Die Wirtschaftsschutz-Studie 2024 des Digitalverbands Bitkom geht davon aus, dass deutschen Unternehmen durch Cyberattacken im Jahr 2024 ein Schaden von insgesamt 178,6 Milliarden Euro entstanden ist. Die Regulierung auf europäischer Ebene dient dem Schutz unserer Infrastruktur und unserer Wirtschaft. Aktuell bereiten sich zahlreiche Unternehmen auf die Umsetzung der schon 2022 von den Europäischen Gremien verabschiedeten NIS-2-Richtlinie vor (NIS steht für Network and Information Security). Sie sollte bis Oktober 2024 in allen Mitgliedsstaaten in nationales Recht umgesetzt werden, um kritische Infrastrukturen vor Cyberrisiken zu schützen. Jörg Hesselink kennt die Herausforderungen der Unternehmen und ist überzeugt: „In Deutschland zählen nach den neuen Definitionen ungefähr 30.000 Unternehmen als kritisch. Viele davon sind noch nicht ausreichend vorbereitet auf die umfangreichen Anforderungen von NIS-2. Die Verzögerung bei der Umsetzung des Gesetzes ist die Chance für Unternehmen, sich systematisch vorzubereiten. Wer die folgenden vier Schritte geht und intelligente Lösungen nutzt, verschafft sich einen enormen Vorteil.“

Erster Schritt Bestandsaufnahme
Die Praxis zeigt, dass Audits vor allem an drei Kernproblemen scheitern: unzureichend geführte Benutzerzugriffslisten, veraltete Sicherheitsrichtlinien oder die fehlende Transparenz über die tatsächlich vorhandenen IT-Ressourcen. Um die Informationen zentral zu sammeln, lohnen sich softwaregestützte Lösungen. In Rechenzentren ermöglichen Data Center Infrastruktur Management (DCIM)-Systeme einen ganzheitlichen Blick auf die Bereiche Gebäude, IT-Infrastruktur und Energie.  Der gesamte Lebenszyklus von IT-Geräten und Software-Lizenzen lässt sich mit IT Assetmanagement (ITAM) -Systemen erfassen und verwalten. Jörg Hesselink hat hier ein einfaches Motto: „Sie können nur das optimieren und schützen, was Sie kennen. ITAM ist gerade in Hinblick auf die Cybersicherheit eine zentrale Komponente. Wer das Risiko von Compliance-Lücken dauerhaft minimieren möchte, kommt nicht umhin, die benötigten Informationen zentral und automatisiert erfassen.“

Zweiter Schritt Automatisierung der Prozesse

Die benötigten Dokumente manuell zu erstellen, ist ebenso zeitaufwändig und fehleranfällig wie die manuelle Kontrolle der Compliance. Hier empfiehlt es sich, möglichst viele Prozesse zu automatisieren. Als Best Practice kristallisieren sich vor allem drei Bereiche heraus: Automatisierte Sicherheitsanalysen mit speziellen Softwarekomponenten ermöglichen es, Risiken identifizieren, bevor Inspektoren sie entdecken. Zentrale Plattformen zur Audit-Dokumentation stellen einen schnellen Zugriff auf relevante Unterlagen sicher. Hier setzt der Experte auf moderne Technologie: „KI-Systeme erlauben es, Unregelmäßigkeiten zu erkennen und das Datenmanagement zu optimieren“, so Jörg Hesselink. „Wer von Anfang an auf intelligente Plattformen zur Automatisierung der Compliance-Prozesse setzt, spart Zeit und minimiert Risiken.“

Dritter Schritt kontinuierliche Überwachung

Audits sollten nicht als einmaliges Ereignis betrachtet werden. Es geht am Ende nicht um eine formale Bestätigung, sondern um den dauerhaften Schutz der eigenen Infrastruktur. Ein kontinuierliches Monitoring sorgt dafür, Probleme und Sicherheitslücken rechtzeitig zu erkennen. Automatisierte Warnsysteme und Dashboards beugen Verstößen proaktiv vor. Regelmäßige interne Audits decken Unstimmigkeiten auf und prüfen, ob Prozessanpassungen den gewünschten Effekt erzielen. Eine zentrale Plattform für Monitoring und Reporting stellt eine strukturierte Dokumentation sicher und ermöglicht es, Compliance-Prozesse zu optimieren.

Vierter Schritt regelmäßige, zeitgemäße Schulungen

IT-Systeme und Sicherheitsbedrohungen ändern sich rasant. Regelmäßige Schulungen zu Cybersicherheit, Datenschutz und Zugriffskontrolle für die Mitarbeitenden sind essenziell. Selbst die besten IT-Systeme können mangelndes Wissen oder ein schleichendes Nachlassen der Sorgfalt nicht ausgleichen. Praktische Simulationen wie Phishing-Tests sensibilisieren die Teams und reduzieren Sicherheitsvorfälle. Auch hier können moderne Technologien unterstützen. E-Learning-Plattformen oder computerspielähnliche Sicherheitstrainings (Quiz, Angriffssimulationen) werden häufig als effizient und kurzweilig empfunden. Geschulte Mitarbeitende sind die erste Verteidigungslinie gegen Cyberbedrohungen. Es lohnt sich, in adäquate Trainingsmethoden zu investieren.

Fazit: Strategisches Vorgehen wird belohnt

Die Verzögerung bei der Umsetzung der NIS-2-Richtlinie bietet Unternehmen die Chance, sich strukturiert auf die Regularien vorzubereiten. Es ist dabei unerlässlich, die korrekten Daten als Ausgangsbasis für alle weiteren Schritte in einem ITAM-System zu erfassen. Jörg Hesselink erklärt: „Selbst wenn Unternehmen schon ein solches System nutzen, lohnt es sich, dessen Reifegrad zu prüfen.“ DC Smarter hat dazu ein Bewertungssystem entwickelt, das online zur Verfügung steht. In nur zwei Minuten erhalten Unternehmen eine kostenfreie ITAM Benchmark Analyse. Moderne ITAM-Lösungen lassen sich mit technischen Konzepten wie dem digitalen Zwilling, Technologien wie Augmented Reality und Künstlicher Intelligenz optimieren. Basierend auf korrekten und vollständigen Daten sorgt anschließend die Kombination aus Technologien, Prozessen und Schulungen für eine dauerhafte Compliance.