Watch, Think, Act!
Matthias Bandemer, Partner bei der Wirtschaftsprüfungsgesellschaft EY und verantwortlich für den Bereich Cybersecurity in Deutschland, erklärt im Interview, unter anderem, weshalb Unternehmen NIS2, den Cyber Resilience Act (CRA) und die Resilience of Critical Entities Directive (CER) nicht getrennt voneinander betrachten und behandeln sollten.
Herr Bandemer, die Einführung von NIS2 erfordert Handlungsbedarf auf mehreren Ebenen. Was genau sind die Hürden für Compliance in der Cybersecurity von Unternehmen?
Cybersecurity ist kein reines IT-Problem, es betrifft auch die Produktion, die Lieferkette und die Produkte und Services, das heißt, Cybersecurity muss überall im Unternehmen wirksam verankert werden. Das ist gleichzeitig sehr komplex, da man viele Kontrollen anwenden muss und die verschiedenen Security-Standards sehr umfangreich sind. Zum anderen fällt es oft schwer Cyberrisiken klar zu beziffern und den eigenen Risikoappetit zu definieren. Weiterhin werden sich aus dem 70seitigen Regelwerk der NIS2 in jedem EU-Land nochmals spezifischere Anforderungen ergeben.
Warum sollte man NIS2, CER (Resilience of Critical Entities Directive) und CRA (Cyber Resilience Act) nicht separat betrachten, sondern als gemeinsames Projekt?
Die verschiedenen Regulierungen haben zwar verschiedene Blickwinkel auf die Organisation, Produkt oder kritische Anlagen, da sich die Anforderungen jedoch ähneln, können Unternehmen damit beginnen, fachübergreifend zusammenarbeiten. So lassen sich Synergien heben, denn man muss beispielsweise überall auf eine wirksame Angriffserkennung, Schwachstellen- oder Patch Management achten.
Wie muss ein Information Security Management System (ISMS) aussehen, um NIS2-kompatibel zu sein?
Das Managementsystem muss in der Lage sein, Risiken und Schwachstellen laufend zu analysieren. Dann ist ein Prozess umzusetzen, der verschiedene Maßnahmen wie z. B. Schutzbedarfsanalyse, Zugriffsberechtigungen oder Netzwerksicherheit umfasst. Anschließend muss die Wirksamkeit kontinuierlich überprüft werden. Unternehmen müssen sich zudem mit den Prozessen zur Angriffserkennung und der Einrichtung eines Security Operating Center beschäftigen, um Angriffe innerhalb von 24 Stunden an Behörden melden zu können. Ein wichtiger Aspekt sind zudem die Schulungen zur Informationssicherheit.
EY berät dabei Unternehmen und Behörden in ganz Europa. Wie können Unternehmen systematisch die nötigen Voraussetzungen für Cybersicherheit innerhalb der nächsten zwölf Monate implementieren?
Am Anfang steht eine Betroffenheitsanalyse: Wo und in welchen EU-Ländern bin ich betroffen? Anschließend geht es darum, Lücken bei den Sicherheitskontrollen aufzudecken. Dazu holt man sich am besten ein unabhängiges Assessment ins Haus. Frühzeitig starten sollte man mit den Themen Angriffserkennung und Meldeprozessen sowie der Lieferantensicherheit, da die Hausaufgaben hier besonders umfangreich sind. Unternehmen müssen sich absichern, dass Lieferanten ihrerseits Security umsetzen und sich Auditrechte einräumen lassen. Ob die Umsetzung gegenüber dem Bundesamt für Informationssicherheit (BSI) nachzuweisen ist, wird von der Einstufung als wichtige oder besonders wichtige Einrichtung abhängen und ob man kritische Anlagen betreibt. Der Gesetzesentwurf hierzu ist noch in Diskussion. In anderen EU-Ländern kann es anders geregelt werden. Unternehmen sollten all diese und auch künftige Regulierungen permanent auf dem Radar haben. Ich nenne das Watch-Think-Act: Frühzeitig beobachten, was sich im Entwurfsstadium befindet. Sobald es konkret wird, die Prozesse proaktiv danach ausrichten. Für NIS2 steht fest: Handlungsbedarf besteht jetzt!
EY
„Building a better working world“ – das ist der Anspruch.
Mit dem Wissen und der Qualität der Dienstleistungen
stärkt EY weltweit das Vertrauen in die Kapitalmärkte.
www.ey.com
Contentway ist eine führende, preisgekrönte Content-Marketing-Agentur, die spezialisierte medienübergreifende Kampagnen erstellt. Die Kampagnen werden mit den führenden Tageszeitungen sowie online auf unseren Nachrichten- und Partner-Webseiten verbreitet.
Unsere Aufgabe ist es, dafür zu sorgen, dass die Inhalte unserer Kunden ihr Zielpublikum erreichen und beeinflussen. Um ein Maximum an Aufmerksamkeit und Ergebnissen zu erzielen, werden alle unsere Kampagnen von Grund auf mit einem hohen Maß an journalistischer Qualität und strengen redaktionellen Richtlinien erstellt. Alle Kampagnen werden von uns intern produziert und über führende europäische Medien wie Tageszeitungen, Zeitschriften und viele der führenden Nachrichten- und Branchen-Websites verbreitet.
Contentway GmbH
Neue Burg 1
20457 Hamburg
Telefon: +49 (40) 874074-00
http://contentway.eu/
Cybersecurity
Telefon: +49 40 8740 7411
E-Mail: manni.nguyen@contentway.de