
NIS 2 ist eine europäische Richtlinie, die bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Sollten sich Unternehmen schon jetzt mit den Anforderungen von NIS 2 auseinandersetzen?
Johanna Jupke: Auf jeden Fall. Unternehmen sind nicht nur gesetzlich verpflichtet, auf NIS 2 zu reagieren, sondern es liegt auch in ihrem eigenen Interesse, dies so früh wie möglich zu tun. NIS 2 ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein Anreiz für Unternehmen, ihr Sicherheitsniveau zu erhöhen und somit Cyber-Angriffe besser abzuwehren. Durch eine frühzeitige Auseinandersetzung mit NIS 2 können Unternehmen bestehende Sicherheitsrisiken minimieren und mögliche Bußgelder vermeiden. Daher ist es wichtig, dass Unternehmen jetzt handeln und ihre Sicherheitsstrategien überdenken.
Wenn Sie es auf den Punkt bringen sollten: Welche zentralen Neuerungen bringt NIS 2 mit sich und wie unterscheidet sich die Richtlinie von bisherigen Sicherheitsstandards?
NIS 2 ist eine umfassende und verbindliche gesetzliche Vorschrift mit dem Ziel, das Sicherheitsniveau in allen betroffenen Unternehmen zu vereinheitlichen und zu erhöhen. Im Gegensatz zu einigen früheren Standards, die oft auf freiwilliger Basis umgesetzt wurden oder nur für einen viel kleineren Kreis von Unternehmen verpflichtend waren, fordert NIS 2 Organisationen auf, wesentliche Sicherheitsmaßnahmen und -prozesse zu implementieren und zu dokumentieren. Dabei geht es nicht nur um den Einsatz bestimmter Technologien, sondern auch um die Etablierung ganzheitlicher Sicherheitsprozesse und das Schließen von Sicherheitslücken. Die Richtlinie soll eine Brücke zwischen verschiedenen Sicherheitsinitiativen schlagen und eine kohärente Cyber-Sicherheitsstrategie schaffen.
Was sind angesichts der Komplexität der Richtlinie die ersten Schritte, die ein Unternehmen gehen sollte, um NIS-2-konform zu werden?
Die ersten Schritte sind immer die Bewusstseinsbildung und eine Bestandsaufnahme. Unternehmen sollten zunächst ihre aktuellen Sicherheitsmaßnahmen evaluieren und diese mit den Anforderungen von NIS 2 vergleichen. Anschließend sollte eine Risikoanalyse durchgeführt werden, um mögliche Schwachstellen zu identifizieren. Basierend auf dieser Analyse können Prioritäten gesetzt und ein Stufenplan zur Schließung der Lücken entwickelt werden. Die internen Ressourcen sind jedoch meist begrenzt. Darum ist es für viele Organisationen sinnvoll, Expert:innen hinzuzuziehen, die dabei helfen, die Anforderungen zu verstehen und einen effizienten Plan hin zur NIS-2-Konformität zu entwickeln.
Microsoft bietet verschiedene Lösungen an, um Unternehmen bei der Umsetzung von NIS 2 zu unterstützen. Welche konkreten Angebote sind dabei besonders hilfreich?
Microsoft hat verschiedene Tools und Services entwickelt, um Unternehmen auf dem Weg zur NIS-2-Konformität zu unterstützen. Beispielsweise bietet der Microsoft Compliance Manager Orientierung und automatisierte Tools zur Überprüfung des Compliance-Status. Er gibt Handlungsempfehlungen und dokumentiert den Fortschritt. Darüber hinaus unterstützen Sicherheitslizenzen und -produkte wie Microsoft Information Protection, Microsoft Defender oder Microsoft Intune die Umsetzung technischer Sicherheitsmaßnahmen. Diese Tools helfen bei der Verschlüsselung von Daten, der Verwaltung des Gerätezugriffs sowie der Sicherheitsüberwachung und decken damit einen Großteil der technischen Anforderungen von NIS 2 ab.
Wie unterstützt Bechtle hier im Zusammenhang mit Microsoft Lösungen?
Bechtle unterstützt Unternehmen ganzheitlich auf dem Weg zur NIS-2-Compliance bei der Planung und Umsetzung der notwendigen Schritte. Gemeinsam mit Partnern wie Microsoft hilft Bechtle dabei, die Aspekte von NIS 2 abzudecken und ein ganzheitliches, maßgeschneidertes Sicherheitskonzept zu entwickeln, das sowohl technische Lösungen als auch organisatorische Prozesse umfasst. Unternehmen profitieren durch diese Partnerschaft von einem nahtlosen Übergang zur NIS-2-Konformität, unterstützt durch branchenführende Technologien und ein tiefes Verständnis für IT-Sicherheit.
Wenn Sie Organisationen in Sachen NIS 2 noch einen Rat mitgeben sollten, wie würde dieser lauten?
Es ist wichtig, so früh wie möglich zu handeln, die aktuellen Sicherheitsprozesse kritisch zu evaluieren und Maßnahmen zu ergreifen, um etwaige Lücken zu schließen. Denn die Umsetzung sollte nicht nur als gesetzliche Notwendigkeit gesehen werden, sondern auch als Chance, die eigene Cyber-Sicherheit und Resilienz zu stärken. Unternehmen sollten verfügbare Ressourcen und die Expertise vertrauenswürdiger Partner wie Microsoft und Bechtle nutzen, um einen klaren und pragmatischen Fahrplan zur Compliance zu erstellen. Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der ständige Aufmerksamkeit und Anpassung erfordert. Es geht nicht darum, einmalig schnell fertig zu werden, sondern sich kontinuierlich zu verbessern – um so bestmöglich gegen Cyber-Angriffe geschützt zu sein.