Das sind die Situationen, die Sie entscheiden müssen.

Sie entstehen im laufenden Betrieb, treffen Ihre persönliche Verantwortung und verlangen Entscheidungen, die tragen und belegbar sein müssen.

Wir sind nicht betroffen.
 

Sie haben sich damit beschäftigt. Die Branche passt nicht und die Schwellenwerte greifen nicht. Also lautet das Ergebnis: 
NIS2 betrifft uns nicht.

Sie haben die Betroffenheitsanalyse gemacht. Das ist richtig. Und es spielt keine Rolle.

Was ist mit Ihren wichtigsten Kunden?

Wenn diese für sich annehmen, dass sie unter NIS2 fallen, werden sie auf ihre Lieferkette schauen. Und dann kommen sie auf Sie zu.

Ihr Kunde muss zeigen, dass seine Lieferkette trägt. Dafür steht die Geschäftsführung privat ein. Und damit verantwortet er auch, was Sie tun oder lassen.

Jetzt müssen Sie zeigen können, dass Sie verlässlich sind. Dass Sie Informationssicherheit im Griff haben.

Am besten zeigen Sie das, bevor Sie gefragt werden. Und noch besser ist es, wenn Sie das neuen Kunden zeigen können, die Sie gewinnen wollen.

Dann sind Sie genau das, was gesucht wird.

Compliant.
Belegbar.

Das macht unsere IT. 
Wir haben Partner.

Sie sehen das Thema. Ihre IT kümmert sich. Ihr Dienstleister macht das schon. Es wurden Maßnahmen umgesetzt, Systeme angepasst. Schließlich hatten Sie ein "NIS2-zertifiziertes" Assessment.

Das Ergebnis: Ein Audit. Ein Bericht. Ein gutes Gefühl. Die Technik wird richtig aufgestellt.

Genau hier beginnt das Problem. Es scheitert bereits daran, dass es keine Zertifizierung für ein Gesetz gibt. Technik macht die Hälfte aus. Die andere Hälfte ist, dass Sie es selber im Griff haben und die Mechanismen verstehen.

Es ist absolut richtig, Sicherheit technisch herzustellen. Das muss aus Ihrer Initiative kommen und ab dann muss nachvollziehbar sein. Dokumentiert, dass Sie führen und entscheiden. Sie müssen das begründen können. Und begründen können Sie nur, was Sie prinzipiell verstehen.

Die Frage ist:

Können Sie nachvollziehen, was umgesetzt wurde? Können Sie einordnen, ob es trägt?
Und können Sie das belegen?

Wenn nicht, entsteht Scheinsicherheit.
Und genau die wird im Ernstfall zum Problem.

Wir sind in der 
NIS2-Lieferkette

Sie wissen oder befürchten, dass wichtige Kunden unter NIS2 fallen. Jetzt kommen von da Assessments und neue Regelungen in den Verträgen. Wenn Sie Teil der Lieferkette sind, ahnen Sie, was jetzt kommt.

Sie haben zwei Möglichkeiten. Sie warten ab und liefern Nachweise, wenn sie eingefordert werden. Oder Sie gehen voran und zeigen selbst, wo Sie stehen. Das wird zum Wettbewerbsvorteil. Für Marktanteile und für neue Kunden.

Ihr Kunde wird sich ein Bild machen. Mit einem technischen Scan. Ein Blick von außen gehört dazu. Ihr Kunde sollte nicht schlechter dastehen als Sie: Sie können das auch umdrehen und Ihre Kunden scannen und damit Unterstützung leisten.

Egal wie Sie es wenden: Fangen Sie an.

Wenn ein Vorfall passiert, beginnt die Suche nach einem Schuldigen. Der Hacker ist kaum zu finden. Also bleibt jemand übrig, der greifbar ist. Darauf sollten Sie vorbereitet sein.

Niemand erwartet vollständige Sicherheit. Das ist nicht erreichbar. Erwartet wird, dass Sie handeln wie ein ordentlicher Kaufmann. NIS2 wird dafür das Referenzgesetz.

 

Erste Bußgelder: Versicherer werden hart reagieren.

NIS2 ist in Kraft, bald werden erste Bußgelder verhängt. 

womit kaum jemand rechnet: Es sind die Versicherungen, die hart durchgreifen. Prämien steigen. Bedingungen werden verschärft. Im Schadenfall wird genauer hingeschaut. Womöglich werden Policen mangels Nachweis des Versicherten gekündigt. 

Das ist die Realität in nächster Zukunft. Und dann wird es hektisch. Compliance muss her, komme was da wolle. 

Die Auswahl an Beratern wird überschaubar sein nnd dann einen finden, der es richtig und passend macht, wird schwer.

Das System muss auf Sie und Ihr Unternehmen angepasst werden. Das braucht Zeit. 

Die Versicherung fragt nach Ihren Maßnahmen. Die Behörde fragt nach Ihrer Organisation. Und beide wollen sehen, wie Sie entschieden haben. Dann müssen Sie das zeigen können.

Wer jetzt vorbereitet ist, hat Kontrolle.

Über Kosten.
Über Verlauf.
Und über das Ergebnis.

Wer wartet, reagiert. Und zahlt dafür.

 

Das Thema ist bekannt, es ist auf der Agenda.
 

Das Thema ist bekannt. Es liegt auf dem Tisch. Aber gerade gibt es wichtigere Dinge. Projekte laufen, Kunden wollen bedient werden, das Tagesgeschäft hat Vorrang.

Also wird es geschoben. Weil man meint, es später machen zu können. Weil es nicht drängt. Das funktioniert. Eine Zeit lang, denn wann ist bald?

Und dann ist auf einmal bald:

Die Anfrage kommt. Ein Kunde fragt nach Nachweisen. Ihre Versicherung will Fakten sehen. Oder ein Vorfall passiert.

Und plötzlich ist keine Zeit mehr. Weder für Budget noch Auswahl derer, die das machen sollen. Sie zahlen drauf. So oder so:

Ihre Entscheidungen werden unter Druck getroffen. Ihre Maßnahmen werden umgesetzt, weil sie jetzt gebraucht werden. Sind sie auch durchdacht? Passen sie zu Ihnen?

Sie werden getrieben, die Kontrolle ist entglitten. Was vorher planbar war, wird hektisch.

Wer früh anfängt, entscheidet was gemacht wird, in welcher Reihenfolge und mit welchem Aufwand. Wer wartet, reagiert. Und nimmt, was gerade verfügbar ist.

Ihr Problem sucht sich seinen Zeitpunkt selbst aus.

Wir haben richtig viel gemacht. 
 

Sie haben investiert. Systeme wurden aufgebaut, Maßnahmen umgesetzt, vielleicht auch externe Unterstützung geholt. Ihre IT arbeitet am Thema. Sie sind mitten drin. Es ist schon viel passiert.

Und genau das ist das Problem.

Ihre IT hat vorgelegt, die Sicherheit groß geschrieben. Allerdings ist nichts dokumentiert und Sie ahnen nur, was im Haus sicherer geworden ist. Behörden funktionieren jedoch so: "Wenn es nicht da steht, dann gibt es das auch nicht". 

Und da Behörden so arbeiten, tun es Kunden und Versicherer auch. Das bringt Sie in die Situation, dass Sie versuchen zu belegen, was die IT alles gebaut hat. Denn es ist IT und das ist nicht Ihr Tagesgeschäft. Wenn also bohrende Fragen gestellt werden, sind Sie schnell rausgebracht.

Auch deshalb ist einer der 10 Vorschriften aus Art. 21 NIS2 die Schulung der Geschäftsleitung. Denn Sie müssen mehr wissen, als dass man den Link nicht klicken soll. Sie müssen wissen, warum jemand in Ihrem Haus den Link klicken könnte und was dann passiert.

Das ist so, weil die Ziele der Gesetze dauerhaft im Unternehmen verankert werden sollen. Das Gesetz kann sich nicht so schnell ändern wie die Angriffsmuster. Deshalb müssen Sie den neuen Stand erkennen, handeln und das dokumentieren. Dann können Sie zeigen und müssen nicht antworten.

©Urheberrecht. Alle Rechte vorbehalten.

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.