MH - Fotolia
NIS2-Richtlinie: Sieben Tipps zur fristgerechten Umsetzung
Die NIS2-Richtlinie hebt die IT-Sicherheit auf ein neues Level und fordert viele Unternehmen heraus. Mit den folgenden Maßnahmen fällt es leichter, die neuen Vorgaben zu erfüllen.
Die neue europäische NIS2-Richtlinie (Network and Information Security) weitet Cybersicherheit auf sehr viele mittelständische Unternehmen aus. Gleichzeitig erhöht sich die Zahl der betroffenen Branchen stark – auf insgesamt 18. Allein in Deutschland müssen sich schätzungsweise 30.000 Firmen mit NIS2 auseinandersetzen. Dabei sind die grundsätzlichen Anforderungen der NIS2 weder neu noch wirklich überraschend.
Was NIS2 zum aktuellen Zeitpunkt kompliziert macht, ist das Fehlen von konkreten Vorgaben oder Benchmarks. Denn noch befindet sich das deutsche Gesetz zur Umsetzung – das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – im Referentenentwurf. Dabei ist der Stichtag für NIS2 bereits am 18. Oktober 2024. Allerdings müssen die meisten Unternehmen voraussichtlich erst drei Jahre später nachweisen, dass sie NIS2-konform sind. Wenn aber in diesem Zeitraum etwas passiert, etwa ein IT-Notfall, dann wird den Verantwortlichen sowohl die Versicherung als auch die Aufsichtsbehörde, die unter Umständen auch die Bußgelder verteilt, diese Nachlässigkeit vorwerfen und gegebenenfalls bestrafen.
Grundsätzlich gilt: Wer mehr als 50 Mitarbeitende und/oder einen Jahresumsatz beziehungsweise Jahresbilanzsumme größer 10 Millionen hat sowie zu einem der definierten Branchen gehört, fällt künftig unter NIS2. Zu den schon bekannten kritischen Sektoren wie Energie, Transport, Verkehr, Gesundheit oder Versorgung mit Trinkwasser kommen neu hinzu: die Finanzmarkt-Infrastruktur, Post und Kurierdienste, Ernährung und Anbieter von Erzeugnissen sowohl Lebensmittel als auch die chemische Industrie sowie Waren im Bereich Maschinenbau, Optik, Datenverarbeitung, Messgeräte, Medizinprodukte. Zusätzlich fallen auch Anbieter digitaler Dienste unter die NIS2, also Unternehmen, die in irgendeiner Weise Software herstellen und Dienstleistungen erbringen.
Übrigens: Die NIS2 nimmt die Chefetage in die Pflicht und verpflichtet also Vorstände und Geschäftsführende, sich persönlich um IT-Sicherheit zu kümmern. Auch eine Delegation innerhalb des Vorstandes ist nicht vollständig möglich, sodass gilt: Mitgefangen, mitgehangen.
Tipp 1: Mach es zu deinem Projekt
Wer ganz am Anfang steht, sollte zuerst ein Projekt zum Thema NIS2 aufsetzen. Für die Projektgruppe braucht es die Geschäftsleitung, den IT-Verantwortlichen sowie den IT-Sicherheitsverantwortlichen und alle Personen, die in dem Kontext relevant sind. Das sollte besser heute als morgen passieren, denn die Anforderungen sind so hoch, das kann keine Organisation nebenbei stemmen.
Tipp 2: Führe ein Information Security Management System (ISMS) ein
Innerhalb der NIS2-Umsetzung braucht es ein eigenes ISMS-Projekt. Hier geht es um die Einführung der ISO 27001. Dies gelingt aber in der Regel nur mit externer Unterstützung durch versierte Dienstleister. Aber dafür erhalten die Unternehmen auf Basis einer fundierten Analyse Klarheit, was zu tun ist. Im Rahmen dieses ISMS-Projektes sollte ein Unternehmen auch die Chance nutzen, sein Risikomanagement insgesamt zu verbessern.
Tipp 3: IT-Sicherheit
IT-Sicherheitstechnologien müssen dem aktuellen Stand der Technik entsprechen. Daher empfiehlt sich eine Bestandsaufnahme. Wer etwa das eigene Netzwerk noch nicht auf verdächtige Aktivitäten dauerhaft überwacht, sollte den Einsatz eines EDR-Systems (Endpoint Detection and Response) in Betracht ziehen. Denn die Erfahrung zeigt, dass viele Angriffe, die in der Vergangenheit große Schäden angerichtet haben, hätten verhindert werden können, wenn die in Logdateien gespeicherten Informationen sinnvoll ausgewertet worden wären. Auch hier macht die Zusammenarbeit mit einem spezialisierten Dienstleister Sinn, wenn er über die entsprechende Expertise verfügt.
Tipp 4: Stell die Sicherheit der Lieferkette sicher
Wer seine Lieferkette absichern will, muss diese erst einmal sortieren und sich einen Überblick verschaffen, wie sie überhaupt aussieht. Das allein nimmt schon Zeit in Anspruch. Der Einkauf kann da sicherlich helfen, schließlich ist er für die Abwicklung der Rechnungen für alle Lieferungen zuständig. Die Basis der Lieferanten bietet eine gute Übersicht zur Absicherung der Lieferkette. Hier sind Zertifikate der Lieferanten eine recht bequeme Option unter mehreren. Allerdings müssen Verantwortliche diesen Status immer wieder prüfen. Das ist keine einmalige Sache. Ein weiteres Problem: Nicht alles müssen Firmen bezahlen, wie etwa viele Open-Source-Software. Diese Produkte zu identifizieren, erfordert mehr Aufwand.
Tipp 5: Cybersicherheitszertifizierungen
Hier ist zuerst die Frage zu klären, ob das für ein Unternehmen als Anbieter oder als Käufer relevant ist. Also: Stelle ich oder mein Unternehmen ein Produkt her, das sicherheitszertifiziert sein muss oder habe ich die Pflicht, nur noch Produkte zu kaufen, die entsprechend zertifiziert sind? Nichtsdestotrotz sollte sich der Einkauf darauf vorbereiten und Unternehmen sollten vorab Schritte prüfen, was sie tun müssten, um eine entsprechende Sicherheitszertifizierung für ihre Produkte zu erhalten.
Zurzeit ist das Zertifizierungsschema der ENISA, der Agentur der Europäischen Union für Cybersicherheit, zu den Common Criteria am weitesten fortgeschritten. Dabei handelt es sich um einen international gültigen Standard, mit dessen Hilfe sich die Sicherheit von IT-Produkten nach allgemeinen Kriterien bewerten und prüfen lässt. Darüber hinaus ist ein Blick in den Cyber Resilience Act und die dortige Kategorisierung empfehlenswert. Das bietet eine Annäherung daran, wer von diesen Zertifizierungen betroffen sein könnte (siehe auch Cyber Resilience Act: Mehr Sicherheit für vernetzte Produkte).
„Wer unter die NIS2-Richtlinie fällt, sollte keine Zeit verlieren und sich eingehend mit den Vorgaben auseinandersetzen. Wer jetzt handelt, stärkt die IT-Sicherheit der eigenen Firma und investiert damit auch in deren Zukunftsfähigkeit.“
Stefan Karpenstein, G DATA CyberDefense
Tipp 6: Auf IT-Notfälle vorbereiten
Kurze Meldepflichten sind bereits aus der EU-Datenschutzgrundverordnung (DSGVO) bekannt. Dort sind 72 Stunden angesetzt. NIS2 zieht die Daumenschrauben noch ein paar Umdrehungen fester: Laut EU-Verordnung muss ein Betrieb innerhalb von 24 Stunden die Meldebehörde zumindest mit einer Mail über einen möglichen Cybervorfall informieren und 72 Stunden später bereits eine Bewertung des Vorfalls abgeben. Und nach einem Monat braucht es einen umfassenden Bericht. Ein Gespräch mit dem Datenschutzbeauftragten über deren Meldeprozess ist daher absolut empfehlenswert. Die Datenschutzbeauftragten mussten sich aufgrund der Vorgaben der DSGVO bereits eingehend mit Meldeprozesse befassen und können hier gegebenenfalls hilfreiche Einblicke und Best Practices teilen.
Unternehmen sind gut beraten, wenn sie sich bei der Bewältigung von IT-Sicherheitsvorfällen erfahrene Dienstleister an die Seite holen. Diese stoppen Angriffe effektiv und haben das notwendige Fachwissen, um eine forensische Analyse durchzuführen sowie die Systeme wieder so herzustellen, dass die Infektion beseitigt ist.
Tipp 7: Angestellte schulen
NIS2 fordert grundlegende Verfahren im Bereich der Cyberhygiene und Schulung von Mitarbeitenden. Gemeint sind damit Awareness Trainings für Angestellte, um deren Bewusstsein für Cybergefahren zu verbessern. Mitarbeitende spielen eine zentrale Rolle bei der IT-Sicherheit und können mit dem richtigen Verhalten Angriffsversuche frühzeitig erkennen und entsprechend verhindern.
Wer unter die NIS2-Richtlinie fällt, sollte keine Zeit verlieren und sich eingehend mit den Vorgaben auseinandersetzen. Wer jetzt handelt, stärkt die IT-Sicherheit der eigenen Firma und investiert damit auch in deren Zukunftsfähigkeit. Cyberkriminelle schlafen nicht. Sie nutzen jede Gelegenheit, um ein Unternehmen anzugreifen.
Über den Autor:
Stefan Karpenstein ist IT-Sicherheitsexperte bei G DATA CyberDefense.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.