Ideen- und Innovationsmanagement 03.24, 10/2024, Auszug Fachartikel

Cyber-Risikomanagement: NIS2 als europäischer Standard für mehr Sicherheit von Netzwerken und Informationen

Abbildung 1: NIS2-Anwendungsbereich (vereinfachte Darstellung) 
Ziel ist es, die „Cyberresilienz“ von Unternehmen und Organisationen in der Union zu stärken und gleichzeitig eine einheitlichere und robustere Sicherheitsinfrastruktur zu schaffen, insbesondere für betroffene „Besonders wichtige“ und „Wichtige Unternehmen“. Definiert sind diverse Branchen und Schwellenwerte der Unternehmensgröße, die eine Registrierungspflicht der Unternehmen und eine Umsetzung der NIS2-Auflagen erforderlich machen (vgl. Abbildung 1). ...

Top-Down Ansatz im Risikomanagement
 
NIS2 fordert u. a. „Konzepte in Bezug auf die Risikoanalyse“ (NIS2, Art. §30 (2), Nr. 1). Leider fehlt hier oft schon eine einheitliche Methodik zur Bewertung der Risiken. Obgleich die Auflage keine ganz Neue ist, da sowohl § 93 des AktG als auch § 43 GmbHG die Pflicht zur Sorgfalt und dem aktiven Management wesentlicher Risiken des Unternehmens fordern. Konkret fordert NIS nun, dass die Geschäftsleitungen von Einrichtungen die Risikomanagement-Maßnahmen für Cybersecurity umsetzen und die Umsetzung in der Einrichtung überwachen müssen. ... Wir arbeiten hier mit Risikokatalogen, die wir zum Beispiel für unsere Kunden im Maschinenbau dann auf deren Herstellungsverfahren auf Basis von Best-Practice-Branchenstandards erweitern. 
Zur Risikomitigierung folgender Hinweis: Kein 
Unternehmen kann alles vollständig absichern, und gerade in einem Umfeld begrenzter Mittel ist eine risikobasierte Priorisierung der Maßnahmen auf das Wesentliche von höchster Bedeutung. Gefordert ist insbesondere die Fähigkeit zur „Bewältigung von Sicherheitsvorfällen“. Die Frage ist also, was muss im Ernstfall unbedingt funktionieren? ... 

NIS2 fordert Fachbereichsperspektive 
und Augenmaß
 
Gefordert ist nicht nur die Gewährleistung der Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern. Die Aufrechterhaltung des Betriebs ist eine wesentliche Forderung. Wie beschrieben ist hierfür fachliche Priorisierung Voraussetzung. Basis dafür ist ein gutes Backup-Management und zwar ein sog. „Kaltes Backup“, das ein Angreifer nicht innerhalb kürzester Zeit finden und unbrauchbar machen kann. Zudem wird ein Notfallmanagementhandbuch benötigt, um im Ernstfall eine Wiederherstellung und ein professionelles Krisenmanagement organisieren zu können.  ...

IT-Security „nach Stand der Technik“
 
Nach NIS sollen Maßnahmen den Stand der Technikeinhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Für die Unternehmen sollte der grundsätzliche Ansatz im Übrigen auch nicht ganz neu sein – fordert doch die Datenschutzgrundverordnung (DS-GVO) schon seit 2018 im Art. Art. 32 DSGVO zur „Sicherheit der Verarbeitung“ für personenbezogene Daten auf Basis eines risikobasierten Ansatzes und auch ganz konkrete Schutzmaßnahmen inkl. der Fähigkeit zum raschen Wiederanlauf. Hierbei ist es jedoch – gerade dort, wo finanzielle Mittel begrenzt sind – wichtig, risikobasiert zu arbeiten. Wer sich die teuerste Firewall im Marktkauft, wird am Schluss ggf. kein Budget mehr für Phishing-Simulationen, Mitarbeitertrainings und andere sehr wichtige Maßnahmen wie z. B. der Restrisikoabsicherung durch eine Cyber-Versicherung haben.

Der Gesamtartikel ist im Erich Schmidt Verlag GmbH & Co. KG erschienen; Link: 
Ideen- und Innovationsmanagement Ausgabe 03 2024

Zu unserem NIS2-Offering: https://marktplatz.cyberriskagency.de/NIS2-Compliance/SW10079.3