Mag. (FH) Clemens Malt-Burian, MSc. HMP Beratungs GmbH
Im ersten Teil meines Blogbeitrags habe ich mich ausführlich mit der Herausforderung NIS-2 für betroffene Unternehmen auseinandergesetzt. In diesem zweiten Teil möchte ich Ihnen einen Weg aufzeigen, wie ein betroffenes Unternehmen die NIS-2 Anforderungen erreichen kann. Auch wenn die konkrete Ausgestaltung eines solchen Vorhabens sehr individuell ist, lassen sich dennoch bestimmte Phasen identifizieren, welche durchlaufen werden sollten. Ein solches „idealtypisches“ Vorgehensmodell stelle ich Ihnen nun vor.
Das Vorgehensmodell orientiert sich am PDCA-Zyklus (Plan-Do-Check-Act), und ist daher nicht als einmaliger Ablauf, sondern als iterativer Prozess zu verstehen. Dies ist auch schon die erste und wichtigste Erkenntnis – NIS-2 Compliance ist nicht durch ein einmaliges Projekt zu erreichen. Vielmehr handelt es sich um eine kontinuierliche Aufgabe, welche in einem entsprechenden Prozess verankert werden muss. Notabene ist es genau das, was die NIS-2 Richtlinie auch fordert. Dennoch kann das von mir vorgestellte Vorgehensmodell auch als Blaupause für ein initiales Projekt herangezogen werden – und in diesem Kontext möchte ich Ihnen das Modell auch vorstellen. Ein solches Projekt verfolgt dabei zwei Ziele: Zum einen soll ein erster, adäquater Security-Reifegrad erreicht werden, welcher die NIS-2 Anforderungen im besten Fall schon erfüllt. Zum anderen geht es aber auch darum, einen Prozess zu entwickeln und zu institutionalisieren, nach dem die Cybersecurity in einem Unternehmen kontinuierlich verbessert und an die fortschreitende Bedrohungslage angepasst werden kann.