Die europäische NIS-2-Richtlinie betrifft weit mehr Unternehmen, als es auf den ersten Blick scheint. Selbst wenn Ihr Betrieb (z. B. im Bereich Metallverarbeitung, Logistik oder Handwerk in der Region Ulm/Neu-Ulm) aufgrund der Mitarbeiterzahl oder des Umsatzes nicht direkt unter das Gesetz fällt, geraten Sie als Zulieferer in den Fokus. Große Partner (wie Bosch, Liebherr oder Magirus) müssen ihre gesamte Lieferkette absichern und fordern ab sofort strenge IT-Sicherheitsnachweise von ihren Partnern. Wer diese nicht liefert, riskiert den Verlust von Lieferverträgen.
Warum Zulieferer jetzt handeln müssen
Großkonzerne sind gesetzlich verpflichtet, das Risiko durch Zulieferer zu minimieren. Sie versenden daher detaillierte Fragebögen zu Ihrer IT-Sicherheit. Typische Fragen betreffen:
- Wie schützen Sie Passwörter und Benutzerkonten?
- Sind Ihre Backups vor Ransomware (Erpressungs-Trojanern) geschützt?
- Wie reagieren Sie, wenn ein Mitarbeiter auf einen Phishing-Link klickt?
Wer hier keine klaren Antworten und Nachweise liefern kann, wird bei zukünftigen Ausschreibungen aussortiert. IT-Sicherheit ist somit kein Kostenfaktor mehr, sondern eine absolute **Voraussetzung für Ihren Geschäftserfolg**.
Die 3 wichtigsten Schritte zur NIS-2-Konformität
- Risikoanalyse durchführen: Wo liegen die kritischen Daten Ihres Betriebs (CAD-Zeichnungen, Kundendaten, ERP-System)?
- Sicherheits-Standard etablieren: Führen Sie grundlegende Sicherheitsmaßnahmen ein (z. B. Orientierung an VDS 10000 oder IT-Grundschutz des BSI).
- Mitarbeiter schulen: Der Mensch ist das häufigste Einfallstor. Regelmäßige, kurze Schulungen zu Phishing-Gefahren sind Pflicht.
🛠️ Technische Kontrollen für IT-Verantwortliche
Um die Vorgaben Ihrer Kunden technisch zu belegen, müssen folgende vier Kernkomponenten in Ihrer Infrastruktur implementiert sein:
1. Konsequente Multi-Faktor-Authentifizierung (MFA)
MFA muss für alle externen Zugriffe (VPN, Microsoft 365, Mail-Postfächer) und administrative Konten erzwungen werden. Standard-Passwörter sind unzulässig.
# Beispiel: Erwerb und Zuweisung von MFA-Conditional Access Policies in M365 - Zugriff von nicht vertrauenswürdigen Standorten erfordert MFA - Legacy Authentication (IMAP/POP3) vollständig deaktivieren
2. Ransomware-sichere Backups (Immutable Backups)
Backups müssen physisch oder logisch getrennt aufbewahrt werden (3-2-1-Backup-Regel). Bei Ransomware-Befall darf der Trojaner nicht in der Lage sein, die Backups zu löschen. Dies wird erreicht durch:
- Lokale Backups mit Write-Once-Read-Many (WORM) Sperre (z. B. auf einem gehärteten Linux-Repository).
- Regelmäßige Offline-Backups (Air-Gapped).
- Tägliche Überprüfung der Wiederherstellbarkeit (Restore-Tests).
3. Patch- & Schwachstellenmanagement
Sicherheitsupdates für Betriebssysteme (Windows, Linux, macOS) und kritische Netzwerkgeräte (Firewall, Router) müssen automatisiert innerhalb definierter Fristen eingespielt werden. Sicherheitsrelevante Patches (Critical CVSS > 8.0) sollten innerhalb von 72 Stunden installiert werden.
4. Vorbereiteter Incident-Response-Prozess
Erstellen Sie ein einfaches Dokument, das festlegt, was im Ernstfall zu tun ist: Wer muss benachrichtigt werden? Wie werden betroffene Systeme vom Netzwerk isoliert? Wie erfolgt die Meldung an Behörden und Kunden?
Haben Sie einen Fragebogen Ihres Großkunden erhalten? Wir gehen diesen mit Ihnen durch, decken Lücken auf und setzen die geforderten technischen Maßnahmen schnell und rechtssicher um.
Haben Sie Fragen zu diesem Thema?
Wir unterstützen kleine und mittelständische Unternehmen bei der Absicherung, Cloud-Migration und gesamten IT-Betreuung.