Tag NIS2

Dietzenbach, 24. September 2024 – Am 17. Oktober soll das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft treten und die von der EU beschlossenen Maßnahmen zur Stärkung der Cybersicherheit im deutschen Recht verankern. Der Controlware Quick Check für die NIS-2-Readiness verrät Unternehmen, welchen Vorgaben sie bereits gerecht werden und wo noch Handlungsbedarf besteht.

Um Unternehmen in der EU künftig besser vor Cyberangriffen zu schützen, brachte die europäische Kommission Anfang 2023 mit der NIS-2-Direktive den Nachfolger der seit 2016 geltenden NIS 1 auf den Weg. Jetzt obliegt es den Regierungen der Mitgliedstaaten, die neue Richtlinie bis 17. Oktober 2024 in ihre jeweilige Gesetzgebung zu übernehmen. Wie die Umsetzung in Deutschland aussehen wird, galt lange als ungewiss – doch spätestens seit der Veröffentlichung einiger Referentenentwürfe und des offiziellen Regierungsentwurfs für das NIS2UmsuCG im Juli 2024 wurden viele wichtige Fragen beantwortet:

– Wer ist von der NIS 2 betroffen? Die Vorgaben werden in Deutschland nach Expertenschätzungen rund 30.000 mittlere und große Unternehmen aus 18 Sektoren der Wirtschaft betreffen (etwa Versorgung, Verkehr, Finanzen, Gesundheitswesen und ITK). Faktisch wird sich NIS 2 aber auf wesentlich mehr Firmen auswirken, da viele unmittelbar regulierte Unternehmen auch ihre Lieferanten und Dienstleister in die Pflicht nehmen werden, die Maßnahmen und Vorgaben umzusetzen.

– Wie werden die betroffenen Unternehmen klassifiziert? Der Gesetzgeber unterscheidet zwischen besonders wichtigen Einrichtungen (über 250 MA oder über 50 Mio. Euro Umsatz und über 43 Mio. Euro Bilanz) und wichtigen Einrichtungen (über 50 MA oder über 10 Mio. Euro Umsatz und über 10 Mio. Euro Bilanz).

– Was müssen diese Unternehmen leisten? Der Regierungsentwurf verpflichtet sie zu einem systematischen Cyberrisikomanagement, das sich an den relevanten europäischen und internationalen Normen orientiert. Hierfür müssen die Unternehmen eine Reihe von Mindestanforderungen an die Cybersicherheit erfüllen und geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen nach dem Allgefahrenansatz ergreifen.

– Was geschieht bei Verstößen gegen die NIS-2-Vorgaben? Bei Verstößen sind abgestufte Bußgelder vorgesehen. Die Obergrenzen sollen zwischen 100.000 Euro und 10 Millionen Euro liegen, für große Einrichtungen können alternativ Bußgelder von bis zu 2 Prozent des weltweiten Jahresumsatzes verhängt werden.

– Was müssen Betroffene als erstes tun? Alle Unternehmen, die unter die Regulierung fallen, müssen sich innerhalb von drei Monaten nach Inkrafttreten des neuen Gesetzes im Online-Portal des BSI (Bundesamt für Sicherheit in der Informationstechnik) registrieren. Diese Deadline zu verpassen, kann teuer werden: Bei ausbleibender oder fehlerhafter Registrierung droht ein Bußgeld von bis zu 500.000 Euro.

„Angesichts des engen Zeitfensters, der höheren Hürden und der verschärften Strafen dürfen die betroffenen Unternehmen NIS 2 keinesfalls auf die leichte Schulter nehmen“, warnt Daniel Kammerbauer, Team Lead Governance, Risk & Compliance bei Controlware GmbH. „Unsere Experten stehen internen Security-Teams in allen Phasen der NIS-2-Umsetzung zur Seite. Dabei wird zunächst im Rahmen des Compliance-Checks ermittelt, wo die Unternehmen bei der Umsetzung stehen und welche Herausforderungen sie adressieren müssen. Dann entwickeln wir gemeinsam einen Maßnahmenkatalog und beraten bei der Einführung eines systematischen Informationssicherheits-Managements. Selbstverständlich unterstützen wir als IT-Dienstleister und MSP darüber hinaus auch bei der Implementierung und Umsetzung der technischen Konzepte – und stellen so die Weichen für einen nachhaltig sicheren IT-Betrieb.“

Weiterführende Informationen zur NIS-2-Umsetzung und zum NIS-2-Compliance-Check finden interessierte Leser unter https://www.controlware.de/services/nis-2-kommt .

Über Controlware GmbH
Die Controlware GmbH zählt zu den Markt- und Qualitätsführern unter den IT-Dienstleistern und Managed Service Providern in Deutschland. Das Unternehmen ist Teil der Controlware Gruppe mit insgesamt rund 1.000 Mitarbeitenden und einem Umsatz von über 400 Mio. Euro, zu der auch die Networkers AG sowie Controlware Österreich gehören. Als Digitalisierungspartner von mittelständischen und großen Unternehmen sowie von Behörden und Einrichtungen der öffentlichen Hand entwickelt, implementiert und betreibt Controlware agile und resiliente IT-Lösungen in den Bereichen Network Solutions, Information Security, Data Center & Cloud, Collaboration, IT-Management und Managed Services – und unterstützt Kunden dabei, die Weichen für einen wirtschaftlichen, zukunftssicheren und nachhaltigen IT-Betrieb zu stellen. Dabei stehen wir unseren Kunden in allen Projektphasen zur Seite: von der Beratung und Planung bis hin zur Realisierung und Wartung. Als MSP mit einem eigenen ISO 27001-zertifizierten Customer Service Center reicht unser Angebot von Betriebsunterstützung bis zu kompletten Managed Services für Cloud-, Data Center-, Enterprise- und Campus-Umgebungen. Zudem bieten wir umfassende Cyber Defense Services. Neben unserem eigenen flächendeckenden Vertriebs- und Servicenetz mit 16 Standorten in DACH, die gemäß ISO 9001-zertifiziert sind, unterhalten wir internationale Partnerschaften und sind so in der Lage, anspruchsvolle globale Projekte abzuwickeln. Seit unserer Gründung im Jahr 1980 arbeiten wir eng mit den national und international führenden Herstellern sowie innovativen Newcomern zusammen und sind bei den meisten dieser Partner im höchsten Qualifizierungsgrad zertifiziert. Besonderes Augenmerk legen wir auf die Nachwuchsförderung: Seit vielen Jahren kooperieren wir mit renommierten deutschen Hochschulen und betreuen durchgehend rund 50 Auszubildende und Studenten.

Firmenkontakt
Controlware GmbH
Stefanie Zender
Waldstraße 92
63128 Dietzenbach
+49 6074 858-246
+49 6074 858-220
www.controlware.de

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Nürnberger Str. 17-19
91052 Erlangen
+49 9131 812 81-25
+49 9131 812 81-28
www.h-zwo-b.de

SECUINFRA mit zahlreichen Speakern und Experten in Stuttgart

NIS-2 Kongress in Stuttgart (Bildquelle: SECUINFRA GmbH)

Als Mitveranstalter freut sich die SECUINFRA GmbH über einen gelungenen NIS-2 Kongress. Die Konferenz am 10. und 11. Juli 2024 in Stuttgart war ein so großer Erfolg, dass ein zweiter Kongress im nächsten Jahr bereits jetzt feststeht. Der NIS-2 Kongress war bisher die größte und umfassendste Veranstaltung zum Thema NIS-2 in Deutschland. Insgesamt 362 Besucher nutzten diese besondere Gelegenheit und nahmen an den beiden Kongresstagen teil. Den Fachbesuchern bot sich hier die Gelegenheit, sich umfassend über die Auswirkungen der neuen NIS-2-Richtlinien auf ihr Unternehmen zu informieren. In insgesamt 52 Vorträgen sprachen Referenten zu aktuellen Cybersecurity-Themen sowie zur Umsetzung der neuen Sicherheitsrichtlinien. Daneben gab es Workshops und Trainingssessions mit Beispielen aus der Praxis. Parallel zum Kongress präsentierten 25 führende IT-Security-Unternehmen ihre Sicherheitslösungen.

SECUINFRA war auf dem NIS-2-Kongress nicht nur als Mitveranstalter präsent, sondern stellte auch selbst Referenten zu wichtigen Themen. David Bischoff, Principal Cyber Defense Consultant, gab beispielsweise einen Überblick über Technologien und Services zur effizienten Angriffserkennung. Ramon Weil, Founder und CEO des Berliner Unternehmens, moderierte den Expertentalk zu NIS-2-Maßnahmen wie Prevention, Detection und Response. Evgen Blohm, Senior Cyber Defense Consultant, beantwortete in seinem Vortrag drängende Fragen, für den Fall, dass ein Unternehmen Opfer eines Cyberangriffs geworden ist. In diesem Worst Case Szenario gilt es nämlich, kühlen Kopf zu bewahren, das Ausmaß des Angriffs zu erkennen und die richtigen Maßnahmen unverzüglich zu ergreifen. Ein weiteres Highlight aus der Praxis präsentierte Evgen Blohm zusammen mit seinem Kollegen Marius Genheimer, Cyber Security Analyst bei SECUINFRA. Die beiden Sicherheitsexperten gaben Einblicke, wie Erpressung ohne Ransomware funktionieren kann. Dazu analysierten sie das Vorgehen des Threat Actors „BianLian“ in ihrem Vortrag.

Wichtig für die Umsetzung von NIS-2
Bei SECUINFRA zieht man ein rundum positives Fazit der Veranstaltung und ist besonders von der positiven Resonanz der Teilnehmer angetan. Dank der vielfältigen Beiträge aller beteiligten Spezialisten aus Deutschlands führenden Security-Unternehmen konnten die Besucher zahlreiche neue Impulse gewinnen. Ramon Weil sieht dies als großen Pluspunkt der Veranstaltung: „Der NIS-2 Kongress 2024 hat einmal mehr verdeutlicht, wie essenziell der kontinuierliche Austausch und die Zusammenarbeit in der Branche sind, um den Herausforderungen der digitalen Sicherheit erfolgreich zu begegnen.“ Der Gründer des Berliner Security-Unternehmens sieht deshalb den NIS-2 Kongress als Leuchtturmprojekt und Beispiel für eine gelungene Vorbereitung auf NIS-2. „Viele Firmen sind noch unsicher, was alles durch die neuen Richtlinien auf sie zukommt“, sagt Weil. „Dieser Kongress hat auf jeden Fall für mehr Klarheit gesorgt und liefert wichtige Impulse für die Unternehmen.“ Johann Miller, Initiator des NIS-2 Kongresses ergänzt: „Es ist wichtig für unser Land, die Voraussetzungen für eine wirkungsvolle Cybersecurity zu schaffen. Insofern war der Kongress sehr wichtig, denn eine derart umfassende Informationsveranstaltung hat es in Deutschland bisher noch nicht gegeben.“

Die Qualität der Vorträge und die tiefgehenden Diskussionsrunden haben an den beiden Tagen wertvolle Einblicke und praxisnahe Lösungen vermittelt. Da die Umsetzung der NIS-2-Richtlinien im nächsten Jahr noch mehr Brisanz gewinnen wird, will man sich bei SECUINFRA auch am kommenden NIS-2 Kongress als Mitveranstalter beteiligen. Dieser zweite Kongress wird voraussichtlich im zweiten Quartal 2025 stattfinden.

Über den NIS-2 Kongress
Der NIS-2 Kongress fand am 10. und 11. Juli 2024 im Mövenpick Hotel Stuttgart Flughafen statt. Es war der bisher größte Kongress zu den neuen NIS-2-Richtlinien und bot Teilnehmern aus ganz Deutschland die Gelegenheit, sich über die neuesten Entwicklungen und Herausforderungen im Bereich der Netz- und Informationssicherheit zu informieren. Insgesamt gab es an den beiden Tagen 52 Sessions mit neun Moderatoren, acht Workshops, vier Keynotes sowie 25 Aussteller mit führenden IT-Security Fachexperten. Insgesamt 362 Teilnehmer besuchten den zweitägigen Kongress. Veranstaltet wurde der Kongress von der NIS-Projects GmbH. Der nächste NIS-2 Kongress ist für das zweite Quartal 2025 geplant.

SECUINFRA unterstützt Unternehmen seit 2010 bei der Erkennung, Analyse und Abwehr von Cyberangriffen. Mit Services wie Managed Detection and Response (MDR) und Incident Response sorgt das Unternehmen dafür, dass Cyberangriffe frühzeitig erkannt und abgewehrt werden, bevor hoher Schaden entsteht. Zur Erbringung dieser Services greift SECUINFRA auf die besten am Markt befindlichen Technologien und Produkte in den Bereichen Security Information & Event Management (SIEM), Endpoint Detection & Response (EDR), Network Detection & Response (NDR) und Security Orchestration, Automation & Response (SOAR) zurück.

Firmenkontakt
SECUINFRA GmbH
Thomas Bode
Stefan-Heym-Platz 1
10367 Berlin
+49 89 200 42748
https://www.secuinfra.com/de/

Pressekontakt
FRANKEMEDIA
Thorsten Franke-Haverkamp
Amberger Str. 5
81679 München
+49 89 200 42748
https://www.frankemedia.com/

Treffen der Sicherheitsexperten und Auszeichnungen für den Nachwuchs

Dr. Swantje Westpfahl, Direktorin des Institutes for Security and Safety, und Johann Miller (Bildquelle: NIS-Projects GmbH)

Der erste NIS-2 Kongress war ein voller Erfolg – so lautet das Fazit des Veranstalters, der NIS-Projects GmbH. Daher steht jetzt schon fest, dass es einen zweiten Kongress im nächsten Jahr geben wird. Zahlreiche Top-Referenten und ein umfangreiches Workshop-Programm sorgten dafür, dass sich Unternehmen umfassend über die Auswirkungen der neuen NIS-2-Richtlinien in Deutschland informieren konnten. Insgesamt 362 Besucher nutzten diese besondere Gelegenheit und nahmen an dem Kongress am 10. und 11. Juli in Stuttgart teil. Der Zuspruch zu dieser wichtigen Veranstaltung war auch deswegen so hoch, weil sich von NIS-2 betroffenen Firmen die Möglichkeit bot, Vorträge von 52 Referenten zu den wichtigsten Cybersecurity-Themen zu hören. Zudem konnten sie sich bei 25 führenden IT-Sicherheitsanbietern in Deutschland über geeignete Sicherheitslösungen informieren und mit dem neuesten Stand der Technik vertraut machen. Darüber hinaus gab es Auszeichnungen für den Nachwuchs: Deutschlands beste Pentester wurden ebenso prämiert wie die besten Masterarbeiten aus dem Bereich Cybersicherheit.

Eröffnet wurde der Kongress von seinem Initiator, Johann Miller, und moderiert von Dr. Swantje Westpfahl, Direktorin des Institutes for Security and Safety an der Hochschule Mannheim. Für Westpfahl ist NIS-2 eines der wichtigsten Themen, das für Firmen vieles verändern wird: „Auf dem Kongress konnte man die Sorgen und Herausforderungen spüren, mit denen Unternehmen konfrontiert sind. Gleichzeitig wurde deutlich, dass wir mit den Tools, die wir bereits haben, vorbereitet sein können und uns nicht fürchten müssen.“ Westpfahl betont vor allen Dingen die Chancen zur Verbesserung der Cybersicherheit in Deutschland: „Wichtig wird die Zusammenarbeit zwischen allen Stakeholdern sein, also dem öffentlichen Sektor, der Wissenschaft und den jeweiligen Organisationen. Das gemeinsame Ziel muss der Aufbau eines Cybersicherheits-Ökosystems sein.“ Johann Miller bestätigt: „Jetzt gilt es, die Voraussetzungen für eine wirkungsvolle Cybersecurity zu schaffen. Insofern war der Kongress sehr wichtig, denn eine derart umfassende Informationsveranstaltung hat es in Deutschland bisher noch nicht gegeben.“

NIS-2-Umsetzung und künstliche Intelligenz
Ein Hauptthema des ersten NIS-2 Kongress waren Best Practices und Strategien zur Umsetzung der NIS-2-Richtlinie. Denn auch wenn der ursprüngliche Zeitplan der Gesetzgebung nicht mehr einzuhalten ist, ist doch bereits klar, was auf die Unternehmen zukommen wird. Hierzu gehören beispielsweise die Implementierung eines Risikomanagementsystems, die zukünftig obligatorische Meldung von allen relevanten Sicherheitsvorfällen an die Behörden sowie regelmäßige Sicherheitsüberprüfungen und Audits. Gleichzeitig gilt es, mit der technologischen Entwicklung schrittzuhalten und die eigenen Sicherheitsmaßnahmen kontinuierlich zu überprüfen. Es ist zudem zu erwarten, dass die NIS-2-Anforderungen auch überwacht werden und dass mit Sanktionen zu rechnen ist. Den meisten Fachbesuchern des Kongresses war es daher wichtig, die kommenden Anforderungen bereits jetzt anzugehen. Für viele Firmen gilt es, möglichst keine Zeit zu verlieren, denn ansonsten könnte es bis zur Umsetzung der Cybersicherheitsrichtlinie sehr eng werden.

In insgesamt fünf Tracks hatten die Teilnehmer die Gelegenheit, sich über die Umsetzung sowie geeignete Maßnahmen zu informieren. Hinzu kamen Workshops und Trainingssessions. Ein großes Trendthema auf dem Programm war künstliche Intelligenz (KI). Dabei ging es um den Einsatz von KI auf beiden Seiten, also sowohl bei den Angreifern als auch bei der Verteidigung. Die Referenten zeigten anhand von konkreten Beispielen, wie einfach es mittlerweile durch KI-Tools ist, große Schäden anzurichten. Andererseits hilft KI bei der Analyse, beispielsweise von Logdaten, und ist somit bei der Detektion von Angriffen ein wichtiges Hilfsmittel. Weitere Themen auf dem Kongress waren die Automatisierung der Angriffserkennung etwa durch den Einsatz von SIEM-Systemen (Security and Event Management). Gleichzeitig ging es aber auch um die Frage nach dem Worst Case: Was sollten Unternehmen im Fall eines erfolgreichen Angriffes tun? Hierbei ist vor allem um Geschwindigkeit gefragt. Es ist also entscheidend, möglichst schnell das Ausmaß des Angriffs zu erkennen und sofort geeignete Gegenmaßnahmen zu ergreifen.

Deutschlands beste Masterarbeiten und Pentester prämiert
Zusätzlich fanden im Vorfeld des NIS-2 Kongresses zwei Wettbewerbe für den Nachwuchs statt: Einerseits wurden die besten Masterarbeiten aus dem Bereich Cybersecurity prämiert, andererseits wurde nach Deutschlands besten Pentestern gesucht. Mit dem Preis „Deutschlands beste Cybersecurity Masterarbeit 2024“ wurden ausgezeichnet: Stefan Strobl (Platz 1), Merlin Klemens (Platz 2) und Tatjana Ljucovic (Platz 3). Koordiniert wurde die Jury von Prof. Hermann Heiler, Präsident a.D. der Hochschule Weihenstephan-Triesdorf. Der Wettbewerb „Deutschlands beste Pentester“ wurde von der NIS-Projects GmbH in Zusammenarbeit mit der NTT DATA Deutschland SE durchgeführt. Als Top-Nachwuchskräfte im Bereich IT Security wurden ausgezeichnet: Cass Rebbelin (Platz 1), Terence Fürst (Platz 2) sowie Robin Unglaub (Platz 3). Die Auszeichnungen wurden durch Nicole Matthöfer, Präsidentin der Cybersicherheitsagentur Baden-Württemberg, im Rahmen der Vorabend-Gala zum Kongress am 9. Juli vorgenommen.

Informationen zum NIS-2 Kongress:
www.nis-2-congress.com

Die NIS-Projects GmbH veranstaltete den NIS-2 Kongress in Stuttgart. Geschäftsführer des Unternehmens ist Johann Miller. Miller blickt auf eine weitreichende und langjährige Erfahrung in der Medien- und der IT-Security-Branche zurück. Nach seiner 20-jährigen Geschäftsführerverantwortung bei der WEKA GmbH und der Neuen Medien GmbH (Mediengruppe Ebner) wechselte er von der Medien- in die IT-Security-Branche. Er war sieben Jahre Geschäftsführer für CE bei der Integralis GmbH (Marktführer für IT Security), einem Unternehmen des japanischen Telekommunikationsunternehmens NTT, und fünf Jahre Geschäftsführer und Mitgesellschafter der HR Bridge GmbH, einem Personalmanagement-Unternehmen mit dem Branchenfokus auf IT Security. Zudem ist er als Beirat in mehreren IT-Security-Unternehmen tätig. Als Initiator hat er einige Foren, Kongresse und Preisverleihungen aus der Taufe gehoben.

Firmenkontakt
NIS-Projects GmbH
Johann Miller
Hermann-Aust-Str. 22
86825 Bad Wörishofen
+49 30 555 702 160
https://nis-2-congress.com/

Pressekontakt
FRANKEMEDIA
Thorsten Franke-Haverkamp
Amberger Str. 5
81679 München
+49 30 555 702 162

Home

Warum Risikominimierung ganz oben auf die To-Do-Liste der Führungskräfte gehört

Cosima von Kries, Nintex Director, Solution Engineering EMEA (Bildquelle: @Nintex)

Dies gilt insbesondere für Unternehmen, die in stark regulierten Branchen tätig sind, wie z. B. Finanzdienstleistungen, öffentlicher Dienst oder Gesundheitswesen. In diesen Bereichen kann schon der kleinste Fehler erhebliche finanzielle und rechtliche Folgen haben. Die Erfahrung zeigt, dass ein wichtiger Bestandteil erfolgreicher Risikomanagementstrategien die Prozessautomatisierung und das Prozessmanagement sind. Beides führt zu mehr Konsistenz, Effizienz und Verantwortlichkeit im gesamten Unternehmen.

„Im Wesentlichen wird durch die Automatisierung sichergestellt, dass die Prozesse in Übereinstimmung mit den festgelegten Richtlinien und Vorschriften durchgeführt werden, wodurch rechtliche Risiken verringert werden. Die Automatisierung ermöglicht eine Echtzeitüberwachung und -berichterstattung über betriebliche Aktivitäten, so dass die Unternehmen Risiken sofort erkennen und angehen können. Wichtige Punkte, wenn man bedenkt, dass auch die neue NIS2-Richtlinie bald in Kraft tritt,“ verdeutlicht Cosima von Kries, Nintex Director, Solution Engineering EMEA.

Viele Unternehmen scheitern

Doch viele Unternehmen scheitern bei der Einführung oder schöpfen das volle Potenzial der Technologien nicht aus. Das führt zu Unsicherheiten, Missstimmungen im Management sowie bei den Mitarbeitern und kann letztendlich auch sicherheitsrelevante Schwierigkeiten verursachen. Jede Technologie ist nur so gut, wie der Nutzer, der sie bedient und die Datenbasis, die verwendet wird.

„Wenn Unternehmen im Bereich Prozessautomatisierung und der Verarbeitung der richtigen Datenbasis fit sind, können sie damit ebenfalls sehr gut die NIS2-Richtlinie oder ISO 27001 umsetzen. Sie wissen dann zum Beispiel, wie Sicherheitsvorfälle digital gemeldet oder Notfallpläne je nach aufgetretenem Sicherheitsfall sofort automatisiert eingeleitet werden. Viele Unternehmen wissen das jedoch nicht und denken bei Richtlinien, die die Informationssicherheit oder Cybersicherheit betreffen, nur an reine Sicherheitsmaßnahmen und -werkzeuge. Aber es geht viel tiefer und weiter. Erst die richtige Prozessautomatisierung verhilft Unternehmen zu ganzheitlichen Strukturen, in denen Sicherheitsrichtlinien effektiv wirken können,“ geht Cosima von Kries weiter ins Detail.

Sie empfiehlt Unternehmen daher die folgenden fünf Schritte, um ein Prozessautomatisierungsprojekt erfolgreich umzusetzen und damit auch das Risikomanagement deutlich zu verbessern:

1.Schrittweise beginnen

Auch wenn alle Ziele des Projekts wichtig sind, ist es entscheidend, klein anzufangen. Anstatt zu versuchen, einen ganzen Prozess zu automatisieren, ist es am besten, den Fokus des Einführungsteams einzugrenzen. Zunächst sollten die Bereiche in Cybersicherheits- und Informationssicherheitsinfrastruktur identifiziert werden, in denen Prozessautomatisierung am meisten Sinn ergibt. Die identifizierten Prozesse werden nach ihrer Komplexität, Häufigkeit und dem möglichen Risiko bewertet, das mit ihrer manuellen Durchführung verbunden ist. Das können zum Beispiel wiederkehrende Aufgaben wie Patch-Management, Log-Analyse, Bedrohungsabwehr, Vorfallsmeldung oder Compliance-Überwachung sein.

Kleinere, schrittweise Veränderungen können schneller überprüft und angepasst werden. Erfolge ermutigen die Führungskräfte und Mitarbeitende, den nächsten Schritt anzugehen. Kunden profitieren ebenfalls von den positiven Auswirkungen. Eine schrittweise Umstellung schafft eine Kultur der kontinuierlichen Verbesserung hin zu schlankeren Prozessen und verbessertem Risikomanagement.

2. Vorteile klar kommunizieren

Führungskräfte sollten Mitarbeitende frühzeitig in den Veränderungsprozess einbinden. Sie sollten ihre Teams umfassend über Vorteile, Vorgehensweisen und Veränderungsschritte informieren sowie weshalb die Informations- und Cybersicherheit den höchsten Stellenwert im Unternehmen einnimmt und die Umsetzung diverser Richtlinien oberste Priorität hat. Mitarbeitende, die die Vorteile für das Unternehmen und für ihre eigene Arbeitsweise kennen, sind motivierter bei der Veränderung mitzuwirken. Zudem fühlen sie sich in den Kulturwandel eingebunden, in ihrer Arbeit wertgeschätzt und unterstützt durch die neue Software.

Der erste Schritt ist eine genaue Dokumentation aller Prozesse, um dann zu evaluieren, welche Prozesse wie effektiv automatisiert werden können. Er liefert umfassende Informationen wie Aufgaben durchgeführt werden, welche Rollen und Verantwortlichkeiten involviert sind und wie der gesamte Arbeitsablauf aussieht. Abgeleitet von diesen Informationen lassen sich dann im zweiten Schritt Verbesserungsmöglichkeiten ermitteln, Abläufe rationalisieren und Risiken durch die Reduzierung von Verfahrensabweichungen verringern.

3. Mensch-zentriert bleiben

Im Mittelpunkt eines effektiven Risikomanagements in Unternehmen stehen die Menschen, die dort arbeiten und bleiben es auch, egal an welcher Einführungs- und Veränderungsstufe das Prozessautomatisierungsprojekts ist. Durch gezielte Schulungen und eine Kultur des offenen Austauschs können Unternehmen ihre Mitarbeitende befähigen, potenzielle Risiken frühzeitig zu erkennen und proaktiv zu handeln. Die Einbeziehung aller Teammitglieder in Entscheidungsprozesse und die Wertschätzung ihrer Perspektiven fördert nicht nur das Vertrauen, sondern auch die Innovationskraft des Unternehmens. Eine starke, informierte und engagierte Belegschaft bildet somit das Rückgrat eines erfolgreichen Risikomanagements, das flexibel und widerstandsfähig auf Herausforderungen reagieren kann.

4. Technologie auch in stark regulierten Sektoren einführen

Unternehmen, die in stark regulierten Bereichen, wie Finanzdienstleister, Gesundheitswesen oder öffentlichem Dienst tätig sind, zögern in der Regel, neue Technologien einzuführen. Der potenzielle Nutzen der Prozessautomatisierung kann hier jedoch noch höher sein als in anderen Geschäftsbereichen.

Die Prozessautomatisierung ist hier besonders vorteilhaft, da sie hilft, Compliance-Anforderungen zu erfüllen, die Integrität und Sicherheit der Daten zu gewährleisten, Fehler zu minimieren, die Effizienz zu steigern, Transparenz und Rückverfolgbarkeit zu verbessern und die Anpassungsfähigkeit an regulatorische Änderungen zu erhöhen.

Diese Vorteile tragen dazu bei, das geschäftliche Risiko sowie Zeit- und Arbeitsaufwand zu reduzieren, der normalerweise mit der Anpassung manueller Prozesse an neue regulatorische Anforderungen verbunden ist und führen zu Kosteneinsparungen als auch einer besseren Ressourcennutzung, indem redundante oder manuelle Aufgaben deutlich reduziert werden.

5. Unbeabsichtigte Risiken vermeiden

Richtig eingesetzt verringert Prozessautomatisierung das Geschäftsrisiko erheblich. Falsch eingesetzt hingegen kann die Automatisierung von Prozessen manchmal unbeabsichtigt Risiken in Form von Datenschutzverletzungen, Bedenken hinsichtlich des Datenschutzes und der Nichteinhaltung von Vorschriften mit sich bringen. Daher ist es entscheidend, das Unternehmen Governance-Mechanismen und Datenhygienepraktiken einführen, um Risiken zu identifizieren und zu bewerten, Kontrollen zur Risikominderung zu implementieren und die Einhaltung von Branchenstandards und Vorschriften zu gewährleisten.

Durch die Automatisierung komplexer, fehleranfälliger Prozessschritte wird sichergestellt, dass sie jedes Mal ordnungsgemäß ausgeführt werden. Das verringert das Risiko menschlicher Fehler und kostspieliger Folgen oder Imageschäden. Eine automatisierte Überwachung hilft bei regelmäßigen Überprüfungen und Anpassungen z.B. an neue Richtlinien wie die NIS2 sowie Verbesserungen bei Bedarf schnell umzusetzen.

Mehr Informationen über die Nintex Prozess Plattform: https://www.nintex.de/prozessplattform/

Über Nintex
Nintex ist ein Anbieter für Lösungen rund um Prozessintelligenz und -automatisierung. Mehr als 10.000 Organisationen des öffentlichen und privaten Sektors in 90 Ländern nutzen die Nintex Process Platform. Sie beschleunigen ihre digitale Transformation durch schnelle und einfache Verwaltung, Automatisierung und Optimierung von Geschäftsprozessen. Nintex und sein globales Partnernetzwerk definieren die Zukunft der Intelligent Process Automation (IPA). Weitere Informationen: https://www.nintex.de

PR-Agentur

Kontakt
PR-Agentur Werte leben & kommunizieren
Martina Gruhn
Corneliusstr. 29
80469 München
015221943260
http://www.martinagruhn.com

Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting

Cosima von Kries, Nintex Director, Solution Engineering EMEA (Bildquelle: @Nintex)

Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in den Betrieb wichtiger Dienste ein. Leider haben viele der teilnehmenden Länder diese Schutzmaßnahmen auf unterschiedliche Weise oder in unterschiedlichem Maße umgesetzt. Angesichts der sich rasch verändernden Cybersicherheitslandschaft wurde deutlich, dass mehr nötig war.

So wurde im Jahr 2020 NIS2 eingeführt und trat am 16. Januar 2024 in Kraft. Sie erweitert den ursprünglichen Anwendungsbereich, verschärft die Anforderungen, beseitigt einige der ursprünglichen Unklarheiten bei der Anwendung und verleiht der Richtlinie Biss in Form von erheblichen Geldbußen und Sanktionen. Bis zum 17. Oktober muss die NIS2-Richtlinie von den EU-Mitgliedsstaaten jeweils in nationales Recht umgesetzt werden. Deutschland ist hier mit einem kurz vor der Veröffentlichung stehenden vierten Referentenentwurf nicht mehr weit entfernt von der Umsetzung in deutsches Recht.

Organisationen und Unternehmen können die Belastung durch die NIS2-Richtlinie verringern, indem sie Prozessmonitoring einsetzen, um dynamisches Risikomanagement und Reporting in ihre Geschäftsprozesse zu integrieren. Wenn Unternehmen das Risikomanagement zu einem Teil ihres Engagements für ihre Prozesslandschaft machen, sind sie für Oktober 2024 und die sich ständig verändernde digitale Landschaft gerüstet.

Von NIS2 betroffene Branchen und Einrichtungen

Um die lebenswichtigsten Vorgänge in der Europäischen Union vor böswilligen technologischen Bedrohungen zu schützen, umfasst die NIS2-Richtlinie wesentliche Dienste in den Bereichen Verkehr, Bankwesen, Energie, Finanzmärkte, Gesundheitswesen, Digitale Infrastruktur, Trinkwasser- und Abwasserversorgung, Öffentliche Verwaltung, Raumfahrt. Hinzu kommen wichtige Einrichtungen, deren Melde- und Überwachungsbedingungen zwar selbstbestimmter, aber nicht weniger streng sind wie digitale Anbieter, Forschung, Lebensmittelherstellung, -verarbeitung und -vertrieb, Chemikalienherstellung, -produktion und -vertrieb, Post und Kurierdienste, Hersteller und die Abfallwirtschaft.

„Doch das ist noch nicht das ganze Ausmaß der Auswirkungen von NIS2. Ein Teil der Verpflichtung für die betroffenen Branchen und Dienste ist die Sicherheit ihrer Lieferkette. Das bedeutet, dass auch Zulieferer und Auftragnehmer, die Ressourcen für diese lebenswichtigen Vorgänge bereitstellen, verpflichtet sind, ein Mindestmaß an Cybersicherheitsmaßnahmen einzuhalten, da sie sonst Gefahr laufen, Aufträge zu verlieren. Auch diejenigen, die nicht direkt in wesentlichen und wichtigen Branchen tätig sind, müssen ihr Risikomanagement verbessern, um ihren Marktanteil zu halten,“ erläutert Cosima von Kries, Nintex Director, Solution Engineering EMEA, die Situation noch genauer.

Die ersten Schritte unternehmen

Risikomanagement und Compliance sollten für Unternehmen, die im heutigen Umfeld tätig sind, nichts Neues mehr sein. Auch wenn die NIS2 hohe Anforderungen an eine wirksame Cybersicherheit stellt, sollte der Ansatz, den jedes Unternehmen verfolgt, ein vertrauter sein. Er beginnt mit der Identifizierung von Risiken und der Festlegung von Abhilfemaßnahmen, wo dies möglich ist. Im Kern handelt es sich dabei um eine Prozessüberwachung und um die Art von Herausforderung, für die spezielle Software entwickelt wurde.

Indem Unternehmen ihre wichtigsten Cybersicherheitsprozesse und die risikoreichsten Geschäftspraktiken in diesem Bereich abbilden und dokumentieren, können sie sofort erkennen, wo es möglicherweise Probleme mit der Einhaltung von Vorschriften gibt. Dies könnte sich auf Lieferanten, interne Systeme oder bestehende Verfahren beziehen. Wenn die Prozesse klar dargelegt sind, können diese Risiken dokumentiert und entsprechende Maßnahmen ergriffen werden.

„Natürlich lässt sich nicht jedes Risiko ausschalten. Etwas so Einfaches wie ein menschlicher Nutzer in einem Prozess kann ein Risiko darstellen, von der Anfälligkeit für Phishing-Angriffe bis hin zu vorsätzlichen Sabotageakten. Beim Risikomanagement geht es darum, diese Risiken zu kontrollieren. Neben den Prozessen, die die wichtigsten Aktivitäten regeln, sollte es Kontrollpunkte für das Risikomanagement geben, um die Einhaltung der Vorschriften bei jedem Schritt zu gewährleisten,“ so Cosima von Kries weiter. „Bei Nutzung der Nintex Process Plattform beispielsweise können Workflows diese Prozesse, wie zum Beispiel das Incident Reporting, automatisieren, indem sie bei der Ausführung von Vorgängen Datenvalidierungen vornehmen oder Freigabeanfragen auslösen. Auf diese Weise entsteht sowohl eine rechtskonforme Dokumentation für Aktionen als auch eine Sicherheitskontrolle für wichtige Aktivitäten.“

Hohe Wachsamkeit erforderlich

Die letzten Jahre haben gezeigt, dass Cyber-Angriffe immer raffinierter werden. Selbst die größten Unternehmen sind nicht immun gegen durch digitale Störfaktoren verursachte Verstöße oder Ausfälle. Die Einführung von Risikomanagementprozessen ist im Rahmen der NIS2 von entscheidender Bedeutung, aber die Unternehmen müssen auch für eine schnelle Berichterstattung sorgen, wenn etwas schiefläuft. Von wesentlichen und wichtigen Diensten wird erwartet, dass sie innerhalb von 24 Stunden einen ersten Bericht über einen Vorfall mit „erheblichen Auswirkungen“ und innerhalb von 72 Stunden nach dem Ereignis einen vollständigen Meldebericht vorlegen.

Die Berichterstattungsprozesse sollten für alle wichtigen Risikotätigkeiten und -bereiche klar und leicht zugänglich sein. Ein Merkmal von Prozessmonitoring ist die Möglichkeit, Prozesse miteinander zu verknüpfen, um sicherzustellen, dass Berichtsverfahren, Dokumentationen und wichtige Referenzmaterialien in jeden verwandten Prozess eingebettet und leicht zugänglich sind. Sollte eine Störung oder eine Ausnahme auftreten, sind die Informationen darüber, was zu tun ist, sofort zur Hand, so dass die Hauptbeteiligten schnell die zu ergreifenden Maßnahmen identifizieren können. Die Teams werden zu den entsprechenden Schritten und Protokollen geleitet, die die Auswirkungen so weit wie möglich abschwächen, und die entsprechenden Personen werden alarmiert.

Zu den Risikomanagementprozessen gehören auch regelmäßige Abnahmen, um sicherzustellen, dass die vorhandenen Maßnahmen aktuell und wirksam sind. Prozessmonitoring kann hier unterstützen, indem es die Beteiligten und die benannten Risikomanager an die Abnahmen erinnert und via Link direkt zu den entsprechenden Prozessunterlagen führt, so dass sie proaktiv dafür sorgen können, dass die Kontrollen auf dem neuesten Stand sind.

Fit für den Erfolg von NIS2

Während effektive Unternehmen bereits über einen Risikomanagementplan verfügen, machen die Anforderungen von NIS2 es für alle Organisationen unerlässlich, der Einhaltung der Vorschriften Priorität einzuräumen. Die Identifizierung der wichtigsten Risikobereiche, wie sie in der Richtlinie beschrieben sind, und die Einrichtung effektiver Prozesse zur Verwaltung und Minderung dieser Risiken kann eine zeitraubende und schwierige Aufgabe sein.

„Prozessmonitoring bietet hier die Möglichkeit, Richtlinien, Prozesse und Verfahren zu verwalten und zu zentralisieren. Es identifiziert klare Rollen und Verantwortlichkeiten in Bezug auf die Gesamtverantwortung für die Governance, bis hin zum Eigentum an Standardbetriebsverfahren,“ geht von Kries ins Detail.

Prozessmonitoring richtig eingesetzt sollte vor allem die folgenden Bereiche abdecken:
-Leicht verständliche Prozesslandkarte plus alle erforderlichen Informationen werden in einer zentralen Anlaufstelle zusammengeführt, auf die jeder zugreifen kann. Dazu gehören Dokumente, Videos, Bildschirmfotos und Links zu anderen Ressourcen.
-Gewährleistung, dass alle Beteiligten über Änderungen informiert werden, sobald sie auftreten. Unterstützt wird dies durch ein Änderungsprotokoll und die Erstellung von Berichten, die den Audit-Anforderungen entsprechen.
-Eine zentrale Informationsquelle für alle Mitarbeiter und eine zuverlässige Basis für die Sensibilisierung und Schulung von Teams in Bezug auf standardisierte, wiederholbare Prozesse. So wird sichergestellt, dass alle Mitarbeiter über alle relevanten Sicherheitsprozesse gut informiert sind.
-Alle identifizierten Risiko- und Compliance-Anforderungen können mit einer Aktivität innerhalb des Prozesses verknüpft werden. Dadurch wird der Prozessanwender beurteilt und der Risiko- und Compliance-Manager als Beteiligter mit dem spezifischen Prozess verknüpft. Diese Risiko- und Compliance-Anforderungen können Personen in der Organisation zugewiesen werden, die sie regelmäßig abzeichnen, so dass Führungsteams sicher sein können, dass Risiko- und Compliance-Szenarien identifiziert und entschärft werden.

Die digitale Transformation schreitet beständig voran und macht auch vor Sicherheitstücken nicht halt. NIS2 ist ein wichtiger Schritt zu mehr Schutz im digitalen Geschäftsumfeld. Die Richtlinie richtig umzusetzen, bewahrt Unternehmen vor Sanktionen und sie sollten bei der Umsetzung auf effektive Hilfsmittel zurückgreifen, die sie nachhaltig unterstützen.

Mehr Informationen über die Nintex Prozess Plattform: https://www.nintex.de/prozessplattform/

PR-Agentur

Kontakt
PR-Agentur Werte leben & kommunizieren
Martina Gruhn
Corneliusstr. 29
80469 München
015221943260
http://www.martinagruhn.com