Matthias Bandemer, Partner bei der Wirtschaftsprüfungsgesellschaft EY und verantwortlich für den Bereich Cybersecurity in Deutschland, erklärt im Interview, unter anderem, weshalb Unternehmen NIS2, den Cyber Resilience Act (CRA) und die Resilience of Critical Entities Directive (CER) nicht getrennt voneinander betrachten und behandeln sollten.
Herr Bandemer, die Einführung von NIS2 erfordert Handlungsbedarf auf mehreren Ebenen. Was genau sind die Hürden für Compliance in der Cybersecurity von Unternehmen?
Cybersecurity ist kein reines IT-Problem, es betrifft auch die Produktion, die Lieferkette und die Produkte und Services, das heißt, Cybersecurity muss überall im Unternehmen wirksam verankert werden. Das ist gleichzeitig sehr komplex, da man viele Kontrollen anwenden muss und die verschiedenen Security-Standards sehr umfangreich sind. Zum anderen fällt es oft schwer Cyberrisiken klar zu beziffern und den eigenen Risikoappetit zu definieren. Weiterhin werden sich aus dem 70seitigen Regelwerk der NIS2 in jedem EU-Land nochmals spezifischere Anforderungen ergeben.
Warum sollte man NIS2, CER (Resilience of Critical Entities Directive) und CRA (Cyber Resilience Act) nicht separat betrachten, sondern als gemeinsames Projekt?
Die verschiedenen Regulierungen haben zwar verschiedene Blickwinkel auf die Organisation, Produkt oder kritische Anlagen, da sich die Anforderungen jedoch ähneln, können Unternehmen damit beginnen, fachübergreifend zusammenarbeiten. So lassen sich Synergien heben, denn man muss beispielsweise überall auf eine wirksame Angriffserkennung, Schwachstellen- oder Patch Management achten.
Wie muss ein Information Security Management System (ISMS) aussehen, um NIS2-kompatibel zu sein?
Das Managementsystem muss in der Lage sein, Risiken und Schwachstellen laufend zu analysieren. Dann ist ein Prozess umzusetzen, der verschiedene Maßnahmen wie z. B. Schutzbedarfsanalyse, Zugriffsberechtigungen oder Netzwerksicherheit umfasst. Anschließend muss die Wirksamkeit kontinuierlich überprüft werden. Unternehmen müssen sich zudem mit den Prozessen zur Angriffserkennung und der Einrichtung eines Security Operating Center beschäftigen, um Angriffe innerhalb von 24 Stunden an Behörden melden zu können. Ein wichtiger Aspekt sind zudem die Schulungen zur Informationssicherheit.
EY berät dabei Unternehmen und Behörden in ganz Europa. Wie können Unternehmen systematisch die nötigen Voraussetzungen für Cybersicherheit innerhalb der nächsten zwölf Monate implementieren?
Am Anfang steht eine Betroffenheitsanalyse: Wo und in welchen EU-Ländern bin ich betroffen? Anschließend geht es darum, Lücken bei den Sicherheitskontrollen aufzudecken. Dazu holt man sich am besten ein unabhängiges Assessment ins Haus. Frühzeitig starten sollte man mit den Themen Angriffserkennung und Meldeprozessen sowie der Lieferantensicherheit, da die Hausaufgaben hier besonders umfangreich sind. Unternehmen müssen sich absichern, dass Lieferanten ihrerseits Security umsetzen und sich Auditrechte einräumen lassen. Ob die Umsetzung gegenüber dem Bundesamt für Informationssicherheit (BSI) nachzuweisen ist, wird von der Einstufung als wichtige oder besonders wichtige Einrichtung abhängen und ob man kritische Anlagen betreibt. Der Gesetzesentwurf hierzu ist noch in Diskussion. In anderen EU-Ländern kann es anders geregelt werden. Unternehmen sollten all diese und auch künftige Regulierungen permanent auf dem Radar haben. Ich nenne das Watch-Think-Act: Frühzeitig beobachten, was sich im Entwurfsstadium befindet. Sobald es konkret wird, die Prozesse proaktiv danach ausrichten. Für NIS2 steht fest: Handlungsbedarf besteht jetzt!
EY
„Building a better working world“ - das ist der Anspruch.
Mit dem Wissen und der Qualität der Dienstleistungen
stärkt EY weltweit das Vertrauen in die Kapitalmärkte.
www.ey.com