NIS2-Hilfe für KMUs
Ein praxisorientierter Leitfaden für Cybersicherheit
Für NIS2-Betroffene und Ihre Zulieferer
Die NIS2-Richtlinie hat unsere Mitarbeiter dermaßen getriggert, dass sie nach brauchbaren Lösungen gesucht haben, die vor allem KMUs erfüllen können. Obwohl KMUs in der Regel nicht zu den direkt NIS2-betroffenen Firmen gehören, können sie dennoch als Lieferant für diese tätig sein. Auch wenn Ihr Unternehmen nicht direkt betroffen ist, ist eine frühzeitige Erhöhung der Cybersicherheitsstandards vorteilhaft.
Und ja, GSG hat eine solche Lösung gefunden!
Die NIS2-Richtlinie ist die neue EU-weite Vorschrift, die Unternehmen verpflichtet, ihre Cybersicherheit auf den neuesten Stand zu bringen. Sie richtet sich hauptsächlich an kritische Infrastrukturen und wichtige Branchen, aber auch viele KMUs sind betroffen – insbesondere als Zulieferer in der Lieferkette. Denn auch wenn Sie als KMU nicht direkt unter die NIS2-Richtlinie fallen, können Ihre Geschäftspartner von Ihnen verlangen, dass Sie bestimmte Sicherheitsstandards erfüllen.
Durch diese Anforderungen soll die gesamte Lieferkette besser geschützt werden, um Sicherheitslücken und Cyberangriffe zu verhindern. Das bedeutet für Sie als Zulieferer, dass Sie Ihre Sicherheitsmaßnahmen auf ein neues Niveau bringen müssen, um partnerschaftliche Beziehungen zu bewahren und sich als verlässlicher Geschäftspartner zu positionieren.
Was ist zu tun?
- Führen Sie eine interne Risikobewertung durch, um herauszufinden, wie gut Ihre IT-Systeme und Netzwerke gegen Cyberangriffe geschützt sind.
- Überprüfen Sie die Verträge mit Kunden und Partnern, die möglicherweise von der NIS2 betroffen sind. Unternehmen in kritischen Sektoren werden Anforderungen an ihre Zulieferer weitergeben, und Sie könnten indirekt betroffen sein.
- Die NIS2 sollte bis Oktober 2024 in nationales Recht umgesetzt werden, jedoch fehlt die letzte Unterschrift des Bundesrates, möglicherweise wird diese im Frühjahr 2025 erfolgen. Es ist ratsam, die gesetzlichen Entwicklungen, insbesondere im Bereich der Umsetzung in nationales Recht, zu verfolgen, um rechtzeitig Anpassungen vornehmen zu können.
- Unabhängig von der direkten Betroffenheit ist es sinnvoll, Sicherheitsmaßnahmen nach den Vorgaben der NIS2-Richtlinie umzusetzen. Dies könnte die Einführung eines Risikomanagement-Frameworks, die Überwachung von Netzwerken und die Implementierung von Incident-Response-Prozessen beinhalten.
Hilfe bei technischen Maßnahmen
Die GSG GmbH hat für Ihr Unternehmen ein Open Source SIEM-System (KMU.SIEM) soweit aufbereitet, dass es direkt in einer Private Cloud einsetzbar ist. Dieses System ist hochverfügbar, mehrfach abgesichert (Wireguard) und absolut skalierbar.
Mit diesem SIEM-System ist es möglich, Ihre Umsetzung der NIS2-Richtlinie, bzw. die Anforderungen als Partnerunternehmen sicherzustellen. Darunter fällt
- die technische Implementierung für die zentrale Überwachung und Analyse der sicherheitsrelevanten Ereignisse, aggregieren und korrelieren von Daten aus verschiedenen IT-Systemen und deren Echtzeitanalysen.
- eine Test- und Evaluierungsphase, in der simulierte Vorfallstests eingebunden werden und die Alarmierung und Protokollierung auf korrekte Funktion überprüft werden.
- die kontinuierliche Überwachung der sicherheitsrelevanten Daten zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen. Dazu werden regelmäßige Reports generiert, die dem NIS2-betroffenen Unternehmen zur Verfügung gestellt werden können.
Hilfe bei organisatorischen Maßnahmen
Die Umsetzungen der NIS2-Vorgaben, die nicht mit technischen, sondern eher mit organisatorischen Maßnahmen vollzogen werden können, werden von GSG direkt durch entsprechende Analysen, Schulungen, Workshops und die Erarbeitung von Richtlinien gemeinsam mit Ihnen durchgeführt.
Damit werden gewisse Fallstricke wie Risikobewertungen, Meldepflichten, Vorfallreaktionen, Verantwortlichkeiten und Vertragsstrafen behandelt.
Wie geht es weiter?
An dieser Stelle wird von GSG in den nächsten Tagen eine Artikelserie veröffentlichen, in der detaillierter über die Möglichkeiten der Umsetzung mit technischen und organisatorischen Mitteln berichtet wird. Seien Sie gespannt, denn es geht in der Einführung um die Cyber-Risiken und Konsequenzen, um die Grundlagen und Bedeutung von Log-Dateien und deren Verwaltung, um die Entscheidungsfindung und Auswahl eines SIEM-Systems, um eine SWOP-Analyse, um die Installationsmaßnahmen und es geht um die Kosten eines solchen Open Source SIEM-Systems.
GSG Global Service Group GmbH
Die GSG Global Service Group GmbH ist ein gründergeführter und seit mehr als zwei Jahrzehnten renommierter IT-Dienstleister mit Sitz im Rhein-Main-Gebiet. Die jahrzehntelangen Erfahrungen und Kompetenzen der Mitarbeiter*innen sowie das breite Partnernetzwerk mündeten 2021 in die Gründung des Online-Portals IT-Security.de.
Als NIS2-Beauftragter können KMUs nicht nur von der Expertise profitieren, sondern auch von der notwendigen Durchführung technischer und organisatorischer Maßnahmen.
Das von GSG gegründete IT-Security.de ist Deutschlands größtes und umfassendstes Online-Angebot für IT-Security, Datensicherheit und Digitalisierung mit praxisbewährten Lösungen und Expertenunterstützung von A wie Awareness bis Z wie Zertifizierung.