Betroffene Unternehmen müssen die durch das Gesetz geforderten Maßnahmen bis Mai 2023 umsetzen, bei Verfehlungen drohen anderenfalls Bußgelder von bis zu 500.000 Euro. Genug Zeit, um den Auflagen nachzukommen. Wer aber die eigene Resilienz nennenswert steigern will, muss über den gesetzlichen Anforderungskatalog blicken und Maßnahmen zur Vorfallbehandlung, Lieferkettenabsicherung sowie Detektion und Überwachung aufbauen. Dies ist mit Blick auf die Änderungshistorie des IT-Sicherheitsgesetztes auch ratsam, da die Anforderungen und der Kreis der Betroffenen kontinuierlich erweitert wurden. Also auch, wenn Unternehmen im besonderen öffentlichen Interesse derzeit kritisch, aber nicht KRITIS sind, darf durchaus vermutet werden, dass es auch hier mit der nächsten Iteration zu weitergehenden Anforderungen kommen wird. Â
Um der Komplexität und Fülle, auch betriebswirtschaftlich, adäquat begegnen zu können, sollten Unternehmen gemeinsam mit externer Expertise Sicherheitsstrategien entwickeln. Die Ausgestaltung von Sicherheitsmaßnahmen variiert stark in ihrer Art, aber auch in ihrem Umfang sowie hinsichtlich der Kosten. Daher sollten sämtliche Anstrengungen stets im Kontext der Gesamtstrategie betrachtet und auf das Unternehmen hin angepasst werden.Â
Bereits im Vorfeld sollten Maßnahmen eingeleitet werden, um die Sicherheit auf das notwendige Maß anzuheben, diese über die gesamten Prozesskette hinweg sicherzustellen und regelmäßig zu überprüfen. Für den Fall der Fälle sollten Prozesse und Zuständigkeiten festgelegt werden und auch regelmäßig geprobt werden. Darüber hinaus gilt es, geeignete IT-Lösungen zur Unterstützung die Prozesse, zu etablieren. So können z.B. Intrusion Detection Systeme (IDS) Anomalien im Datenstrom detektieren, Security Information and Event Management Systeme (SIEM) bei der Sammlung und Auswertung von Logdateien helfen und Extended Detection & Response (XDR) Lösungen eine aktive Rolle in der Behandlung von Sicherheitsvorfällen einnehmen.Â