{"id":115663,"date":"2024-01-22T11:23:57","date_gmt":"2024-01-22T11:23:57","guid":{"rendered":"https:\/\/advisera.com\/articles\/nis2-implementation-steps\/"},"modified":"2024-09-19T18:11:43","modified_gmt":"2024-09-19T18:11:43","slug":"nis2-umsetzungsschritte","status":"publish","type":"adv_resources","link":"https:\/\/advisera.com\/de\/artikel\/nis2-umsetzungsschritte\/","title":{"rendered":"15 Umsetzungsschritte f\u00fcr NIS 2-Ma\u00dfnahmen zum Risikomanagement im Bereich der Cybersicherheit"},"content":{"rendered":"<p>Die Einhaltung komplexer Vorschriften wie der\u00a0<a href=\"https:\/\/advisera.com\/de\/artikel\/was-ist-nis2\/\" target=\"_blank\" rel=\"noopener\">NIS-2-Richtlinie<\/a> ist nie einfach, aber wenn Sie einen klaren Plan haben, wie Sie vorgehen wollen, wird das ganze Projekt einfacher. In diesem Artikel werden bew\u00e4hrte Verfahrensweisen vorgestellt, um die vollst\u00e4ndige Einhaltung von Kapitel IV der NIS 2 mit dem Titel &#8220; Risikomanagementma\u00dfnahmen und Berichtspflichten im Bereich der Cybersicherheit &#8220; zu erreichen &#8211; der Artikel konzentriert sich auf dieses Kapitel, da darin die wichtigsten NIS 2-Anforderungen vorgestellt werden, die von Unternehmen (d. h. wesentliche und wichtige Einheiten) eingehalten werden m\u00fcssen.<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--content\">\n<p>Um die Bestimmungen von Kapitel IV der NIS 2 mit dem Titel \u201eRisikomanagementma\u00dfnahmen und Berichtspflichten im Bereich der Cybersicherheit &#8220; zu erf\u00fcllen, m\u00fcssen Unternehmen 15 Schritte befolgen, die mit der Unterst\u00fctzung durch das Management beginnen und mit regelm\u00e4\u00dfigen internen Audits, Managementbewertungen und Korrekturma\u00dfnahmen enden.<\/p>\n<\/div>\n<\/div>\n<p>Meiner Erfahrung nach kann man am schnellsten NIS-2-konform werden, wenn man diese 15 Schritte befolgt:<\/p>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script>\n<h2>1) Unterst\u00fctzung durch die Gesch\u00e4ftsleitung einholen<\/h2>\n<p>Man k\u00f6nnte meinen, dass die Einhaltung der NIS-2-Richtlinie mit oder ohne das Engagement der obersten F\u00fchrungsebene reibungslos vonstatten geht, da sie obligatorisch ist. Leider sieht die Realit\u00e4t anders aus: Wenn die oberste F\u00fchrungsebene ein solches Projekt nicht aktiv unterst\u00fctzt, wird es nur langsam vorangehen, unterfinanziert sein und bei jedem m\u00f6glichen Schritt geblockt werden.<\/p>\n<p>Auch wenn NIS 2 verpflichtend ist, m\u00fcssen Sie also Ihre F\u00fchrungskr\u00e4fte davon \u00fcberzeugen, dass es sich lohnt, sich mit diesem Thema zu befassen.<\/p>\n<h2>2) Projektmanagement einrichten<\/h2>\n<p>NIS 2 ist zu komplex, als dass Sie es einfach Ihrem z.B. IT-Administrator \u00fcberlassen k\u00f6nnten, in der Hoffnung, dass sich alles zum Guten wendet. Erstens k\u00f6nnen Sie nicht erwarten, dass jemand ohne formale Befugnisse ein so gro\u00dfes Projekt erfolgreich durchf\u00fchrt, und zweitens m\u00fcssen Sie eine klare Vorstellung von den Implementierungsschritten, Meilensteinen, Hauptergebnissen, Verantwortlichkeiten usw. haben.<\/p>\n<p>Mit anderen Worten: Ein Projektansatz ist notwendig, wenn Sie erfolgreich sein wollen.<\/p>\n<h2>3) Anfangsschulung durchf\u00fchren<\/h2>\n<p>NIS 2 legt gro\u00dfen Wert auf die Durchf\u00fchrung von Sicherheitsschulungen, daher ist es sinnvoll, die erste Schulung fr\u00fchzeitig im Projekt durchzuf\u00fchren.<\/p>\n<p>Auf diese Weise haben alle Beteiligten ein viel besseres Bild davon, was NIS 2 ist, was durchgef\u00fchrt werden muss, warum etwas ben\u00f6tigt wird usw. &#8211; und Sie werden Ihr Projekt viel leichter starten k\u00f6nnen.<\/p>\n<p>In diesem Artikel finden Sie einige Ideen f\u00fcr Schulungsthemen: <a href=\"https:\/\/advisera.com\/de\/artikel\/nis2-schulung-sensibilisierung\/\" target=\"_blank\" rel=\"noopener\">Durchf\u00fchrung von Schulungen und Sensibilisierung gem\u00e4\u00df NIS 2<\/a>.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-115709\" src=\"https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-de.png\" alt=\"15 Umsetzungsschritte f\u00fcr NIS 2-Ma\u00dfnahmen zum Risikomanagement im Bereich der Cybersicherheit\" width=\"2500\" height=\"1309\" title=\"\" srcset=\"https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-de.png 2500w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-de-300x157.png 300w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-de-768x402.png 768w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-de-1024x536.png 1024w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-de-1536x804.png 1536w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-de-2048x1072.png 2048w\" sizes=\"(max-width: 2500px) 100vw, 2500px\" \/><\/p>\n<p>&nbsp;<\/p>\n<h2>4) Top-Level-Politik zur Sicherheit von Informationssystemen verfassen<\/h2>\n<p>Auch wenn die NIS-2 nicht ausdr\u00fccklich ein \u00fcbergeordnetes Dokument vorschreibt, das die Richtung f\u00fcr die Cybersicherheit vorgibt, ist ein solches Dokument nach internationalen Normen eine bew\u00e4hrte Verfahrensweise, denn es gilt: Wenn man nicht wei\u00df, wohin man will, verirrt man sich wahrscheinlich.<\/p>\n<p>Aus diesem Grund ist ein solches Dokument auf h\u00f6chster Ebene erforderlich &#8211; es zeigt klar auf, was mit Cybersicherheit erreicht werden soll, welches die wichtigsten Rollen und Verantwortlichkeiten sind und wie der Erfolg gemessen werden soll.<\/p>\n<h2>5) Risikomanagement-Methodik festlegen<\/h2>\n<p>Das Risikomanagement ist in der Regel der komplexeste Schritt im Konformit\u00e4tsprozess, und dar\u00fcber hinaus enth\u00e4lt die NIS 2 einige spezifische Anforderungen an die Art und Weise, wie dieses Risikomanagement durchgef\u00fchrt werden muss.<\/p>\n<p>Um sicherzustellen, dass Ihr Unternehmen die NIS 2 einh\u00e4lt, und um zu gew\u00e4hrleisten, dass jeder im Unternehmen versteht, wie Risiken gemanagt werden m\u00fcssen, m\u00fcssen Sie ein Dokument erstellen, das klare Regeln festlegt &#8211; dies geschieht durch das Dokument zur Risikomanagement-Methodik.<\/p>\n<h2>6) Risikobewertung und -behandlung durchf\u00fchren<\/h2>\n<p>Bei der Risikobewertung m\u00fcssen Sie herausfinden, was Ihre Informationssysteme gef\u00e4hrden k\u00f6nnte &#8211; dies geschieht in der Regel durch die Auflistung von Werten und damit verbundenen Bedrohungen und Schwachstellen; au\u00dferdem m\u00fcssen Sie herausfinden, wie gro\u00df diese Risiken sind, indem Sie die Wahrscheinlichkeit und den Schweregrad (Auswirkungen) bewerten.<\/p>\n<p>Nachdem Sie die Liste der Risiken erstellt haben, m\u00fcssen Sie herausfinden, wie Sie die gr\u00f6\u00dften Risiken behandeln (d. h. abschw\u00e4chen) k\u00f6nnen &#8211; f\u00fcr die meisten von ihnen werden Sie die in <a href=\"https:\/\/advisera.com\/de\/nis2\/risikomanagementmassnahmen-im-bereich-der-cybersicherheit\/\" target=\"_blank\" rel=\"noopener\">Artikel 21<\/a> festgelegten Cybersicherheitsma\u00dfnahmen umsetzen. Auf diese Weise erhalten Sie eine Cybersicherheit, die auf einer gr\u00fcndlichen Analyse beruht, anstatt verschiedene Ma\u00dfnahmen umzusetzen, ohne zu wissen, warum.<\/p>\n<h2>7) Risikobehandlungsplan erstellen und genehmigen<\/h2>\n<p>Sobald Sie eine vollst\u00e4ndige Vorstellung davon haben, welchen Risiken Sie ausgesetzt sind und wie diese zu behandeln sind, m\u00fcssen Sie einen konkreten Plan f\u00fcr die Umsetzung von Cybersicherheitsma\u00dfnahmen erstellen &#8211; und, was noch wichtiger ist, die Zustimmung der Unternehmensleitung f\u00fcr einen solchen Plan einholen.<\/p>\n<p>Der Risikobehandlungsplan ist eigentlich ein Umsetzungsplan und enth\u00e4lt in der Regel eine Liste aller Cybersicherheitsma\u00dfnahmen (d. h. Aktivit\u00e4ten, Prozesse und Technologien), die umgesetzt werden m\u00fcssen, zusammen mit Informationen dar\u00fcber, wer die Verantwortung tr\u00e4gt, welche Fristen gelten usw.<\/p>\n<h2>8) Cybersicherheitsma\u00dfnahmen umsetzen<\/h2>\n<p>Die wichtigste Anforderung der NIS 2 ist nat\u00fcrlich die Umsetzung verschiedener Cybersicherheitsma\u00dfnahmen. In der Praxis bedeutet dies, dass Sie auf der Grundlage der Ergebnisse der Risikobewertung neue Sicherheitsprozesse, Aktivit\u00e4ten und in einigen F\u00e4llen auch neue Technologien einf\u00fchren m\u00fcssen.<\/p>\n<p>In jedem Fall m\u00fcssen Sie verschiedene Cybersicherheitsrichtlinien und -verfahren erstellen, um klare Regeln f\u00fcr diese neuen Prozesse, Aktivit\u00e4ten und Technologien festzulegen.<\/p>\n<p>Sehen Sie hier, welche Cybersicherheitsma\u00dfnahmen erforderlich sind und welche Dokumente zu verwenden sind: <a href=\"https:\/\/advisera.com\/de\/artikel\/nis-2-erforderliche-dokumente\/\" target=\"_blank\" rel=\"noopener\">Liste der erforderlichen Dokumente nach NIS 2<\/a>.<\/p>\n<h2>9) Sicherheit von Lieferketten festlegen<\/h2>\n<p>Die NIS 2 hat erkannt, dass eine zunehmende Zahl von Sicherheitsvorf\u00e4llen mit Verst\u00f6\u00dfen bei Lieferanten zusammenh\u00e4ngt &#8211; dies erfordert, dass man den Beziehungen zu Lieferanten und Dienstleistern gro\u00dfe Aufmerksamkeit schenkt, was die Bewertung ihrer Schwachstellen und die Untersuchung ihrer Softwareentwicklungsverfahren einschlie\u00dft.<\/p>\n<p>Dies geschieht durch eine formelle Risikobewertung der Lieferanten, die Auswahl ausschlie\u00dflich zuverl\u00e4ssiger Lieferanten zur Zusammenarbeit, die Aufnahme von Sicherheitsklauseln in Vereinbarungen mit ihnen und die \u00dcberwachung ihrer Sicherheitslage.<\/p>\n<h2>10) Wirksamkeit der Cybersicherheit bewerten<\/h2>\n<p>Die NIS 2 verlangt, dass die oberste Leitung die Umsetzung von Cybersicherheitsma\u00dfnahmen beaufsichtigt &#8211; am besten geschieht dies auf dreierlei Weise: (1) durch kontinuierliche Messung und \u00dcberwachung der Cybersicherheit, um etwaige Abweichungen zu erkennen, (2) durch Einf\u00fchrung regelm\u00e4\u00dfiger interner Audits zur Aufdeckung von Nichtkonformit\u00e4ten und (3) durch Einf\u00fchrung einer regelm\u00e4\u00dfigen Managementbewertung, bei der alle Fakten im Zusammenhang mit der Cybersicherheit in einer formellen Sitzung \u00fcberpr\u00fcft werden.<\/p>\n<p>Um diese Aktivit\u00e4ten einzurichten, m\u00fcssen Sie einige wichtige Dokumente erstellen: Messmethodik, Verfahren f\u00fcr interne Audits und zu Managementbewertungen.<\/p>\n<h2>11) Vorfallbenachrichtigungen einrichten<\/h2>\n<p>Eine der wichtigsten Anforderungen der NIS 2 ist die Benachrichtigung des CSIRT (oder der zust\u00e4ndigen Beh\u00f6rde) und der Dienstleistungsempf\u00e4nger \u00fcber bedeutende Vorf\u00e4lle.<\/p>\n<p>Die Einrichtungen m\u00fcssen dem CSIRT mehrere Arten von Berichten vorlegen: eine Fr\u00fchwarnung, eine Vorfallbenachrichtigung, einen Zwischenbericht, einen Abschlussbericht und einen Fortschrittsbericht.<\/p>\n<p>Weitere Informationen finden Sie hier: <a href=\"https:\/\/advisera.com\/de\/artikel\/berichtspflichten-nis2\/\" target=\"_blank\" rel=\"noopener\">Welche Berichtspflichten bestehen nach NIS 2?<\/a><\/p>\n<h2>12) Kontinuierliche Cybersicherheitsschulung gestalten<\/h2>\n<p>Die NIS 2 ist sehr spezifisch in Bezug auf die Gestaltung von Cybersicherheitsschulungen f\u00fcr alle Mitarbeiter, einschlie\u00dflich der F\u00fchrungskr\u00e4fte. Die Herausforderung besteht hier darin, die richtigen Themen auszuw\u00e4hlen und die richtige Form der Schulung zu w\u00e4hlen, um den erstrebten Wissenstransfer zu erreichen, ohne zu viel Zeit oder Geld zu investieren.<\/p>\n<p>Einige m\u00f6gliche Ans\u00e4tze finden Sie hier: <a href=\"https:\/\/advisera.com\/de\/artikel\/nis2-schulung-sensibilisierung\/\" target=\"_blank\" rel=\"noopener\">Durchf\u00fchrung von Schulungen und Sensibilisierung gem\u00e4\u00df NIS 2<\/a>.<\/p>\n<h2>13) Regelm\u00e4\u00dfige interne Audits<\/h2>\n<p>Zwar wird das interne Audit in der NIS 2 nicht erw\u00e4hnt, aber ISO 27001 und andere internationale Normen empfehlen das interne Audit als bew\u00e4hrte Verfahrensweise f\u00fcr die Gesch\u00e4ftsleitung, um die Umsetzung von Cybersicherheitsma\u00dfnahmen zu beaufsichtigen.<\/p>\n<p>Ohne die Identifizierung von Nichtkonformit\u00e4ten w\u00e4hrend des internen Audits h\u00e4tte die Gesch\u00e4ftsleitung nie ein vollst\u00e4ndiges Bild vom Stand der Cybersicherheit, was zu Zwischenf\u00e4llen und Haftung f\u00fchren k\u00f6nnte.<\/p>\n<h2>14) Regelm\u00e4\u00dfige Managementbewertungen<\/h2>\n<p>Eine Managementbewertung ist eine formelle Sitzung, bei der die Unternehmensleitung alle relevanten Informationen zur Cybersicherheit (z. B. Messbericht, Interner Audit-Bericht usw.) erhalten muss, um wichtige Entscheidungen zur Cybersicherheit treffen zu k\u00f6nnen.<\/p>\n<p>W\u00e4hrend der Managementbewertung k\u00f6nnte die Gesch\u00e4ftsleitung Korrekturma\u00dfnahmen ansprechen, Schl\u00fcsselrollen und Verantwortlichkeiten \u00e4ndern, neue Sicherheitsziele festlegen, das Sicherheitsbudget festlegen usw.<\/p>\n<h2>15) Durchf\u00fchrung von Korrekturma\u00dfnahmen<\/h2>\n<p>Korrekturma\u00dfnahmen sind ein systematischer Weg zur Behebung von Nichtkonformit\u00e4ten &#8211; w\u00e4hrend ihrer Umsetzung wird die Ursache einer Nichtkonformit\u00e4t formal analysiert und die Aktivit\u00e4ten zur Beseitigung dieser Ursache definiert und ausgef\u00fchrt.<\/p>\n<p>Mit anderen Worten, der Zweck von Korrekturma\u00dfnahmen ist es, sicherzustellen, dass \u00e4hnliche Nichtkonformit\u00e4ten nicht mehr vorkommen.<\/p>\n<p><em>Alle Dokumente, die f\u00fcr die Einhaltung der NIS 2-Richtlinie erforderlich sind, finden Sie in diesem<\/em>\u00a0<a href=\"https:\/\/advisera.com\/toolkits\/nis-2-documentation-toolkit\/\" target=\"_blank\" rel=\"noopener\">NIS 2-Dokumentations-Toolkit<\/a>,\u00a0<em>das alle Politiken, Verfahren, Pl\u00e4ne und andere Vorlagen enth\u00e4lt<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Einhaltung komplexer Vorschriften wie der\u00a0NIS-2-Richtlinie ist nie einfach, aber wenn Sie einen klaren Plan haben, wie Sie vorgehen wollen, wird das ganze Projekt einfacher. In diesem Artikel werden bew\u00e4hrte Verfahrensweisen vorgestellt, um die vollst\u00e4ndige Einhaltung von Kapitel IV der NIS 2 mit dem Titel &#8220; Risikomanagementma\u00dfnahmen und Berichtspflichten im Bereich der Cybersicherheit &#8220; zu [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":115749,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-115663","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-de","adv_standard-nis-2-de","adv_topic-implementation","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/adv_resources\/115663","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/comments?post=115663"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/adv_resources\/115663\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/media\/115749"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/media?parent=115663"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/tags?post=115663"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}