NIS-2: Risikomanagement-Einmaleins

Bei guter Vorbereitung ist Prüfungsangst vor der NIS-2-Umsetzung im Oktober überflüssig, meint unser Autor Florian Goldenstein

Die neue europäische Informationssicherheits-Richtline NIS-2 trifft etwa jedes dritte Unternehmen ab 50 Mitarbeiter*innen in Deutschland und Österreich. Durch meine Arbeit als CISO und Cybersecurity-Experte bei Konica Minolta weiß ich: Bei manchen Verantwortlichen macht sich Panik wie vor einer Klassenarbeit breit – denn die Geschäftsleitung ist persönlich für die Einhaltung verantwortlich. Neben der Registrierungspflicht und neuen Meldepflichten gehört für sie das Risikomanagement zu den neuen Pflichtfächern. Wer die Versetzung ins neue Zeitalter der Cybersecurity nicht gefährden will, muss zwar nicht die Mindestanforderungen im Schlaf aufsagen können – aber sollte dennoch das Risikomanagement-Einmaleins sicher beherrschen

Wer die Anforderungen der NIS-2 umsetzen will, muss die Risikomanagement-Hausaufgaben erledigen

Risikomanagement galt lange als Luxus, den sich große Unternehmen leisten. Doch mit NIS-2 bildet es den Kern der Informationssicherheit bei „wichtigen“ und „wesentlichen“ Unternehmen – und davon gibt es laut Aussage vom BMI alleine in Deutschland rund 29.000. Auch deren Lieferanten werden indirekt von der neuen Richtlinie betroffen sein, davon bin ich überzeugt. Der Grundgedanke dabei: Um die gesamte Wirtschaft resilienter und krisensicherer gegenüber Cyberangriffen zu machen, darf die Sensibilität für alltägliche Gefahrenquellen nicht nur bei den Klassenbesten vorhanden sein. In Artikel 21 der NIS-2 Richtlinie gibt NIS-2 deshalb klar vor, welche organisatorischen und technischen Maßnahmen mindestens erfüllt werden müssen. Statt mit Fleißbienchen arbeiten die Behörden also in Zukunft mit harten Anforderungen und Kontrollen.

Diese 10 Mindestanforderungen gelten für das Risikomanagement nach NIS-2

NIS-2 sieht einen „gefahrenübergreifenden Ansatz“ vor, um „die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen“. Was das im Einzelnen bedeutet, erkläre ich gerne:

1. Risikoanalyse und Sicherheitskonzept

Die wichtigste Hausaufgabe für jedes Unternehmen, für das NIS-2 ein Thema ist, lautet in den kommenden Monaten: Die Risiken identifizieren, bewerten und dokumentieren, nur so lässt sich ein wirksames Konzept entwickeln. Je systematischer die Grundlagen, desto höher die Sicherheit. Der Zeitpunkt ist jetzt gekommen,
ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einzuführen.

2. Sicherheitsvorfälle und Meldepflicht

In zahlreichen Unternehmen gibt es noch keine Verhaltensregeln oder Prozesse für Sicherheitsvorfälle. Das muss und wird sich ändern. Eindeutige Verantwortlichkeiten und Meldeketten sind in Zukunft unerlässlich, um NIS-2 gerecht zu werden. Ohne diese Grundlagen kann keine
Incident Response-Strategie funktionieren.

3. Backups, Continuity und Notfallmanagement

Murphys Cybersecurity-Gesetz: Was passieren kann, wird auch passieren – aber idealerweise in einem Unternehmen, das darauf vorbereitet ist. Ein gutes
Business Continuity Management beinhaltet unter anderem ein Notfallhandbuch und verschiedene Szenarien, wie der Betrieb wiederaufgenommen oder IT-Systeme mittels Backups nach und nach wiederhergestellt werden können.

4. Sicherheit der Lieferkette

Eine wirksame Risikomanagement-Strategie muss auch die Schnittstellen zu anderen Unternehmen berücksichtigen. Wer hat Zugriff auf Systeme, wer darf die Halle betreten, welche Daten und Produkte gelangen in die sichere Zone des eigenen Unternehmens? Sind diese Fragen geklärt und sauber dokumentiert, lassen sich Mechanismen für eine gute Zusammenarbeit finden –
von Audit bis zum Zertifikat.

5. Erwerb, Entwicklung und Wartung von ITK

Klar: Updates nerven. Doch richtig nervig wird es in Zukunft für Unternehmen, die sich nicht um die Wartung ihrer IT kümmern – sie handeln nach NIS-2 nämlich ebenso fahrlässig wie beim Erwerb bedenklicher IT-Lösungen. Glücklicherweise lassen sich viele Aufgaben systematisieren und automatisieren, etwa das
Patch Management als Service.

6. Planung und Bewertung von Maßnahmen

Ein umfangreiches Konzept ist gut – ein funktionierendes noch besser. Deshalb ist es wichtig zu verifizieren, inwiefern die organisatorischen und technischen Maßnahmen greifen.
Cybersecurity-Analysen, Vulnerability Checks und Penetration Tests durch Profis helfen dabei, die Strategie auf Herz und Nieren zu prüfen. Die Bewertung von Risiken und deren Maßnahmen ist für die Geschäftsleitung verpflichtend.

7. Awareness und Cyber-Hygiene

Die wichtigste Schutzmaßnahme in jedem Unternehmen ist die
menschliche Firewall. Alle technischen oder organisatorischen Maßnahmen sind nur dann wirkungsvoll, wenn alle Mitarbeiter*innen sie kennen und umsetzen. Mit Awareness-Workshops oder Schulungen zur Cyber-Hygiene wird Informationssicherheit zur Gemeinschaftsaufgabe.

8. Konzepte und -verfahren für Kryptografie

Die unverschlüsselte E-Mail ist noch immer eine der beliebtesten Formen der Kommunikation in der Geschäftswelt. Dabei mangelt es nicht an Angeboten für Kryptografie-Verfahren. Was oft fehlt, ist die richtige Strategie – deshalb ist Kryptografie ein zentraler Baustein im Risikomanagement gemäß NIS-2. Einen
Blackout zu verhindern kann dadurch manchmal einfacher sein als gedacht.

9. Personal, Zugriffskontrolle und Anlagenmanagement

Risiken bestehen nicht nur da, wo Firewalls oder Virenscanner versagen – sondern auch dort, wo Unbefugte ohne Weiteres Zugriff auf Dokumente, Maschinen oder IT haben. Wer wann wo reinkommt, ist deshalb in allererster Linie eine organisatorische Frage. Konsequenten Zugriffskontrollen oder
Videoüberwachung helfen dabei, sensible Bereiche zu schützen.

10. Multifaktor-Authentifizierung und gesicherte Kommunikation

Zweistufige oder kontinuierliche Authentifizierung hat sich in den letzten Jahren durchgesetzt –bei der
Endpoint Security genauso wie im privaten Online-Banking. Die Verfahren machen unberechtigte Zugriffe unwahrscheinlicher, aber nicht unmöglich. Deshalb sieht NIS-2 auch funktionierende Kommunikationskanäle für den Notfall vor.

Nachhilfe im Risikomanagement gewünscht? Wir helfen!

Wer bis zehn zählen kann, beherrscht auch das Risikomanagement nach NIS-2? Ganz so einfach ist es leider nicht. Wenn manche Themen noch Fremdworte für Sie sind, unterstützen wir gerne: Mit mehreren Jahrzehnten Erfahrung in Informationssicherheit und Cybersecurity sind wir für Sie da. Wenn Sie möchten, beraten wir Sie zu Lösungen in einzelnen Bereichen oder entwickeln gemeinsam mit Ihnen eine Risikomanagement-Strategie für das gesamte Unternehmen. Meine Kolleg*innen und ich freuen uns darauf, Sie kennenzulernen!

Ihr Kontakt zu Konica Minolta

NIS-2: Das steckt hinter der neuen Richtlinie

Sie möchten mehr Details zur NIS-2 Richtlinie? Eine Einführung sowie eine Übersicht zu den nächsten Schritten gebe ich in diesem
Video.

Weitere Infos

Boilerplate
Konica Minolta’s journey started 150 years ago, with a vision to see and do things differently. We innovate for the good of society and the world. The same purpose that kept us moving then, keeps us moving now.
Konica Minolta Business Solutions Europe GmbH, based in Langenhagen, Germany, is a wholly owned subsidiary of Konica Minolta Inc., Tokyo, Japan. With its unique expertise in imaging, data processing and data-based decision making, Konica Minolta creates relevant solutions for its customers - small and medium-sized businesses, large enterprises and public sector - and solves issues faced by society.
As a digital workplace solution provider, Konica Minolta helps its clients to identify and unlock the potential digitalisation holds and reach the next level in the digital maturity of their organisation by rethinking the workplace. In support of an ‘Intelligent connected workplace’, Konica Minolta offers cloud, IT, managed print and video solution services for remote working, collaboration, workflow management and automation and security. The company’s success in driving transformation is also confirmed by IDC, since the ‘IDC MarketScape: Worldwide Print Transformation 2020 Vendor Assessment’ stated that Konica Minolta is ‘recognised globally as a leader in print transformation’. Konica Minolta has been a Microsoft Global Managed Partner since 2021.
Konica Minolta's Igniting Print Possibilities offering helps printers, converters and brand owners maximise workflow automation to increase efficiency. The company delivers consultancy in all communication matters as well as top-of-the-line production, packaging as well as label printers. Its finishing devices create print products that stand out and create added value. Konica Minolta has established itself as the production printing market leader for more than a decade in Europe (InfoSource).
For an increasing number of organisations, success today is more than the narrow definition of financial prosperity – it also includes protecting the environment and having a positive impact on their workforce as well as the societies they are embedded in. With its commitment to the Sustainable Development Goals (SDGs), Konica Minolta has pledged to consistently pursue its sustainability and social responsibility goals.
The company has been repeatedly recognised for its rich history of social contribution as well as for working towards achieving the SDGs throughout its business and supply chain. Konica Minolta is listed among “2023 Global 100 Most Sustainable Corporations in the World” and received a GOLD Level Recognition Medal in the EcoVadis sustainability ratings for 2023.
For its remote services, Konica Minolta was awarded the prestigious ‘Buyers Lab (BLI) 2023-2024 Pacesetter Award in Remote Service for the Western European market’ from Keypoint Intelligence.
Konica Minolta Business Solutions Europe is represented by subsidiaries and distributors in more than 80 countries in Europe, Central Asia, the Middle East and Africa. With more than 8,700 employees (as of April 2023), Konica Minolta Europe earned net sales of over EUR 2.26 billion in financial year 2022/2023.
Worldwide, the company has over 39,000 employees and is operating in over 150 countries.
For more information, please visit https://www.konicaminolta.eu/eu-en/news and follow Konica Minolta on Facebook, Instagram and YouTube.
Terms and product names may be trademarks or registered trademarks of their respective holders and are hereby acknowledged.

NIS-2: Mein Risikomanagement-Einmaleins für den Mittelstand

Bei guter Vorbereitung ist Prüfungsangst vor der NIS-2-Umsetzung im Oktober überflüssig, meint unser Autor Florian Goldenstein

Wer die Anforderungen der NIS-2 umsetzen will, muss die Risikomanagement-Hausaufgaben erledigen

Diese 10 Mindestanforderungen gelten für das Risikomanagement nach NIS-2

1. Risikoanalyse und Sicherheitskonzept

2. Sicherheitsvorfälle und Meldepflicht

3. Backups, Continuity und Notfallmanagement

4. Sicherheit der Lieferkette

5. Erwerb, Entwicklung und Wartung von ITK

6. Planung und Bewertung von Maßnahmen

7. Awareness und Cyber-Hygiene

8. Konzepte und -verfahren für Kryptografie

9. Personal, Zugriffskontrolle und Anlagenmanagement

10. Multifaktor-Authentifizierung und gesicherte Kommunikation

Nachhilfe im Risikomanagement gewünscht? Wir helfen!

NIS-2: Das steckt hinter der neuen Richtlinie

Studie: Die größten IT-Security-Risiken

NIS-2-Folgen für Geschäftspartner: Hoffen auf die Lieferkettenreaktion

Die EU-Richtlinie NIS-2

NIS-2: Mein Risikomanagement-Einmaleins für den Mittelstand

Bei guter Vorbereitung ist Prüfungsangst vor der NIS-2-Umsetzung im Oktober überflüssig, meint unser Autor Florian Goldenstein

Wer die Anforderungen der NIS-2 umsetzen will, muss die Risikomanagement-Hausaufgaben erledigen

Diese 10 Mindestanforderungen gelten für das Risikomanagement nach NIS-2

1. Risikoanalyse und Sicherheitskonzept

2. Sicherheitsvorfälle und Meldepflicht

3. Backups, Continuity und Notfallmanagement

4. Sicherheit der Lieferkette

5. Erwerb, Entwicklung und Wartung von ITK

6. Planung und Bewertung von Maßnahmen

7. Awareness und Cyber-Hygiene

8. Konzepte und -verfahren für Kryptografie

9. Personal, Zugriffskontrolle und Anlagenmanagement

10. Multifaktor-Authentifizierung und gesicherte Kommunikation

Nachhilfe im Risikomanagement gewünscht? Wir helfen!

NIS-2: Das steckt hinter der neuen Richtlinie

Related Topics

Studie: Die größten IT-Security-Risiken

NIS-2-Folgen für Geschäftspartner: Hoffen auf die Lieferkettenreaktion

Die EU-Richtlinie NIS-2