Der Begriff NIS-2 ist derzeit allgegenwärtig und wird intensiv diskutiert. Nicht selten fühlt man sich an das Jahr 2018 erinnert, als die DSGVO in Kraft trat und viele Unternehmen hektisch reagierten. Umso erfreulicher ist es, dass die VdS Schadenverhütung GmbH (VdS) einen pragmatischen Weg einschlägt und seit einiger Zeit an einer spezifischen Richtlinie arbeitet. Die VdS 10100.
Die Besonderheit der VdS-10100-Richtlinie liegt in ihrem praxisnahen, ganzheitlichen Ansatz, der zeigt, wie die Anforderungen der NIS-2 sinnvoll erfüllt werden können. Das ist eine gute Nachricht für Unternehmen und Organisationen, die nach einer möglichst praktikablen und ressourcenschonenden Umsetzung der NIS-2 suchen.
Die VdS 10100 kann zudem extern auditiert werden und bietet damit eine zertifizierbare Möglichkeit, die Umsetzung der NIS‑2‑Anforderungen nachzuweisen.
Die Grundlage, auf der die VdS 10100 aufbaut, ist die bewährte VdS-10000-Richtlinie. Nach dieser Richtlinie beraten wir von der SIEVERS-GROUP seit Jahren zahlreiche Kunden. Dies lässt sich durch die erfolgreichen Zertifizierungen bestätigen.
Es ist hervorzuheben, dass beide VdS-Richtlinien voll aufwärtskompatibel zur ISO27001 oder dem BSI-Grundschutz sind und somit einen sinnvollen Start in den Aufbau und Betrieb eines ISMS (Information Security Management System) darstellen.
Wer sich bereits mit strategischer Informationssicherheit im Unternehmen und dem Betrieb oder Aufbau eines ISMS beschäftigt, deckt wahrscheinlich bereits einen Teil der Anforderungen der NIS-2 ab. Jedoch setzt die NIS-2 und damit auch die VdS 10100 weitere Maßnahmen voraus. Die Umsetzung sollte gut geplant und frühzeitig begonnen werden. Die Themenfelder, die von der NIS-2 über denen eines regulären ISMS nach VdS 10000 betrachtet werden müssen, sind u.a. folgende:
Risikomanagement von der Analyse bis zur Behandlung
Identifizierung und Bewertung der Risiken für die Informationssicherheit
Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu Risikominderung nach dem Stand der Technik
Bewältigung von Krisen, Sicherheitsvorfällen und dem Wiederanlauf des Betriebs nach einem Notfall
Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren
Sicherheit der Lieferkette
Definition von Schutzkategorien für IT-Ressourcen
Erweiterte Anforderungen und Auflagen an das Topmanagement
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierung, Notfallkommunikationssysteme
Wobei der Fokus auf der risikobasierten Herangehensweise zur Identifizierung und Priorisierung liegt. Das Risikomanagement sollte so aufgebaut und betrieben werden, dass es als Enabler und Hilfsmittel gesehen und nicht als lästiges Übel wahrgenommen wird.
Die VdS 10100 befindet sich noch in Bearbeitung und wird sicherlich noch Änderungen erfahren. Mit einer Veröffentlichung durch die VdS ist zeitnah zu rechnen.
Deshalb unser Tipp an Sie – Sie sollten sich jetzt klar machen, ob Sie von der NIS-2 betroffen sind, wie ihr aktuelles Schutzniveau aussieht und welche Maßnahmen noch umzusetzen sind.
Am Ende sei noch gesagt, dass es bei NIS‑2 und der VdS 10100 nicht um das bloße Abhaken von Vorgaben geht, sondern um echten, spürbaren Schutz Ihrer Organisation vor Cybergefahren. Eine pragmatische, risikobasierte Umsetzung schafft Resilienz, verkürzt Reaktionszeiten und sichert den Geschäftsbetrieb – Tag für Tag. Mit klaren Prozessen, wirksamen Maßnahmen und gelebter Verantwortung im Topmanagement entsteht der praktische Mehrwert: Ruhig schlafen trotz Cybergefahren.
Oder kurz gesagt: Compliance ist das Ergebnis – der Nutzen ist Sicherheit.
