Zwischen DORA und NIS 2:

NIS 2 setzt neue Standards – für alle Unternehmen

Wie der Name bereits erahnen lässt, stellt NIS 2 keine neue Richtlinie dar. Vielmehr handelt es sich um eine Erweiterung und Verschärfung der bestehenden NIS-Richtlinie.

Zudem wird NIS 2 eine größere Anzahl von Branchen betreffen, wie beispielsweise die Sektoren Energie, Transport, Gesundheit und digitale Infrastruktur. Da die Richtlinie jedoch neue technische Sicherheitsstandards definiert und Unternehmen dazu angehalten sind, ihre IT-Sicherheit stets nach dem aktuellen Stand der Technik auszurichten, ist die Umsetzung der Inhalte von NIS 2 bereits jetzt für alle Unternehmen empfehlenswert. Dies gilt insbesondere für Zulieferer und Drittanbieter der oben genannten Branchen, die bereits jetzt direktbetroffen sind.

• Strengere Sicherheitsanforderungen: Neben regelmäßige Risikobewertungen müssen Unternehmen ein klar strukturiertes Vorfallsmanagement nachweisen.
• Verpflichtende Meldung: Bei Sicherheitsvorfällen sind Unternehmen zu Mitteilungenan nationale Behörden innerhalb festgesetzter Fristen verpflichtet.
• Verstärkte Kooperation: NIS 2 sieht eine Optimierung der Zusammenarbeit und des Informationsaustauschs zwischen Mitgliedstaaten und Unternehmen vor. Ziel ist die Stärkung der kollektiven Cybersicherheit.

DORA und NIS 2: Lange bekannt und doch kalt erwischt?

Trotz der umfassenden Änderungen, die die beiden EU-Vereinbarungen mit sich bringen, erinnert die derzeitige Stille in vielen Unternehmen stark an die trügerische Ruhe vor dem Sturm im Vorfeld der DSGVO (Datenschutz-Grundverordnung), die im Mai 2018 in Kraft trat. Obwohl die Gesetzänderungen lange im Vorfeld angekündigt wurden, reagierten damals viele Betriebe so spät, dass Lösungen nur unter Druck und mit großer Eile etabliert werden konnten.

Bei NIS 2 wird dies nicht funktionieren. Denn die Optimierung der digitalen Resilienz von IT-System entsprechend den Bestimmungen von NIS 2 kann weitreichende Änderungen mit sich bringen, die nicht nur Hard- und Softwaresysteme, sondern vor allem das Verhalten der Mitarbeitenden betreffen. Möchten Unternehmen hier keine überhasteten Notlösungen umsetzen, sondern durchdachte Konzepte gestalten, sollten sie bald handeln und dabei auch auf externe Expertisen vertrauen.

Security Review und Security Consulting: Für eine NIS-2-konforme, zukunftsweisende IT-Sicherheit

Die Versuchung besteht, DORA und NIS 2 lediglich als lästige EU-Vorgaben zu verstehen, zu deren Umsetzung Geschäftsführungen notgedrungen verpflichtend sind. Die steigende Zahl von Cyberangriffen legt allerdings eine andere Lesart nahe. (Laut einer BITKOM-Studiewaren 2022 neun von zehn deutschen Unternehmen von Hacks, Datendiebstählen oder Ransomware-Angriffen betroffen). Denn die von NIS 2 skizzierte Maßnahmen für eine verbesserte IT-Resilienz können Unternehmen unterstützen, ihre IT so abzusichern, dass sich Sicherheitsprobleme nicht zu Störfaktoren für den wirtschaftlichen Erfolg ausweiten. Zugleich steigern widerstandsfähige IT-Systeme die Wettbewerbsfähigkeit sowie das Vertrauen von Kunden und Geschäftspartnern.

Bei der Entwicklung einer resilienteren IT können Security Reviews ein wertvoller Schritt sein: Technische Experten unterstützen Unternehmen dabei, Schwachstellen in der eigenen IT-Landschaft zu entdecken. Ein noch weitreichenderes Instrument benennt Thorsten Höger, CEO des AWS-Partners Taimos: „Neben Security Reviews empfehle ich ein bedarfsgerechtes Security Consulting. Dabei begleiten ich Unternehmen, erkannte Defizite in der IT-Struktur nachhaltig auszubessern, und zwar so, dass sie den Handlungsfeldern des Unternehmens optimal entsprechen und passgenau auf dessen IT-Bedarf abgestimmt sind. NIS 2 sehe ich dabei als Anlass, vielmehr aber als Chance für eine zukunftsweisende IT-Resilienz.“