Im DBU-Lehrgangsmodul, von Mohamed Wassef Othmani (TÜV Süd) unterrichtet, zu NIS2 habe ich mich intensiv mit der Tragweite der Richtlinie und den neuen Chancen für externe Dienstleister auseinandergesetzt, denn nicht jedes Unternehmen kann die umfassenden Anforderungen allein erfüllen.
Schulungen sind das Um und Auf
Rechtlich ändert sich damit die Aufsicht grundlegend: Sie wird proaktiv (Ex-ante), was Wesentliche Einrichtungen zu kontinuierlicher Audit-Bereitschaft zwingt, da die Behörden jederzeit prüfen können. Besonders brisant ist die un-delegierbare Pflicht nach Art. 20: Die Verantwortung liegt explizit beim Management. Bei Versäumnissen, wie der fehlenden Billigung von Konzepten oder mangelnder Schulungsteilnahme, droht hier die persönliche Haftung. Hinzu kommen die harmonisierten und deutlich erhöhten Sanktionen von bis zu 10 Mio. € ODER 2 % Umsatz, wobei bei Datenschutzverletzungen das DSGVO-Bußgeld (bis zu 4 % Umsatz) noch zusätzlich greift.
Wenn man sich die Verpflichtung zu kontinuierlichen Schulungen, die hohen Strafen und die persönliche Haftung der Geschäftsführung bei Vergehen ansieht, dann gibt es um Schulungen keinen Ausweg mehr. Dies ist schon deshalb nötig, weil sich die IT-Sicherheit ohne Pause weiterentwickelt.
Ein Rennen gegen die Zeit
Der Umgang mit Sicherheitsvorfällen ist im Ernstfall ein Rennen gegen die Zeit, strukturiert in einen dreistufigen Meldeprozess, der innerhalb kürzester Fristen – parallel zur DSGVO-Meldung – eine schnelle und kompetente Einschätzung verlangt. Ebenso muss das Risikomanagement umfassend die Sicherheit der Lieferkette und komplexer OT-Systeme abdecken. Diese Mischung aus komplexen, weitreichenden Aufgaben und extremem Zeitdruck zeigt, dass die geforderte Kompetenz nicht improvisierbar ist. Ohne kontinuierliche Schulungen und den Aufbau dieser Expertise ist eine regelkonforme Bewältigung dieser Pflichten schlichtweg ausgeschlossen.
Mein Learning
Mein Learning für die Praxis ist klar: Compliance ist ein Dauerauftrag. Die ISO 27001 bietet zwar den Management-Rahmen, reicht aber wegen der gesetzlichen Meldepflichten und der persönlichen Haftung der NIS2 nicht mehr aus, weshalb eine zusätzliche, spezifische Gap-Analyse notwendig ist.
Begriffserklärung
Was ist eine Gap-Analyse?
Die Gap-Analyse (Lückenanalyse) ist ein Verfahren, um den aktuellen Sicherheitszustand („Ist-Zustand“) einer Organisation mit einem gewünschten oder vorgeschriebenen Zielzustand („Soll-Zustand“) zu vergleichen.
Sie dient dazu, die Lücken (Gaps) zwischen den vorhandenen Sicherheitsmaßnahmen und den Anforderungen eines bestimmten Standards (z.B. NIS2 oder ISO 27001) zu identifizieren.
Das Ergebnis dieser Analyse ist ein strukturierter Bericht, der als Grundlage für einen Maßnahmenplan dient, um die Lücken gezielt und effizient zu schließen.
Was bedeutet ISO 27001?
Die ISO/IEC 27001 ist eine weltweit anerkannte Norm für ein Informationssicherheits-Managementsystem (ISMS).
Sie legt fest, welche Anforderungen Organisationen erfüllen müssen, um ein systematisches, dokumentiertes und kontinuierlich verbessertes System zur Verwaltung sensibler Unternehmensinformationen einzurichten, zu betreiben und zu pflegen.
Das Hauptziel des ISMS nach ISO 27001 ist es, Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit (VIA) aller Informationen zu identifizieren und diese durch die Implementierung geeigneter Kontrollmaßnahmen systematisch zu behandeln. Die Zertifizierung nach ISO 27001 dient als Nachweis, dass ein Unternehmen einen robusten, risikobasierten Ansatz zur Informationssicherheit verfolgt.
Schreibe einen Kommentar