NIS 2 Artikel 20 - Governance

Zunächst einmal ein mysteriöser Fun Fact: Von der gesamten NIS 2 - Richtlinie (45 Artikel) sind nur drei Artikel für Unternehmen, die die Vorschriften einhalten wollen, tatsächlich relevant.

Einer davon ist Artikel 20 (Governance), in dem es um die Stärkung der Aufsicht über die Cybersicherheit geht.

Die Richtlinie über Netz- und Informationssysteme 2 (NIS 2) war und ist ein wichtiger Schritt in den Bemühungen der Europäischen Union (EU) zur Verbesserung der Cybersicherheit in ihren Mitgliedstaaten. Unter den 45 Artikeln der Richtlinie sticht Artikel 20 (Governance) als Eckpfeiler für die Schaffung einer wirksamen Aufsicht über die Cybersicherheit in Organisationen hervor. 

‍

Was beinhaltet Artikel 20 (Governance) in NIS 2?

Artikel 20 der NIS 2 befasst sich schwerpunktmäßig mit dem Thema Governance und verlangt von den Organisationen die Einrichtung klarer und wirksamer Governance-Strukturen zur Überwachung ihrer Cybersicherheitspraktiken. 

Der Artikel unterstreicht die Bedeutung der Einbeziehung der obersten Führungsebene in die Cybersicherheit und verlangt von den Unternehmen, dass sie sicherstellen, dass sich die Entscheidungsträger ihrer Verantwortung für das Management von Cybersicherheitsrisiken voll bewusst sind.

‍

Die wichtigsten Anforderungen von Artikel 20 in NIS 2

Verantwortlichkeit des Top-Managements

In Artikel 20 wird betont, dass Cybersicherheit nicht nur ein IT-Thema ist, sondern ein strategisches Anliegen, das auf höchster Ebene des Unternehmens behandelt werden muss. Die Unternehmensleitung muss eine aktive Rolle bei der Überwachung der Cybersicherheitsbemühungen übernehmen und sicherstellen, dass angemessene Ressourcen zugewiesen werden und dass die Cybersicherheit in die allgemeine Geschäftsstrategie integriert wird.

‍

Definierte Rollen und Zuständigkeiten

Unternehmen müssen klare Rollen und Verantwortlichkeiten für die Cybersicherheitsverwaltung festlegen. Dazu gehört die Ernennung von Personen oder Teams, die für die Umsetzung und Aufrechterhaltung von Cybersicherheitsmaßnahmen verantwortlich sind, sowie die Sicherstellung, dass diese Personen über die erforderlichen Befugnisse und Ressourcen zur Erfüllung ihrer Aufgaben verfügen.

‍

Integration des Risikomanagements

Artikel 20 schreibt vor, dass das Management von Cybersicherheitsrisiken vollständig in die allgemeinen Risikomanagementprozesse der Organisation integriert werden muss. Dies bedeutet, dass Cybersicherheitsrisiken auf dieselbe Weise wie andere Geschäftsrisiken ermittelt, bewertet und gesteuert werden sollten, wobei der obersten Führungsebene regelmäßig Bericht erstattet werden sollte.

‍

Kontinuierliche Verbesserung

Die Governance-Strukturen müssen eine kontinuierliche Verbesserung der Cybersicherheit unterstützen. Dazu gehört die regelmäßige Überprüfung und Aktualisierung von Richtlinien, Verfahren und Kontrollen, um neuen Bedrohungen und Schwachstellen zu begegnen.

‍

Vorteile für Unternehmen mit NIS 2

Erweiterte Verantwortlichkeit

Artikel 20 überträgt der obersten Führungsebene erhebliche Verantwortung und macht sie für die Cybersicherheitslage des Unternehmens rechenschaftspflichtig. Diese Verlagerung der Verantwortung bedeutet, dass die Führungskräfte die Cybersicherheit nicht mehr vollständig an die IT-Abteilung delegieren können; sie müssen aktiv in die strategische Entscheidungsfindung und das Risikomanagement einbezogen werden.

‍

Verbesserte Kontrolle

Durch die Forderung nach klaren Governance-Strukturen stellt Artikel 20 sicher, dass eine strenge Aufsicht über die Cybersicherheitspraktiken besteht. Dies hilft Organisationen, Lücken und Schwachstellen in ihrer Cybersicherheitslage zu erkennen, so dass sie proaktive Maßnahmen zur Risikominderung ergreifen können.

‍

Verbessertes Risikomanagement

Durch die Integration der Cybersicherheit in die allgemeinen Risikomanagementprozesse wird sichergestellt, dass Unternehmen einen ganzheitlichen Ansatz für das Risikomanagement verfolgen. Dadurch wird die Cybersicherheit nicht nur gestärkt, sondern auch mit umfassenderen Geschäftszielen in Einklang gebracht und zu einem integralen Bestandteil der strategischen Planung des Unternehmens.

‍

Implementierung von Governance-Strukturen für NIS 2

Um Artikel 20 zu erfüllen und eine wirksame Cybersicherheits-Governance einzurichten, sollten Organisationen die folgenden Schritte in Betracht ziehen:

‍

Einbindung von Senior Leadership

Stellen Sie sicher, dass die Führungskräfte die Bedeutung der Cybersicherheit verstehen und sich verpflichten, eine aktive Rolle bei der Verwaltung zu übernehmen. Dies kann durch regelmäßige Unterweisungen, Schulungen und die Einbeziehung in die Entscheidungsfindung im Bereich der Cybersicherheit erreicht werden.

‍

Definieren Sie Rollen und Verantwortlichkeiten

Legen Sie klar fest, wer innerhalb der Organisation für die Cybersicherheit verantwortlich ist. Dazu sollte ein Chief Information Security Officer (CISO) oder eine gleichwertige Funktion gehören, der von einem funktionsübergreifenden Team unterstützt wird, dem Vertreter der IT, des Risikomanagements, der Rechtsabteilung und anderer relevanter Abteilungen angehören.

‍

Integrieren Sie Cybersecurity in Ihr Risikomanagement

Einbettung der Cybersicherheit in das allgemeine Risikomanagement des Unternehmens. Dazu gehören die Durchführung regelmäßiger Risikobewertungen, die Überwachung neu auftretender Bedrohungen und die Sicherstellung, dass Cybersicherheitsrisiken auf Vorstandsebene diskutiert werden.

‍

Einführung von kontinuierlichen Verbesserungsprozessen

Einführung von Verfahren zur kontinuierlichen Überprüfung und Verbesserung der Cybersicherheitsmaßnahmen. Dazu könnten regelmäßige Audits, der Austausch von Informationen über Bedrohungen und die Einführung neuer Technologien und Praktiken gehören, um den sich entwickelnden Bedrohungen einen Schritt voraus zu sein.

‍

Ausreichende Ressourcen bereitstellen

Sicherstellen, dass angemessene Ressourcen, einschließlich Budget, Personal und Technologie, für die Cybersicherheit bereitgestellt werden. Dies zeigt das Engagement für die Aufrechterhaltung einer starken Governance und unterstützt die wirksame Umsetzung von Cybersicherheitsmaßnahmen.

‍

Insgesamt ist Artikel 20 (Governance) in der NIS 2 ein entscheidender Bestandteil der Bemühungen der EU zur Verbesserung der Cybersicherheit in allen Mitgliedstaaten. Durch die Betonung der Rechenschaftspflicht auf höchster Ebene und die Einbeziehung der Cybersicherheit in das allgemeine Risikomanagement gewährleistet Artikel 20, dass Organisationen einen proaktiven und strategischen Ansatz für die Cybersicherheits-Governance verfolgen. 

‍

Anpassung von ISO 27001 an die NIS 2 -Governance-Mandate

ISO 27001 spielt hier eine zentrale Rolle, da sie ein umfassendes Rahmenwerk bietet, mit dem Organisationen die Governance-Anforderungen von NIS 2 erfüllen können. Durch die Implementierung von ISO 27001 erfüllen Organisationen nicht nur diese Governance-Anforderungen, sondern stärken auch ihre allgemeine Cybersicherheit.