NIS-2: Und was ändert sich jetzt wirklich für Schulungen?

Verpflichtende Umsetzung

Der 17. Oktober 2024 rückt näher. Und mit ihm die Vorbereitungen für NIS-2. Bis dahin muss die Richtlinie nämlich von EU-Mitgliedstaaten in nationales Recht umgesetzt sein und die betroffenen Unternehmen und Behörden entsprechende Vorbereitungen getroffen haben.

IT-Abteilungen können sich im Grunde über die Regulierung freuen, weil die Geschäftsführung dadurch gesetzlich ermuntert wird, der Informationssicherheit einen angemessenen Stellenwert zu geben und dazu auch die entsprechenden Budgets bereitzustellen.

Für viele Unternehmen stellt die tatsächliche Umsetzung der Richtlinie ein erhebliches strategisches Projekt dar, dessen Auswirkungen in unterschiedlichen Bereichen spürbar sein werden – Stichwort Lieferkette.

Parallelen zur DSGVO-Einführung

Ein Blick zurück ins Jahr 2018 drängt sich allerdings unweigerlich auf: Damals musste die EU-Datenschutz-Grundverordnung (DSGVO) bis Mai verpflichtend umgesetzt sein. Auch dort war im Vorfeld eine gewisse Nervosität spürbar, war nicht allzu viel vorab schon umgesetzt und wurde auf den letzten Metern noch kräftig nachjustiert.

Auch diesmal verhalten sich viele Organisation noch auffällig ruhig, eine abwartende Haltung und leichte NErvosität ist allgemein spürbar. Scheinbar muss die Richtlinie erst von dieser oder einer möglicherweise verzögerten Regierung durchgewunken werden, damit folglich auch die Cyberhygiene angepasst wird und – und auch das scheint ausschlaggebend zu sein – die entsprechenden Budgets bereitgestellt werden.

Wie viel sich nun tatsächlich für Schulungen ändert, ist nicht zuletzt eine Sache des bisher betriebenen Aufwandes: Die in der NIS genannten Maßnahmen stellen durchaus einen sinnvollen Rahmen dar, und hätten auch bisher schon ihre Berechtigung als Prävention für Cybervorfälle gehabt. Für Organisationen, die bisher ihre Hausaufgaben gemacht haben und ein Auge auf die Cybersicherheit gehabt haben, wird sich im Schulungsbereich wenig ändern. Anderswo ist Nachholbedarf angesagt. Dafür ist NIS-2 jedenfalls ein Beschleuniger.

Spezifische Änderungen & Anforderungen für Mitarbeiterschulungen

  1. Erhöhte Sensibilisierung und Ausbildung
  • Erweiterter Geltungsbereich: Die NIS-2-Richtlinie deckt mehr Sektoren und Unternehmen ab, was bedeutet, dass mehr Organisationen verpflichtet sind, ihre Mitarbeiter in Sicherheitsfragen zu schulen.
  • Regelmäßige Schulungen: Mitarbeiterschulungen müssen regelmäßig durchgeführt werden, um sicherzustellen, dass das Personal stets über aktuelle Bedrohungen und Sicherheitspraktiken informiert ist.

Verpflichtende Schulungsprogramme:

  • Pflicht zur Schulung: Unternehmen und Behörden müssen nachweisen, dass sie verpflichtende Schulungsprogramme für ihre Mitarbeiter haben, insbesondere für jene, die in sicherheitskritischen Bereichen arbeiten.
  • Schulungsnachweise: Es müssen Systeme zur Dokumentation und Nachverfolgung der Schulungsaktivitäten eingerichtet werden, um die Einhaltung der Vorschriften zu belegen.

Schwerpunkt auf Cyber-Bedrohungen:

  • Bewusstsein für aktuelle Bedrohungen: Schulungen müssen Inhalte zu aktuellen Cyber-Bedrohungen und -Angriffsmethoden enthalten, wie Phishing, Ransomware, Social Engineering, etc.
  • Reaktion auf Vorfälle: Mitarbeiter müssen geschult werden, wie sie auf Sicherheitsvorfälle reagieren, diese melden und entsprechende Gegenmaßnahmen einleiten.

Rollenbasierte Schulungen:

  • Spezifische Schulungen für verschiedene Rollen: Die Schulungen müssen auf die spezifischen Rollen und Verantwortlichkeiten der Mitarbeiter zugeschnitten sein. Technisches Personal benötigt beispielsweise detailliertere technische Schulungen als das allgemeine Personal.
  • Führungskräfte-Training: Schulungen für Führungskräfte umfassen auch Managementaspekte der Cybersicherheit und Risikomanagement.

Kultureller Wandel:

  • Sicherheitskultur fördern: Ein stärkerer Fokus auf die Schaffung einer Sicherheitskultur innerhalb der Organisation wird gelegt, bei der Sicherheit ein integraler Bestandteil der täglichen Arbeitsprozesse ist.
  • Awareness-Kampagnen: Regelmäßige Awareness-Kampagnen und Sicherheitsübungen sind notwendig, um das Bewusstsein und die Reaktionsfähigkeit der Mitarbeiter zu stärken.

Verpflichtende Risikobewertungen und Tests:

  • Simulierte Angriffe: Schulungen können auch simulierte Angriffe und Sicherheitsvorfälle umfassen, um die Reaktionsfähigkeit und das Verhalten der Mitarbeiter in realistischen Szenarien zu testen.
  • Kontinuierliche Verbesserung: Ergebnisse aus diesen Simulationen und Risikobewertungen sollten genutzt werden, um die Schulungsprogramme kontinuierlich zu verbessern.

Fazit

NIS-2 wird helfen, der Informationssicherheit in der Organisation mehr Gehör zu verschaffen und Budgets für Schulung von Führungskräften und Mitarbeitern bereitszustellen. Es ist davon auszugegehen, dass die strukturierte und risikobasierte Umsetzung bewusstseinsbildender Maßnahmen zu einer erhöhten Cyber-Resilienz führt und mittelfristig eine aktiv gelebtere Sicherheitskultur fördert.