Betroffen von NIS2? Sechs Handlungsempfehlungen

09.

Jan.

2025

ISO27001, IT-Grundschutz, IT-Risikomanagement, NIS2, Risikomanagement

Die Umsetzung der NIS2-Richtlinie stellt mittelständische Unternehmen und KRITIS-Organisationen vor neue Herausforderungen, insbesondere weil NIS2 nun auch Organisationen betrifft, die zuvor nur unter allgemeine Sicherheitsregularien gefallen sind.
Für NIS2-„Neulinge“ bieten sich trotz hoher NIS2-Anforderungen auch Chancen: Viele der erforderlichen NIS2 Handlungsempfehlungen und Maßnahmen sind mit bestehenden Vorgaben wie IT-Grundschutz, KRITIS, B3S und DSGVO konform. Die zentrale Frage lautet: Wie lassen sich sämtliche Anforderungen in Einklang bringen, um sie effizient und ressourcenschonend umsetzen zu können?

Mehr über NIS2 erfahren Sie in unserer Blog-Serie:
Teil 1 NIS2 im Kontext: Bestehende Regularien in neuem Gewand?
Teil 2 NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO: Die Gemeinsamkeiten

Sechs NIS2 Handlungsempfehlungen

Die folgenden praxisorientierten Handlungsempfehlungen sind speziell auf die Bedürfnisse mittelständischer Unternehmen zugeschnitten – mit einem Fokus auf pragmatischen Ansätzen und dem Einsatz bestehender Ressourcen.

Bestandsaufnahme und Betroffenheitsprüfung

Nutzen Sie als erstes das BSI-Tool, um schnell einen Anhaltspunkt zu bekommen, ob Ihre Organisation überhaupt von der NIS2-Richtlinie betroffen ist. Diese erste Einschätzung bildet die Basis für alle weiteren Schritte.

Darüber hinaus empfiehlt es sich, eine umfassende Bestandsaufnahme Ihrer IT-Infrastruktur vorzunehmen. Welche kritischen Systeme nutzen Sie? Wie sind die Zugriffsrechte organisiert? Welche Sicherheitsmaßnahmen haben Sie bereits implementiert und wie passen diese zu den Anforderungen?

Risikomanagement priorisieren

Die Etablierung eines umfassenden Risikomanagements ist ein Muss. Viele der geforderten Maßnahmen überschneiden sich mit den Vorgaben von IT-Grundschutz und KRITIS. Dies bietet die Möglichkeit, vorhandene Systeme und Prozesse zu nutzen und bei Handlungsbedarf weiter auszubauen.

Technologische Lösungen zur Automatisierung nutzen

Angesichts des IT-Fachkräftemangels kann die Automatisierung von Sicherheitsmaßnahmen entscheidend sein. Managed Security Services (MSSP) oder cloudbasierte Lösungen können dabei helfen, grundlegende Sicherheitsmaßnahmen und NIS2 Handlungsempfehlungen kosteneffizient umzusetzen.
Hersteller wie Fortinet empfehlen beispielsweise den Einsatz von Multi-Faktor-Authentifizierung, Incident Management Tools und Kryptografie, um den Anforderungen gerecht zu werden.

Zentralisierte Sicherheitsstrategie mit Synergien

Anstatt für jede Regelung separate Maßnahmen zu ergreifen, ist es oft sinnvoller, eine zentrale Sicherheitsstrategie zu entwickeln. Ein modulares Sicherheitskonzept, das sich an IT-Grundschutz und ISO 27001 orientiert, kann viele Synergieeffekte nutzbar machen – es deckt bereits einen Großteil der Anforderungen von KRITIS, B3S, DSGVO und NIS2 ab.

Schulungen und Awareness

Mitarbeiter sind eine wichtige Verteidigungslinie gegen Cyberangriffe. Regelmäßige Schulungen zu Themen wie Phishing, Social Engineering und sicheres Verhalten im Netz sind unerlässlich, um eine „Human Firewall“ zu schaffen. Gerade in Organisationen, in denen möglicherweise weniger Ressourcen für dedizierte IT-Abteilungen vorhanden sind, sollten regelmäßige Mitarbeiterschulungen fester Bestandteil der Sicherheitsstrategie sein. Schulungen zu Phishing, Social Engineering und sicherem Passwortmanagement können das Risiko eines Angriffs erheblich senken.

Stetige Verbesserung durch Audits und Monitoring

Führen Sie regelmäßige interne und externe Audits durch, um sicherzustellen, dass die Maßnahmen effektiv sind und den aktuellen Bedrohungen entsprechen. Das BSI kann jederzeit stichprobenartig Überprüfungen durchführen.

Unternehmen sollten kontinuierlich ihre IT-Sicherheitsmaßnahmen überprüfen und durch regelmäßige interne Audits sicherstellen, dass sie den Anforderungen genügen. Zertifizierungen nach ISO 27001 oder dem IT-Grundschutz können hier als Orientierung dienen.

FAZIT
Die NIS2-Richtlinie fordert von Unternehmen eine konsequente und kontinuierliche Stärkung der IT-Sicherheit. Insbesondere für KMU ist dies in Zeiten wirtschaftlicher Unsicherheiten und Fachkräftemangels nicht gerade eine kleine Herausforderung.

Die gute Nachricht: Viele der NIS2 Handlungsempfehlungen und Maßnahmen basieren auf etablierten Standards wie IT-Grundschutz und DSGVO. Mit einer zentralen, modularen Sicherheitsstrategie können Unternehmen Synergien nutzen und gleichzeitig mehrere Regularien erfüllen. Automatisierte Tools und Managed Services können zumindest teilweise den Fachkräftemangel abfedern. Regelmäßige Audits und Mitarbeiterschulungen sorgen für ein kontinuierliches Am-Ball-Bleiben.
Am Anfang erfolgt eine sorgfältige Bestandsaufnahme, daraus leitet man einen möglichst praxisnahen Ansatz für technische und organisatorische Maßnahmen ab.

So wird NIS2-Compliance vom unüberwindbaren Gebirge zur machbaren step-by-step Wanderung – mit dem positiven Effekt, damit die eigene Cybersicherheit wesentlich zu stärken. Die Experten von ProSoft und von der Datenschutzagentur helfen Ihnen gerne weiter. Nehmen Sie unverbindlich Kontakt auf zu uns.