Zum Hauptinhalt springen

NIS2: Der häufigste Irrtum von Unternehmen

Liebe Unternehmen, packt die Ängste wieder weg! Vieles davon ist wie beim Datenschutz, da laufen aktuell viele Wanderprediger zu Nis2 herum, da kann man schon mal verwirrt sein. NIS2 wird nicht eure Firewalls konfigurieren, keine Passwort-Richtlinien aufstellen und euch auch nicht vorschreiben, ob ihr eure Logs täglich oder nur dann anschaut, wenn's schon raucht.

Aber was ist dann dieses sagenumwobene NIS2?

Der größte Irrtum: NIS2 ist kein Technik-Gesetz, im Kern sogar nur indirekt ein Sicherheitsgesetz! Denn das Niveau der Sicherheit bleibt nach wie vor in der Einschätzung der Unternehmen. Ob und welche Zertifizierungen wirklich nötig sind, ist aktuell noch nicht entschieden. Sich darauf vorbereiten ist aber meist kein Hexenwerk und wenn doch: Dann war es ohnehin bitternötig!

Viele denken: "Oh nein, jetzt müssen wir plötzlich alle unsere Passwörter ändern, neue Firewalls kaufen und dürfen nur noch zertifizierte Hardware benutzen!" Nein, nein und nochmal nein! NIS2 ist nicht der IT-Sheriff, der euch vorschreibt, ob ihr eure Firewall grün oder rot einfärben sollt.

Stattdessen geht es um etwas viel Grundsätzlicheres: NIS2 zwingt Unternehmen dazu, sich mit ihrer eigenen Security-Reife auseinanderzusetzen. Wo stehen wir? Sind wir auf den nächsten Cyberangriff vorbereitet oder läuft unser Security-Management nach dem Motto "Augen zu und durch"? Eigentlich soll das latente Sicherheitswissen nun eben konkrete formuliert werden.

Vom Technik-Gesetz zur Chefetagen-Pflicht
NIS2 bedeutet, dass Security jetzt Vorstands-Agenda wird. Denn zur Not haftet die Geschäftsfühung PERSÖNLICH. Unternehmen müssen nicht bloß irgendwas für IT-Sicherheit tun, sondern gezielt und mit Plan. Das heißt:

  • Selbsteinschätzung: Wo stehen wir in Sachen Cybersicherheit?

  • Zieldefinition: Wo müssen wir besser werden?

  • Budgetierung: Ja, Security kostet Geld – und jetzt gibt es keine Ausreden mehr.

  • Verantwortung: IT-Sicherheit ist nicht mehr nur die Aufgabe der armen Admins im Keller. Die Chefetage steht mit in der Pflicht!

Kurz gesagt: NIS2 ist wie ein Fitnesstrainer für eure IT-Sicherheit. Es sagt euch nicht, wie ihr trainieren sollt, aber es sorgt dafür, dass ihr überhaupt mal loslegt – und keine faulen Ausreden mehr habt. Um das Fitnessthema auszubauen: Das Gesetz schreibt nicht vor ob man abnehmen soll, ob dazu eine Waage nötig ist oder nicht. Es sagt aber sehr wohl: Das sind die wichtigsten Themen, mit die für Abnehmen relevant sind, halte fest und weise nach was du dort tust und warum. Eine einigermaßen vernünftige Waage wird dann sowieso da sein. Im Gesetz wird nun verlangt: Verorte die Qualität der Waage konkret. Welche Level hat sie? Welche Genauigkeit? Reicht dir diese oder brauchst du für deine Abnehmziele eine andere? Dokumentiere die Entscheidung!

In NIS2 sind das nun konkret Themenfelder, die in jedem vernünftigen Unternehmen schon heute vorhanden sind:

  • Netzwerksicherheit (also Segmentierung und Kommunikation zwischen den Segmenten etc)
  • Identität und Zugang
  • Incident Management
  • Lieferantenketten (Verhinderung von Supplychain Angriffen etc.)
  • Business Continuity
  • Meldeverfahren

Alles kein Hexenwerk.

Also, liebe Unternehmen: Keine Panik vor NIS2 – nehmt es lieber als Chance, euer Security-Game endlich auf das nächste Level zu bringen. Euer Vorstand (und eure Admins) werden es euch danken!