffe
Besonders gefordert: die IT-Leitung
Mit ganzheitlichen IT-Service-Management zur NIS2-konformen IT-Infrastruktur
Fazit: NIS2 als Chance begreifen und handeln

 

NIS2 – Herausforderung und Segen zugleich

Welche Anforderungen kommen da auf uns zu und wie meistern wir sie? Diese Frage stellen sich viele in Anbetracht der regulatorischen Neuerungen, die mit Inkrafttreten der europäischen NIS2-Richtlinie zu erwarten sind. Ab dem 18. Oktober 2024 sollen dann die neuen Vorgaben greifen. Der Kreis der Unternehmen, die umfassende Maßnahmen zum Schutz ihrer IT durchführen müssen, wird damit auch deutlich größer sein als bisher.

ACP_Checkliste_NIS2_Infografik

Eine Übersicht der von der NIS2-Richtlinie betroffenen Sektoren.

Wichtig zu wissen: Unternehmen müssen selbst prüfen, ob sie unter die neue Richtlinie fallen. Eine behördliche Einstufung erfolgt nicht automatisch, sondern im Zweifelsfall erst nach einem Cybersicherheitsvorfall. Davon gibt es leider mehr als genug. Die Bedrohung durch Cyberangriffe und IT-Sicherheitsverletzungen wächst beständig. Der Schutz ihrer IT-Infrastruktur wird für Unternehmen daher zunehmend essenziell. Die Umsetzung ist angesichts dieser Bedrohungslage nicht nur aufgrund der NIS2-Richtlinie dringend erforderlich und notwendig – auch wenn es im ersten Schritt Mehraufwand und -kosten für die betroffenen Unternehmen bedeutet.

 

In die Pflicht genommen: CIOs haften persönlich für Schäden durch Cyberangriffe

Bleibt die Frage, welche Funktionsträger eigentlich für welche Schritte bei der NIS2-Umsetzung verantwortlich sind? Auch in diesem Punkt gibt die Richtlinie klare Antworten. In die Pflicht genommen werden vor allem die Leitungsorgane der Unternehmen, sprich die Vorstände – speziell der Chief Information Officer (CIO) – bzw. die Geschäftsführenden. Diese müssen die Einhaltung der NIS2-Richtline auf Unternehmensebene gewährleisten und eine ganzheitliche Sicherheitsstrategie umsetzen.

Geschieht dies nicht, können CIOs und Geschäftsführende für Verstöße persönlich haftbar gemacht. Möglich sind Bußgelder in Höhe von bis zu zwei Prozent des Unternehmensumsatzes. Die Bußgelder dürfen nicht umgelegt werden und sind damit potenziell existenzgefährdend.

Damit es so weit gar nicht erst kommt, sollten die Verantwortlichen eine ganzheitliche Sicherheitsstrategie umsetzen. Diese umfasst:

  • Risikomanagementmaßnahmen
  • Business Continuity Management
  • Meldepflichten
  • Registrierungspflicht
  • Unterrichtungspflichten
  • Überwachungs- und Schulungspflichten
  • Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor
  • Authentifizierung

Um den hohen Sicherheitsanforderungen gerecht zu werden und die Risiken zu minimieren, kann es notwendig werden, die IT-Infrastruktur für bestehende Geschäftsprozesse grundlegend zu überdenken und anzupassen. Dies zu tun, liegt in der Verantwortung der Geschäftsleitung. Sie muss zudem dafür Sorge tragen, dass die IT-Strukturen und -Systeme für neue Geschäftsprozesse von vornherein NIS2-konform gestaltet und Sicherheitsrisiken systematisch reduziert werden.

Was jetzt wichtig ist? CIOs sollten die Zeit bis Oktober 2024 nutzen, um die strategischen Weichenstellungen vorzunehmen und grundlegende Sicherheitsmaßnahmen umzusetzen. Beides ist in der verbleibenden Zeit realistisch umsetzbar – auch, wenn die vollständige Compliance und Optimierung damit nicht abgeschlossen ist, sondern fortlaufende Anstrengungen und Investitionen erfordert.

 

Erfüllt Ihre IT die Anforderungen an NIS2?

In unserer Checkliste können Sie Ihren IT-Sicherheitsstatus prüfen - laden Sie sich jetzt die kostenfreie Checkliste herunter!
 

 

Besonders gefordert: die IT-Leitung

Für den sicheren IT-Betrieb ist die IT-Leitung verantwortlich. Diese muss die Vorgaben von NIS2 in der Praxis durchsetzen. Das erfordert Know-how und geeignete Instrumente. Die NIS2-Richtlinie besagt, dass es bei den Risikomanagementmaßnahmen nicht mehr allein auf die Verhältnismäßigkeit ankommt, sondern explizit auch auf die Eignung und Wirksamkeit derselben. Um die Vorgaben zu erfüllen, muss eine Fachkraft für das Risikomanagement im Unternehmen benannt und etabliert werden. Als zentrales Instrument der NIS2-Umsetzung ist zudem ein Information Security Management System, kurz ISMS erforderlich.

Keine Bange, es ist in den allermeisten Fällen nicht so, das Unternehmen bei Null beginnen. Im Gegenteil: Vom Risikomonitoring über die Gefahrenabwehr bis hin zum Event-Management sind zahlreiche Maßnahmen oftmals schon etabliert und erprobt. Diese müssen ggf. nur modifiziert, erweitert oder für die NIS2-Vorgaben vervollständigt werden. Hinzu kommen neue Lösungen als zusätzliche Bestandteile des ISMS . In diesem Zusammenhang treiben Stichwörter wie SIEM, EDR/XDR, Threat Hunting und Security Operations Center (SOC) so manchem IT-Leiter den Schweiß auf die Stirn. Unnötigerweise, denn diese innovativen Lösungen bilden weniger als 20 % der NIS2-Anforderungen ab – 80 % der Vorgaben beziehen sich auf den Betrieb und die sicherheitsrelevante Konfiguration der vorhandenen Basis-Infrastruktur: Sind alle Funktionen und sämtliche Software auf dem neuesten Stand? Gibt es eine vollständige Dokumentation? Sind präzise Leistungsbeschreibungen für alle Teilsysteme vorhanden und werden diese regelmäßigen Tests und Audits unterzogen? Diese und weitere Punkte müssen geklärt und sichergestellt werden. Dabei unterstützen auf Wunsch externe Dienstleister, an die Aufgaben ausgelagert werden können.

Worauf es jetzt ankommt? IT-Verantwortliche sollten die Zeit bis zum Inkrafttreten von NIS2 nutzen, um grundlegende Maßnahmen im Rahmen eines ISMS zu implementieren und Schulungen durchzuführen. Voraussetzung dafür ist das Wissen um den Status quo: Wie cybersicher sind die etablierten Systeme und Prozesse, welche sind geschäftskritisch und wie muss die IT-Infrastruktur für NIS2 verändert werden? Aus den Antworten müssen die Leitlinien für die Sicherheitsarchitektur sowie die Technischen und Organisatorischen Maßnahmen (TOM) abgeleitet werden. ACP unterstützt die Verantwortlichen dabei fachkundig.

 

Mit ganzheitlichen IT-Service-Management zur NIS2-konformen IT-Infrastruktur

In der NIS2-Vorbereitung lautet die Leitfrage für IT-Verantwortliche und Administratoren also: Wie stellen wir IT-seitig die bestmögliche Unterstützung unserer Geschäftsprozesse sicher und garantieren zugleich ein Höchstmaß an Informationssicherheit? Die Antwort ist unternehmensspezifisch. In jedem Fall müssen geschäftsprozessrelevante IT-Themen dafür eng mit sicherheitsrelevanten Fragen verknüpft und im Rahmen eines ISMS gelöst werden.

Genau dies erweist sich in der Praxis oft als Herausforderung. Aus vielerlei Gründen: So haben einige Unternehmen zwar bereits viele IT-Sicherheitsmaßnahmen umgesetzt, diese aber nicht hinreichend dokumentiert. Andere haben ihre IT-Sicherheitsarchitektur auf dem Papier lückenlos ausgearbeitet, diese bisher jedoch nicht in der beschriebenen Weise oder nur in Teilen umgesetzt. Wieder andere haben Schwierigkeiten, die im ISMS vorgesehenen Sicherheitsmaßnahmen und Technologien in den Betriebsalltag zu integrieren.

Das zeigt: Um die Brücke von der vorhandenen IT-Infrastruktur in eine NIS2-konforme Zukunft zu bauen, ist ein ganzheitlicher Ansatz erforderlich. ACP verfolgt diesen im Rahmen des IT-Service-Managements (ITSM) und bietet Kunden das komplette Lösungspaket aus einer Hand an: von der ISMS-Planung über das Formulieren der Richtlinien und die technische Umsetzung bis hin zur Dokumentation und Unterstützung im laufenden Betrieb. Auch wenn sich Unternehmen bereits in der Umsetzung befinden.

 

Fazit: NIS2 als Chance begreifen und handeln

Die NIS2-Richtlinie stellt viele Unternehmen vor konkrete Herausforderungen. Sie müssen ihre IT-Infrastruktur so weiterentwickeln und optimieren, dass ein sicherer IT-Betrieb bestmöglich gewährleistet ist. So gesehen sind die neuen Standards und Vorgaben von NIS2 eine Chance, die Sicherheit und Effizienz der eigenen IT-Infrastruktur nachhaltig zu verbessern. Um diese Chance wahrzunehmen, sollten sich CIOs, die IT-Leitung und Administratoren Unterstützung von außen holen und koordiniert zusammenarbeiten.

 

Jetzt Beratungsgespräch vereinbaren

Erfahren Sie kurz und knapp alles Wissenswerte über die Umsetzung der NIS2-Richtlinie.

Nächster Blogpost
← Das Risiko war’s wert: So war die ACP BrainShare Mitteldeutschland
Vorheriger Blogpost
Automatisch sicher: Wie KI bei der NIS2-Umsetzung hilft →
Bereit für NIS2? Was die neue Richtlinie fordert
Network & Security

Bereit für NIS2? Was die neue Richtlinie fordert

6. Oktober 2023 3 Min. Lesezeit
Automatisch sicher: Wie KI bei der NIS2-Umsetzung hilft
KI

Automatisch sicher: Wie KI bei der NIS2-Umsetzung hilft

2. August 2024 4 Min. Lesezeit
IT-Sicherheit im Gesundheitswesen: So werden Sie fit für NIS2
Network & Security

IT-Sicherheit im Gesundheitswesen: So werden Sie fit für NIS2

28. November 2023 4 Min. Lesezeit