Eine NIS-2 Management Summary_Teil 3 

von Karsten Agten

Inhaltsverzeichnis

Einführung 

Im Kapitel 2 des Gesetzes sind unter anderem die Anforderungen an das Risikomanagement und im §30 die dazu erforderlichen Maßnahmen beschrieben. 

Definition und Bedeutung des Risikomanagements 

Den meisten Managern ist das häufig in Unternehmen angewandte Qualitätsmanagement-System DIN ISO 9001:2015 bekannt. Wenn Unternehmer das gewissenhaft leben, haben sie bereits eine wichtige Forderung des NIS-2-Gesetzes erfüllt. Denn in der Normenrevision :2015 steht, das in einem funktionierenden Qualitätsmanagement eine angemessene Risikobetrachtung verankert sein muss. Unter anderem sind hier bereits neben gesundheitlichen, wirtschaftlichen und Finanzrisiken auch Leistungsrisiken, wie der Ausfall der IT und IT-Risiken wie Datenschutz erwähnt. 

Risikomanagement in Unternehmen bezeichnet den systematischen Prozess zur Identifikation, Analyse, Bewertung, Steuerung und Überwachung von Risiken, die die Erreichung der Unternehmensziele gefährden könnten. 

Anforderungen an Unternehmenslenker 

Für qualitäts- und risikobewusste Manager ist das alles nichts Neues, oder? Leider doch, denn das Gesetz überträgt dem Management noch mehr Verantwortung und erhöht das Haftungsrisiko.  

In §38 steht dazu: „Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ 

Es ist also nicht mehr obsolet die Verantwortung auf „die IT-Abteilung“ oder den „IT-Leiter“ zu übertragen. Was im eigentlichen Sinne bereits jetzt nicht möglich ist. Denn die Verantwortung für die Risiko-Einschätzung und Risikomindernder Maßnahmen liegt immer bei der Unternehmensführung. 

Spezifische Anforderungen des NIS-2-Gesetzes 

Das NIS-2-Gesetz schreibt jetzt unter anderem vor, dass Unternehmen jetzt 

  1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik, 
  1. auf die Bewältigung von Sicherheitsvorfällen, 
  1. die Aufrechterhaltung des Betriebes, 
  1. und auf die Sicherung der Lieferkette, 
  1. sowie Konzepte für die Beschaffung und insbesondere Wartung und das Sicherheitsmanagement der IT haben müssen. 

So detailliert haben wir das in der ISO 9001 nicht beschrieben. Hier haben wir auf unsere IT-Abteilung verwiesen, auf deren organisatorischen Prozesse und technischen Lösungen. Diese reichen allerdings nicht aus, unser Unternehmen so zu schützen, dass Ausfälle im eigenen Betrieb wie auch bei Kunden und Lieferanten größere Schäden verursachen.  

Die Ziele eines wirksamen Risikomanagements nach dem NIS-2-Gesetz sind 

  • Reduzierung von Ausfällen der Informationstechnik und/oder  
  • Sicherstellung eines schnellstmöglichen Wiederanlaufs im Falle eines Vorfalls.  

Wort wörtlich heißt es hier: 
„Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.“  

Umsetzung des NIS-2-Gesetzes im Unternehmen 

Wie sollten Unternehmen, die das Risiko eines Cybervorfalls vermeiden oder den Schaden gering halten wollen, vorgehen? 

Als erstes empfehlen wir eine Schutzbedarfsanalyse. Im Ergebnis erfahren wir was besonders schützenswert ist. Wir ermitteln die Kronjuwelen des Unternehmens und die erfahren etwas über unsere Schwachstellen. 

Dann schauen wir wo das Unternehmen sicherheitstechnisch steht und erhalten im Ergebnis eine Liste an organisatorischen und technischen Maßnahmen, die es zu priorisieren und umzusetzen gilt. Hier geht es unter anderem um Risikovermeidung, Risikominderung, Risikotransfer (Outsourcing/Versicherung) und Risikoakzeptanz.  

Je besser das Unternehmen aufgestellt ist, umso schneller lassen sich die notwendigen Prozesse für den Schutz, den Wiederanlauf im Störfall und das Notfall- und Krisenmanagement aufsetzen.   

Weil Risikomanagement ein fortlaufender Prozess ist, müssen wir ihn permanent überwachen, auf Aktualität prüfen und anpassen. 

Dazu brauchen wir, Unternehmer, Geschäftsführer oder Vorstand, Sparringspartner (Kunden, Lieferanten, andere Stakeholder, Berater, Kammern und Netzwerk-Kooperationen) die sich regelmäßig mit uns austauschen.  

Sie interessieren sich für eine NIS-2-Beratung für Unternehmer? Hier finden Sie zu uns oder vereinbaren Sie doch gleich hier Ihren individuellen Beratungstermin  

Du möchtest diesen Artikel in deinem Netzwerk teilen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge