NIS2-Hilfe für KMUs

Und ja, GSG hat eine solche Lösung gefunden!

Die NIS2-Richtlinie ist die neue EU-weite Vorschrift, die Unternehmen verpflichtet, ihre Cybersicherheit auf den neuesten Stand zu bringen. Sie richtet sich hauptsächlich an kritische Infrastrukturen und wichtige Branchen, aber auch viele KMUs sind betroffen – insbesondere als Zulieferer in der Lieferkette. Denn auch wenn Sie als KMU nicht direkt unter die NIS2-Richtlinie fallen, können Ihre Geschäftspartner von Ihnen verlangen, dass Sie bestimmte Sicherheitsstandards erfüllen.

Durch diese Anforderungen soll die gesamte Lieferkette besser geschützt werden, um Sicherheitslücken und Cyberangriffe zu verhindern. Das bedeutet für Sie als Zulieferer, dass Sie Ihre Sicherheitsmaßnahmen auf ein neues Niveau bringen müssen, um partnerschaftliche Beziehungen zu bewahren und sich als verlässlicher Geschäftspartner zu positionieren.

Was ist zu tun?

• Führen Sie eine interne Risikobewertung durch, um herauszufinden, wie gut Ihre IT-Systeme und Netzwerke gegen Cyberangriffe geschützt sind.
• Überprüfen Sie die Verträge mit Kunden und Partnern, die möglicherweise von der NIS2 betroffen sind. Unternehmen in kritischen Sektoren werden Anforderungen an ihre Zulieferer weitergeben, und Sie könnten indirekt betroffen sein.
• Die NIS2 sollte bis Oktober 2024 in nationales Recht umgesetzt werden, jedoch fehlt die letzte Unterschrift des Bundesrates, möglicherweise wird diese im Frühjahr 2025 erfolgen. Es ist ratsam, die gesetzlichen Entwicklungen, insbesondere im Bereich der Umsetzung in nationales Recht, zu verfolgen, um rechtzeitig Anpassungen vornehmen zu können.
• Unabhängig von der direkten Betroffenheit ist es sinnvoll, Sicherheitsmaßnahmen nach den Vorgaben der NIS2-Richtlinie umzusetzen. Dies könnte die Einführung eines Risikomanagement-Frameworks, die Überwachung von Netzwerken und die Implementierung von Incident-Response-Prozessen beinhalten.

Hilfe bei technischen Maßnahmen

Die GSG GmbH hat für Ihr Unternehmen ein Open Source SIEM-System (KMU.SIEM) soweit aufbereitet, dass es direkt in einer Private Cloud einsetzbar ist. Dieses System ist hochverfügbar, mehrfach abgesichert (Wireguard) und absolut skalierbar.

Mit diesem SIEM-System ist es möglich, Ihre Umsetzung der NIS2-Richtlinie, bzw. die Anforderungen als Partnerunternehmen sicherzustellen. Darunter fällt

• die technische Implementierung für die zentrale Überwachung und Analyse der sicherheitsrelevanten Ereignisse, aggregieren und korrelieren von Daten aus verschiedenen IT-Systemen und deren Echtzeitanalysen.
• eine Test- und Evaluierungsphase, in der simulierte Vorfallstests eingebunden werden und die Alarmierung und Protokollierung auf korrekte Funktion überprüft werden.
• die kontinuierliche Überwachung der sicherheitsrelevanten Daten zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen. Dazu werden regelmäßige Reports generiert, die dem NIS2-betroffenen Unternehmen zur Verfügung gestellt werden können.

Hilfe bei organisatorischen Maßnahmen

Die Umsetzungen der NIS2-Vorgaben, die nicht mit technischen, sondern eher mit organisatorischen Maßnahmen vollzogen werden können, werden von GSG direkt durch entsprechende Analysen, Schulungen, Workshops und die Erarbeitung von Richtlinien gemeinsam mit Ihnen durchgeführt.

Damit werden gewisse Fallstricke wie Risikobewertungen, Meldepflichten, Vorfallreaktionen, Verantwortlichkeiten und Vertragsstrafen behandelt.

Wie geht es weiter?

An dieser Stelle wird von GSG in den nächsten Tagen eine Artikelserie veröffentlichen, in der detaillierter über die Möglichkeiten der Umsetzung mit technischen und organisatorischen Mitteln berichtet wird. Seien Sie gespannt, denn es geht in der Einführung um die Cyber-Risiken und Konsequenzen, um die Grundlagen und Bedeutung von Log-Dateien und deren Verwaltung, um die Entscheidungsfindung und Auswahl eines SIEM-Systems, um eine SWOP-Analyse, um die Installationsmaßnahmen und es geht um die Kosten eines solchen Open Source SIEM-Systems.