98 Prozent der Unternehmen sehen laut einer Umfrage* aus dem Jahr 2023 ihren wirtschaftlichen Erfolg durch Cyberkriminelle bedroht. Dass diese Gefahr real ist, zeigt die jährlich steigende Zahl erfolgreicher Angriffe auf Organisationen aller Größen. Weltweit entwickeln Gesetzgebende nun Cybersecurity-Regularien, um ein Mindestmaß an Sicherheit zu gewährleisten und kritische Infrastrukturen besonders zu schützen. Die Europäische Union verfolgt dabei das Ziel, ein hohes Cybersicherheitsniveau zu gewährleisten. Neben dem Cyber Resilience Act für mehr Cybersicherheit von Produkten und der Neuauflage der Radio Equipment Directive für elektrische und elektronische Geräte, die Funkwellen ausstrahlen und empfangen, steht deshalb auch die Netzwerksicherheit kritischer Infrastrukturen mit der Überarbeitung der Networt-and-Information-Security-Richtline, kurz NIS2, auf ihrem Plan. Wie in vielen EU-Mitgliedsstaaten, wird sie auch in Deutschland aktuell noch in nationales Recht überführt. Betroffene Organisationen sollten schon jetzt prüfen, ob sie die Anforderungen von NIS2 erfüllen und dabei gleichzeitig ihre Cyber-Resilienz erhöhen.
Mit Risk Assessments Resilienz stärken
Risikobewertungen sind stets ein wichtiger Teil einer umfassenden Strategie zur Verbesserung der allgemeinen Cyber-Resilienz. Sowohl NIS2 als auch ISO 27001, als internationale Norm für ein Informationsmanagementsystem, betonen ihre Bedeutung. Werden alle potenziellen Sicherheitslücken mitgedacht? Welche Tools sind bereits vorhanden? Sind die Mitarbeitenden ausreichend geschult? Mit diesen und vielen weiteren Fragen müssen sich Organisationen im Laufe eines solchen Risk Assessments auseinandersetzen. Mit einem klaren Verständnis des eigenen Sicherheitsstatus und der Bewertung bereits vorhandener Ressourcen, können Entscheider künftige Investionen gezielt tätigen und so die Resilienz der Organsiation stärken. Egal, ob als IT-Verantwortliche eines Wasserkraftwerks, eines Pharmakonzerns, eines Rechenzentrums oder im Finanzwesen verantworten, ein Risk Assessment – am besten von neutralen Dritten durchgeführt – gehört spätestens mit NIS2 auf die To-Do-Liste.
Managerhaftung – Umfang kennen
Eine der wichtigsten Änderungen von NIS2: Die Richtlinie definiert direkte Verpflichtungen der Geschäftsführung und macht ihr gegenüber Haftungsansprüche im Bezug auf die Umsetzung der erforderlichen Risikomanagementmaßnahmen im Bereich Cybersecurity geltend. Auch wenn noch nicht klar ist, wann das Bundesamt für Sicherheit in der Informationstechik (BSI) seiner Prüfpflicht tatsächlich nachkommt, Managementverantwortliche müssen sich mit den Anforderungen, die sich aus NIS2 und ihrer nationalen Umsetzung ergeben, vertraut machen. Geschäftsführungen sollten wissen, welche Verpflichtungen direkt von ihnen erfüllt werden müssen und für welche Pflichtverletzungen sie persönlich haften.
Eines ist klar: An Cybersecurity führt kein Weg vorbei und Cyberrisiken müssen mit höchster Priorität reduziert werden. Die Einhaltung der neuen Regularien ist ein wichtiger Schritt in diese Richtung.
*TÜV Verband, 2023
Mit Risk Assessments Resilienz stärken
Risikobewertungen sind stets ein wichtiger Teil einer umfassenden Strategie zur Verbesserung der allgemeinen Cyber-Resilienz. Sowohl NIS2 als auch ISO 27001, als internationale Norm für ein Informationsmanagementsystem, betonen ihre Bedeutung. Werden alle potenziellen Sicherheitslücken mitgedacht? Welche Tools sind bereits vorhanden? Sind die Mitarbeitenden ausreichend geschult? Mit diesen und vielen weiteren Fragen müssen sich Organisationen im Laufe eines solchen Risk Assessments auseinandersetzen. Mit einem klaren Verständnis des eigenen Sicherheitsstatus und der Bewertung bereits vorhandener Ressourcen, können Entscheider künftige Investionen gezielt tätigen und so die Resilienz der Organsiation stärken. Egal, ob als IT-Verantwortliche eines Wasserkraftwerks, eines Pharmakonzerns, eines Rechenzentrums oder im Finanzwesen verantworten, ein Risk Assessment – am besten von neutralen Dritten durchgeführt – gehört spätestens mit NIS2 auf die To-Do-Liste.
Managerhaftung – Umfang kennen
Eine der wichtigsten Änderungen von NIS2: Die Richtlinie definiert direkte Verpflichtungen der Geschäftsführung und macht ihr gegenüber Haftungsansprüche im Bezug auf die Umsetzung der erforderlichen Risikomanagementmaßnahmen im Bereich Cybersecurity geltend. Auch wenn noch nicht klar ist, wann das Bundesamt für Sicherheit in der Informationstechik (BSI) seiner Prüfpflicht tatsächlich nachkommt, Managementverantwortliche müssen sich mit den Anforderungen, die sich aus NIS2 und ihrer nationalen Umsetzung ergeben, vertraut machen. Geschäftsführungen sollten wissen, welche Verpflichtungen direkt von ihnen erfüllt werden müssen und für welche Pflichtverletzungen sie persönlich haften.
Eines ist klar: An Cybersecurity führt kein Weg vorbei und Cyberrisiken müssen mit höchster Priorität reduziert werden. Die Einhaltung der neuen Regularien ist ein wichtiger Schritt in diese Richtung.
*TÜV Verband, 2023
