ISMS-Einführung
Systematisches Vorgehen beim IT-Sicherheitsgesetz
- Ab einem Schwellenwert von 500.000 zu versorgenden Personen unterliegen Unternehmen dem IT-Sicherheitsgesetz. Die Zahl wird schnell erreicht.
- Die Einführung eines ISMS dauert ein Jahr bis 18 Monate.
- Erleichtert wird die ISMS-Einführung, wenn es eine durchgängige IT- oder Sicherheitsverantwortung gibt – einen CIO oder CISO.
Deutschlandweit sind etwa 2000 Unternehmen direkt von dem neuen IT-SicherheitsgesetzIT-Sicherheitsgesetz (IT-SiG) betroffen. Dazu zählen Energieversorger und Telekommunikationsunternehmen, aber auch Lebensmittelhersteller und Transport- und Logistikunternehmen, bei denen ein Ausfall der IT-Systeme zu nachhaltig wirkenden Versorgungsengpässen oder Störungen der öffentlichen Sicherheit führen kann. Alles zu Security auf CIO.de
Nachweis nach zwei Jahren ist Pflicht
Betroffene Unternehmen müssen unter anderem innerhalb von zwei Jahren nach Inkrafttreten der Rechtsverordnung für ihre Branche angemessene organisatorische und technische Sicherheitsmaßnahmen, zum Beispiel durch ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 vorweisen. Die Funktionsfunktionsfähigkeit des ISMS muss etwa durch eine Zertifizierung bestätigt sein.
In der Rechtsverordnung sind Schwellenwerte festgelegt, ab denen ein Unternehmen von dem neuen Gesetz betroffen ist. Für die Branchen ErnährungErnährung, EnergieEnergie, Wasser, IT und Telekommunikation wurde die Rechtsverordnung im Mai 2016 veröffentlicht. Für TransportTransport & Verkehr, GesundheitGesundheit, FinanzenFinanzen und VersicherungenVersicherungen wird sie im Frühjahr 2017 erwartet. Auch in diesen Branchen wird der Schwellenwert von 500.000 zu versorgenden Personen gelten. Top-Firmen der Branche Energie u. Rohstoffe Top-Firmen der Branche Finanzen Top-Firmen der Branche Gesundheit Top-Firmen der Branche Nahrungsmittel Top-Firmen der Branche Transport Top-Firmen der Branche Versicherungen
Die meisten Unternehmen sind im Verzug
Aus zahlreichen Gesprächen mit IT-Managern geht hervor: Viele Unternehmen sind bei der Einführung des ISMS in Verzug und dafür gibt es mehrere Gründe. So unterschätzen einige Branchen, zum Beispiel Lebensmittelhändler, die Bedeutung ihrer IT-Sicherheit, weil sie ja "nur Nahrungsmittel verteilen oder verkaufen". Automobilhersteller und -zulieferer haben oftmals nicht im Fokus, dass moderne Fahrzeuge über ihre Software direkt manipuliert werden können, wodurch wiederum schnell 500.000 Personen betroffen sein können gravierende.
Auch im Gesundheitsbereich haben sich zahlreiche Firmen noch nicht mit den Auswirkungen des Gesetzes befasst. Wieder andere Unternehmen sind überzeugt davon, dass sie die Schwellenwerte nicht erfüllen, weil sie in der Vergangenheit weniger produziert oder geliefert haben.
- Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind. - Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen. - Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben. - Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern. - Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind. - Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat. - Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko. - Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen. - Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen. - Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.
Es gilt jedoch die Menge, die für das Jahr 2017 beziehungsweise 2018 zu erwarten ist. Auch bei Akquisitionen sollte daher geprüft werden, ob durch den geplanten Merger die Schwellenwerte überschritten werden. Das kann dazu führen, dass die Akquisition sich evtl. nicht mehr rechnet, da die Kosten für ein ISMS schnell in Millionenhöhe steigen können.