Contact
QR code for the current URL

Story Box-ID: 1178278

Contentway GmbH Neue Burg 1 20457 Hamburg, Germany http://contentway.eu/
Contact Mr Manh Nam Nguyen +49 40 87407411
Company logo of Contentway GmbH

Watch, Think, Act!

(PresseBox) (Hamburg, )
Die umfangreiche NIS2-Richtlinie erfordert künftig nicht nur von Unternehmen, die kritische Infrastrukturen in Europa betreiben, Nachweise ihrer IT-Sicherheit, sondern betrifft ab Oktober kommenden Jahres schätzungsweise auch etwa 30.000 bis 40.000 weitere Unternehmen in Deutschland, die unter die Kategorie „important“ fallen. Unternehmen sind damit in der Pflicht, wirksame Kontrollen zu implementieren, Zertifizierungen einzufordern und gegebenenfalls Nachweise zu erbringen, kurz: ihre gesamte Supply Chain transparent und cybersicher zu machen. Die Komplexität über Dritt- und Viertparteiensicherheit ist dabei eine große Herausforderung, bei der oftmals unklar ist, wie die wirksame und nachhaltige Umsetzung erfolgen soll. Zudem tritt die Meldepflicht im Falle von Cyberangriffen in Kraft. Wer bisher noch keine Cybersecurity-Strategie aufgesetzt hat, sollte nun schnell handeln. Denn bei Nichteinhaltung der umfangreichen Regularien können die Strafen drastisch ausfallen. 

Matthias Bandemer, Partner bei der Wirtschaftsprüfungsgesellschaft EY und verantwortlich für den Bereich Cybersecurity in Deutschland, erklärt im Interview, unter anderem, weshalb Unternehmen NIS2, den Cyber Resilience Act (CRA) und die Resilience of Critical Entities Directive (CER) nicht getrennt voneinander betrachten und behandeln sollten.

Herr Bandemer, die Einführung von NIS2 erfordert Handlungsbedarf auf mehreren Ebenen. Was genau sind die Hürden für Compliance in der Cybersecurity von Unternehmen?

Cybersecurity ist kein reines IT-Problem, es betrifft auch die Produktion, die Lieferkette und die Produkte und Services, das heißt, Cybersecurity muss überall im Unternehmen wirksam verankert werden. Das ist gleichzeitig sehr komplex, da man viele Kontrollen anwenden muss und die verschiedenen Security-Standards sehr umfangreich sind. Zum anderen fällt es oft schwer Cyberrisiken klar zu beziffern und den eigenen Risikoappetit zu definieren. Weiterhin werden sich aus dem 70seitigen Regelwerk der NIS2 in jedem EU-Land nochmals spezifischere Anforderungen ergeben.

Warum sollte man NIS2, CER (Resilience of Critical Entities Directive) und CRA (Cyber Resilience Act) nicht separat betrachten, sondern als gemeinsames Projekt? 

Die verschiedenen Regulierungen haben zwar verschiedene Blickwinkel auf die Organisation, Produkt oder kritische Anlagen, da sich die Anforderungen jedoch ähneln, können Unternehmen damit beginnen, fachübergreifend zusammenarbeiten. So lassen sich Synergien heben, denn man muss beispielsweise überall auf eine wirksame Angriffserkennung, Schwachstellen- oder Patch Management achten.

Wie muss ein Information Security Management System (ISMS) aussehen, um NIS2-kompatibel zu sein?

Das Managementsystem muss in der Lage sein, Risiken und Schwachstellen laufend zu analysieren. Dann ist ein Prozess umzusetzen, der verschiedene Maßnahmen wie z. B. Schutzbedarfsanalyse, Zugriffsberechtigungen oder Netzwerksicherheit umfasst. Anschließend muss die Wirksamkeit kontinuierlich überprüft werden. Unternehmen müssen sich zudem mit den Prozessen zur Angriffserkennung und der Einrichtung eines Security Operating Center beschäftigen, um Angriffe innerhalb von 24 Stunden an Behörden melden zu können. Ein wichtiger Aspekt sind zudem die Schulungen zur Informationssicherheit.

EY berät dabei Unternehmen und Behörden in ganz Europa. Wie können Unternehmen systematisch die nötigen Voraussetzungen für Cybersicherheit innerhalb der nächsten zwölf Monate implementieren?

Am Anfang steht eine Betroffenheitsanalyse: Wo und in welchen EU-Ländern bin ich betroffen? Anschließend geht es darum, Lücken bei den Sicherheitskontrollen aufzudecken. Dazu holt man sich am besten ein unabhängiges Assessment ins Haus. Frühzeitig starten sollte man mit den Themen Angriffserkennung und Meldeprozessen sowie der Lieferantensicherheit, da die Hausaufgaben hier besonders umfangreich sind. Unternehmen müssen sich absichern, dass Lieferanten ihrerseits Security umsetzen und sich Auditrechte einräumen lassen. Ob die Umsetzung gegenüber dem Bundesamt für Informationssicherheit (BSI) nachzuweisen ist, wird von der Einstufung als wichtige oder besonders wichtige Einrichtung abhängen und ob man kritische Anlagen betreibt. Der Gesetzesentwurf hierzu ist noch in Diskussion. In anderen EU-Ländern kann es anders geregelt werden. Unternehmen sollten all diese und auch künftige Regulierungen permanent auf dem Radar haben. Ich nenne das Watch-Think-Act: Frühzeitig beobachten, was sich im Entwurfsstadium befindet. Sobald es konkret wird, die Prozesse proaktiv danach ausrichten. Für NIS2 steht fest: Handlungsbedarf besteht jetzt!

EY

„Building a better working world“ - das ist der Anspruch.
Mit dem Wissen und der Qualität der Dienstleistungen
stärkt EY weltweit das Vertrauen in die Kapitalmärkte.
www.ey.com

Website Promotion

Website Promotion
Die ganze Themenvielfalt auf einen Blick!

Contentway GmbH

Contentway ist eine führende, preisgekrönte Content-Marketing-Agentur, die spezialisierte medienübergreifende Kampagnen erstellt. Die Kampagnen werden mit den führenden Tageszeitungen sowie online auf unseren Nachrichten- und Partner-Webseiten verbreitet.

Unsere Aufgabe ist es, dafür zu sorgen, dass die Inhalte unserer Kunden ihr Zielpublikum erreichen und beeinflussen. Um ein Maximum an Aufmerksamkeit und Ergebnissen zu erzielen, werden alle unsere Kampagnen von Grund auf mit einem hohen Maß an journalistischer Qualität und strengen redaktionellen Richtlinien erstellt. Alle Kampagnen werden von uns intern produziert und über führende europäische Medien wie Tageszeitungen, Zeitschriften und viele der führenden Nachrichten- und Branchen-Websites verbreitet.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.