NIS-2-Richtlinie und Aufbau eines ISMS: Ein Erfahrungsbericht aus der Praxis
Frank Wagner Holding GmbH
NIS-2-Richtlinie und Aufbau eines ISMS: Ein Erfahrungsbericht aus der Praxis
Die NIS-2-Richtlinie stellt neue Anforderungen an die IT-Sicherheit vieler Unternehmen und öffentlicher Einrichtungen in der EU. Doch auch Unternehmen, die nicht direkt betroffen sind, können von den Grundsätzen der NIS-2 profitieren – so wie die Frank Wagner Holding GmbH in Hamburg, die freiwillig Maßnahmen aus der Richtlinie implementiert und dabei ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 einführt. Im Interview erläutert Arne Quante, Leiter der IT-Abteilung, warum sich sein Team mit der Richtlinie auseinandersetzt und welche konkreten Schritte sie auf dem Weg zum ISMS gegangen sind.
Die Frank Wagner Holding GmbH ist ein inhabergeführtes mittelständisches Unternehmen mit Sitz in Hamburg und beschäftigt rund 1.200 Mitarbeitende an neun Standorten. Das Unternehmen bietet stationäre Langzeitpflege, betreutes Wohnen, ambulante Pflege sowie Tagespflege an. Obwohl der Fokus klar auf Dienstleistungen im Pflegebereich liegt und die NIS-2-Richtlinie somit nicht unmittelbar auf das Unternehmen zutrifft, sieht Quante den Mehrwert, sich freiwillig an den hohen Standards der Richtlinie zu orientieren.
Welche Rolle spielt die NIS-2-Richtlinie?
Obwohl die NIS-2-Richtlinie explizit Gesundheitseinrichtungen in der Pflege ausnimmt, erklärt Quante: „Wir nutzen die Anforderungen der NIS-2-Richtlinie als Orientierungsrahmen. IT-Sicherheitsmaßnahmen, die durch die DSGVO vorgeschrieben sind, oder die Fürsorgepflichten gegenüber unseren Bewohnerinnen und Bewohnern sowie Mitarbeitenden gehen für uns Hand in Hand mit der NIS-2 und ergänzen die notwendigen Sicherheitsstandards.“ Somit legt das Unternehmen auch ohne formelle Vorgabe Wert auf ein hohes Sicherheitsniveau und schützt seine Geschäftsprozesse proaktiv vor Risiken wie Cyberangriffen und Betriebsausfällen.
Der Aufbau eines ISMS: Von der Idee zur Umsetzung
Um den Sicherheitsanforderungen gerecht zu werden und strukturiert zu dokumentieren, hat das Unternehmen die NIS-2-Richtlinie als Anlass genommen, ein ISMS nach DIN/ISO 27001 zu implementieren. Quante, zertifizierter Lead Auditor für ISO 27001, betont die Vorteile eines solchen Systems: „Das ISMS schützt sensible Daten, erfüllt Compliance-Anforderungen, stabilisiert Geschäftsprozesse und verbessert das Risikomanagement.“
"Für uns ist die NIS-2-Richtlinie ein wichtiger Orientierungsrahmen und die darin genannten Anforderungen gelten für uns ja eigentlich ohne hin"
Ziele und Ergebnisse
Am Ende des Projekts soll ein funktionierendes und zertifizierbares ISMS stehen, dass gegebenenfalls durch die spezifischen Anforderungen der NIS-2 erweitert wird. „Unser Ziel ist ein robustes ISMS, dass unseren Mitarbeitenden Sicherheit gibt und eine wertvolle Grundlage für die zukünftige Entwicklung unserer IT-Landschaft bildet,“ betont Quante.
Herausforderungen und Projektteam
Der Aufbau eines ISMS fordert Ressourcen, insbesondere Zeit. Die Umsetzung wird maßgeblich vom IT-Team getragen, doch auch die Geschäftsführung, Rechtsabteilung und das Qualitätsmanagement wurden zu Beginn des Projekts eingebunden. Langfristig gesehen sieht Quante die Investition als lohnend: „Ein ISMS ist eher ein Marathon als ein Sprint.“
Nochmal in Ruhe nachlesen?
Um Ihnen ein komfortableres Lesen und Speichern unserer Inhalte zu ermöglichen, bieten wir alle wichtigen Informationen und Artikel auch als PDF-Download an. Die PDFs können bequem auf Ihrem Gerät gespeichert und jederzeit, auch offline, gelesen werden. Darüber hinaus lassen sich die Dokumente einfach mit anderen Personen teilen. Bewahren Sie die Inhalte übersichtlich in Ihrem digitalen Archiv auf und genießen Sie das bequeme Lesen unserer Artikel.
Fazit
Die Einführung eines ISMS im Einklang mit der NIS-2-Richtlinie zeigt, dass Unternehmen durch proaktive Maßnahmen ihre Sicherheitsstandards stärken und nachhaltige Vorteile erzielen können – selbst, wenn sie nicht direkt betroffen sind. Ein ISMS sichert nicht nur sensible Daten und stärkt das Risikomanagement, sondern sorgt für kontinuierliche Prozessverbesserungen und schafft Vertrauen bei Kunden und Mitarbeitenden.
Erfahren Sie hier mehr zur NIS-2-Richtlinie und wie unsere Dienstleistungen Ihnen bei der Umsetzung eines ISMS helfen können.
Sie möchten unsere nächste Case Study werden?
Kontaktieren Sie uns gerne. Unsere Experten stehen Ihnen jederzeit zur Verfügung. Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen.