Cybersecurity icon

Cybersecurity

Standpunkte Mehr Grund als Anlass: Mit NIS-2 und DORA die Resilienz von Unternehmen stärken

Markus Epner, Head of Academy bei F24
Markus Epner, Head of Academy bei F24 Foto: privat

Mit der Umsetzung neuer EU-Richtlinien kommen auf etliche Unternehmen Pflichten zur Cyberresilienz zu. Die Verantwortlichen sollten dies zum Anlass nehmen, das eigene Krisenmanagement grundlegend neu aufzustellen, kommentiert Krisenexperte Markus Epner. Dabei brauche es eine systematische Herangehensweise, denn das Unternehmen widerstandsfähig aufzustellen, bedeute mehr als Notfallpläne in die Schublade zu legen.

von Markus Epner

veröffentlicht am 10.10.2023

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Die Uhr tickt – bis Oktober 2024 haben betroffene Unternehmen aus Energie, Verkehr, Gesundheit und digitaler Infrastruktur nur noch ein Jahr Zeit, bis sie die neue EU-Richtlinie zur Netz- und Informationssicherheit (NIS-2) implementiert haben müssen. Ein wenig mehr Zeit bleibt den Finanzunternehmen: Die für sie geltende DORA-Richtlinie (Digital Operational Resilience Act) ist eine Ergänzung zu NIS-2 mit Fokus auf die Finanzbranche. Diese trat im Januar 2023 in Kraft und muss bis Anfang 2025 umgesetzt werden. Im Kern sollen beide Maßnahmen eine der am stärksten wachsenden Herausforderungen unserer Zeit adressieren: Cyberkriminalität. Der Schlüssel zu ihrer Bewältigung liegt aber nicht allein im Ergreifen einzelner Maßnahmen, sondern darin, das gesamte Unternehmen resilient aufzustellen.

NIS-2 verpflichtet die schätzungsweise 160.000 betroffenen Unternehmen in der EU zu strengeren Melde- und Sicherheitspflichten und will die Mehrzahl der Betriebe dazu bewegen, ihre Prioritäten im Bereich IT-Sicherheit und Risikomanagement zu überdenken und anzupassen. Es geht um Risikoanalysen und Sicherheitsmaßnahmen für die eingesetzten Informationssysteme und Netzwerke, eine strengere Berichtspflicht bei Vorfällen und die kontrollierte Zusammenarbeit mit Drittanbietern und den zuständigen Behörden.

Die Liste der Anforderungen ist lang, zumal der Entwicklung einer tragfähigen Lösung bei den meisten Unternehmen eine detaillierte Analyse des Status quo in puncto IT-Sicherheit vorangehen dürfte. Da scheint die Zeit bis Oktober 2024 (und selbst bis Januar 2025) doch sehr begrenzt zu sein.

Systematisiertes Krisenmanagement in vielen Betrieben (noch) rar

Aus dem Resilience Radar 2023, einer deutschlandweiten, repräsentativen Umfrage unter mehr als 1.000 Führungskräften, geht hervor: Knapp ein Drittel (27 Prozent) der Führungskräfte in Deutschland sehen beim Schutz ihrer kritischen Bereiche den größten Handlungsbedarf, wenn es darum geht, ihre Resilienz gegenüber Krisensituationen zu steigern. Lediglich 7 Prozent verfügen über digitale Lösungen, um ihre Abläufe in Krisensituationen zu automatisieren. Das ist vor allem deshalb problematisch, weil das Fehlen einer automatisierten Kommunikation im Krisenfall die Fähigkeit eines Unternehmens erheblich beeinträchtigt, Krisen effektiv zu begegnen und ihre Auswirkungen zu minimieren.

Es besteht einerseits durch NIS-2 und DORA sowie die steigende Zahl an Cyberangriffen die dringende Notwendigkeit, das eigene Unternehmen systematisch auf Krisen vorzubereiten. Andererseits ist die Zurückhaltung seitens der Unternehmen noch zu groß, dies eigeninitiativ in die Hand zu nehmen. Über die Gründe lässt sich lange spekulieren. Fakt ist: Sie müssen handeln. Unternehmerische Resilienz ist schon lange kein Modewort mehr. In Krisensituationen steht im schlimmsten Fall die Existenz des gesamten Betriebes auf dem Spiel. Maßnahmen zu ergreifen, die dies verhindern, sind deshalb nicht optional, sondern gehören zum verantwortungsbewussten unternehmerischen Handeln dazu.

Umsetzung Schritt für Schritt in die Hand nehmen

Wer dies erkannt hat, kann die beiden gesetzlichen Maßnahmen zum finalen Anlass nehmen, das eigene Krisenmanagement zu überdenken und sich neu aufzustellen. Bei der Umsetzung empfiehlt es sich, schrittweise vorzugehen:

1. Beurteilen Sie, ob und inwiefern das eigene Unternehmen von NIS-2 oder DORA betroffen ist.

2. Finden Sie geeignete Partner, die Sie unter Umständen bei der Gestaltung notwendiger Maßnahmen zur Einhaltung der Vorgaben und deren Implementierung unterstützen können.

3. Führen Sie eine Gap-Analyse durch, um herauszufinden, welche kritischen Prozesse Sie haben und wo Verbesserungspotenzial besteht.

4. Holen Sie die Unternehmensverantwortlichen mit ins Boot und arbeiten Sie einen konkreten Plan zur Umsetzung der fehlenden Anforderungen aus.

5. Stellen Sie die erforderlichen Ressourcen bereit. Projekte dieser Komplexität benötigen sowohl personelle als auch finanzielle Ressourcen.

6. Warten Sie nicht bis zum letzten Tag, sondern setzen Sie fehlende Maßnahmen, Strategien und Routinen bereits jetzt um. Das sichert nicht nur Konformität zum Stichtag, sondern stärkt Ihre Resilienz gegenüber IT-Sicherheitsvorfällen ab sofort.

Wichtig ist bei Planung und Umsetzung der Maßnahmen die eigenen Ressourcen stets im Blick zu behalten. Gerade wenn es um die finanziellen und personellen Kapazitäten geht, kommen vor allem kleinere und mittelständische Unternehmen schnell in Bedrängnis. Hier hält die EU Fördergelder bereit, mit denen die Industrie, insbesondere KMU und Start-up-Unternehmen, bei der Einhaltung der Regulierungsanforderungen im Bereich der Cybersicherheit unterstützt werden sollen.

Umsetzung mit der richtigen Unterstützung

NIS-2 sieht hohe Strafen für diejenigen Unternehmen vor, die die definierten Richtlinien nicht zum Stichtag einhalten. Betriebe, denen schlichtweg das Know-how für die Umsetzung oder die notwendigen Kapazitäten fehlen, sollten nicht zögern, sich geeignete Partner zu suchen, die sie bei der Strategieerstellung und ihrer Umsetzung begleiten, beraten und weitere Ressourcen zur Verfügung stellen. Auch die Nutzung von digitalen Krisen- und Notfallmanagementlösungen ist für viele Unternehmen lohnenswert. Diese bieten automatisierte Lösungen für viele der in den Richtlinien genannten Anforderungen, zum Beispiel eine datenschutzkonforme Protokollierung für die vollständige, präzise und zeitnahe Meldung eines Vorfalls an die zuständigen Behörden.

Welche der zahlreichen angebotenen Lösungen den NIS-2-Anforderungen standhält, müssen Sicherheitsverantwortliche im Einzelnen selbst prüfen. ISO-Zertifizierungen wie beispielsweise die ISO-Zertifikate für Informationssicherheit ISO/IEC 27001:2013 und Business Continuity ISO 22301:2019 geben erste wichtige Hinweise darauf, bei welchen Anbietern die Sicherheitsstandards besonders hoch sind.

Resilienz braucht Rollen und Prozesse

Das eigene Unternehmen widerstandsfähig aufzustellen, bedeutet mehr als Notfallpläne für den Tag X in die Schublade zu legen. Um den Richtlinien zu entsprechen und sich generell resilienter aufzustellen, ist die Systematisierung des eigenen Krisenmanagements unabdingbar. Konkret bedeutet das, eine Strategie auszuarbeiten, die klar und transparent definiert: Wie können Risiken systematisch verringert werden? Wie erreichen wir effizient alle notwendigen Personen für ein bestimmtes Szenario? Wer tut was in welchem Notfall?

Ergänzt wird diese Strategie durch die richtigen digitalen Werkzeuge wie softwarebasierte Krisen- und Notfallmanagementlösungen, bei denen die menschliche Expertise im Zusammenspiel mit moderner Technologie ein schlagkräftiges Team bilden können. Dazu zählt auch, automatisierte Informationsflüsse abteilungsübergreifend zu gewährleisten und Silos aufzubrechen. Bei einem möglichen Vorfall haben Betriebe so alle wichtigen Informationen an einem Ort, können schnell agieren und alles rechtssicher dokumentieren.

NIS-2 und DORA fokussieren sich auf die Bedrohungen durch Cyberangriffe. Im Geschäftsalltag drohen aber noch weitere Herausforderungen, die schnell zur Initialzündung für einen IT-Sicherheitsvorfall werden können: Erdbeben, extreme Wetterereignisse mit Starkregen und Überschwemmungen, Kabelbrände oder die Überhitzung kritischer Hardware können allesamt signifikante Folgen haben. Diesen Ernstfällen möglichst zügig Herr zu werden, ist ein entscheidender Faktor zur Minimierung von Schäden. Für Unternehmen ist es also ratsam, sich mit der Krise zu beschäftigen, lange bevor sie auftritt. Ebenso wie mit gesetzlichen Regularien, noch bevor ihre Implementierungsfrist abgelaufen ist.

Markus Epner ist Head of Academy bei F24, einem Anbieter von Lösungen für Notfallbenachrichtigung und Krisenmanagement. 

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen