Für Unternehmen und Organisationen, die in Deutschland als kritische Infrastruktur (KRITIS) eingestuft werden oder unter die NIS-2-Richtlinie fallen, gelten spezifische gesetzliche Vorgaben und physische Sicherheitsstandards, um die IT-Sicherheit zu gewährleisten und die Widerstandsfähigkeit gegen Cyberangriffe zu stärken. Es ist nicht klug, hier auf Zeit zu spielen oder sich einfach nicht zu informieren, denn darauf nimmt der Gesetzgeber keine Rücksicht.
Alle größeren Unternehmen und Organisationen unterliegen heute gesetzlichen Vorgaben, die ihre IT-Sicherheit betreffen. Dabei gilt der alte Grundsatz „Unwissenheit schützt vor Strafe nicht“. Von folgenden Fachtermini sollte jeder Anwender schon einmal etwas gehört haben.
IT-Sicherheitsgesetz (IT-SiG): Das IT-SiG bildet die Grundlage für die IT-Sicherheit in Deutschland und legt die Pflichten für Betreiber kritischer Infrastrukturen fest. Dazu gehören:
Meldepflichten: IT-Störungen oder erhebliche Beeinträchtigungen der IT-Systeme müssen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
Mindeststandards: Es müssen angemessene technische und organisatorische Maßnahmen zur IT-Sicherheit getroffen werden, die dem Stand der Technik entsprechen. Viele größere Unternehmen und öffentliche Einrichtungen fallen unter die NIS-2-Richtlinie oder unter KRITIS.
Nachweispflichten: Die Umsetzung der Maßnahmen muss gegenüber dem BSI nachgewiesen werden können.
Wesentliche Anforderungen der NIS-2-Richtlinie:
- Proaktive Stärkung der Netzwerk- und Informationssicherheit
- Einführung eines NIS2-konformen Risikomanagements
- Eigenständige Einordnung als „besonders wichtige Einrichtung“ oder „wichtige Einrichtung“ innerhalb von drei Monaten beim BSI
- Implementierung von effektiven Sicherheitsprogrammen und Verfahren für den Umgang mit Sicherheitsvorfällen
Alle Aspekte im Blick behalten
Um den Anforderungen des IT-SiG und der NIS-2-Richtlinie zu genügen, müssen Unternehmen neben Optimierungen ihrer IT-Sicherheit auch physische Sicherheitsstandards überprüfen und gegebenenfalls verbessern. Hierzu gehört etwa, dass unbefugte Personen nicht einfach ungeprüft sensible Bereiche betreten dürfen. Empfehlenswert ist die Einführung einer Zutrittskontrolle, die Zutrittskontrollsysteme und meist auch eine Lösung zur Videoüberwachung umfasst. Sicherheitspersonal kann digitale Lösungen wertvoll ergänzen. Das Gelände und die Gebäude, in denen sich kritische IT-Systeme befinden, sollten durch Zäune, Mauern oder andere Barrieren geschützt werden. Fenster und Türen sollten mit einbruchhemmenden Maßnahmen, wie etwa Alarmanlagen, gesichert werden.
Überprüft werden sollte auch die Brandmeldetechnik. Ebenso wichtig: Der kontinuierliche Betrieb aller IT-Systeme sollte durch eine unterbrechungsfreie Stromversorgung (USV) oder ein Notstromaggregat gewährleistet werden. Server, Netzwerkkomponenten und andere IT-Geräte sollten in abschließbaren Schränken oder Räumen untergebracht werden, um sie vor Diebstahl oder Manipulation zu schützen.
Abwarten lohnt sich nicht
Kommt Zeit, kommt Rat? Das ist hinsichtlich der Einhaltung von Sicherheitsrichtlinien nicht vorausschauend, denn es drohen drakonische Strafen. Die NIS-2-Richtlinie der EU wird aufgrund des Regierungswechsels in Deutschland zwar erst verzögert in nationales Recht umgesetzt, doch klar ist, dass Unternehmen hier nur geringfügig Zeit gewinnen.
Wissenswert
NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG):
Dieses Gesetz wird die NIS-2-Richtlinie in deutsches Recht umsetzen und die spezifischen Anforderungen für die betroffenen Unternehmen und Organisationen festlegen.
Unser Tipp: Alle Organisationen, die unter die KRITIS-Definition fallen oder der NIS-2-Richtlinie unterliegen, sollten sich jetzt kurzfristig mit den gesetzlichen Vorgaben und den erforderlichen physischen Sicherheitsstandards auseinandersetzen.
Gerne unterstützen wir Sie mit weiterem Informationsmaterial wie unserem KRITIS-Whitepaper und stehen für
ein unverbindliches Beratungsgespräch zur Verfügung.
