Skip to main content

11.10.2024 | Cyber-Sicherheit | Gastbeitrag | Online-Artikel

Vorsicht ist die Mutter der Porzellankiste

verfasst von: Jens Künne

7 Min. Lesedauer

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
print
DRUCKEN
insite
SUCHEN
loading …

Die NIS-2-Verordnung ist in aller Munde, denn sie legt Mindeststandards für die Informationssicherheit bei Betreibern kritischer Infrastrukturen fest. Damit erhöht sie auch die Sicherheitsanforderungen für Unternehmen, die von der ersten NIS-Richtlinie nicht betroffen waren. Um die neuen Anforderungen zu erfüllen, bleibt zudem nicht mehr viel Zeit.

Noch in diesem Jahr kommen vermutlich viele neue Regularien auf die deutsche Wirtschaft zu. Wer sich jetzt darum kümmert, ist gesetzlich auf der sicheren Seite und klar im Vorteil. Geändert haben sich vor allem der Kreis der Betroffenen und die deutlich anspruchsvolleren Verpflichtungen. Die Verordnung legt nun einen viel strengeren rechtlichen Rahmen fest. NIS-2 erweitert damit die vorherige NIS-Richtlinie und berücksichtigt die sich ständig weiterentwickelnde digitale Landschaft und die zunehmenden Cybersicherheitsrisiken. Diese Entwicklung erfordert eine Neuausrichtung vor allem für den Mittelstand und eine gezielte Anpassung an die veränderten Rahmenbedingungen. Die NIS-2-Verordnung betrifft nun verschiedenste Organisationen in der EU, insbesondere kritische Infrastrukturen (KRITIS) und digitale Dienstleister.

Die kritischen Einrichtungen (Essential Entities) werden auf elf Sektoren erhöht. Zu den wichtigen Einrichtungen (Important Entities) zählen nun sieben Sektoren. Die insgesamt 18 Sektoren umfassen damit Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff, Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von ITK-Diensten, öffentliche Verwaltung und Weltraum. Mittlere und große Unternehmen ab 50 Mitarbeitern beziehungsweise 10 Millionen Euro Umsatz müssen sich an die Verordnung halten. Manche Einrichtungen sind sogar unabhängig von der Größe betroffen, wie Teile der digitalen Infrastruktur und die öffentliche Verwaltung.

Konkret bedeutet das: Allein in Deutschland werden ungefähr 30.000 Unternehmen von der neuen EU-Richtlinie ab Oktober 2024 in die Pflicht genommen. Dazu zählen die Betreiber kritischer Anlagen oder auch Essential Entities und Important Entities je nach Größe. Hier gibt es zwei Möglichkeiten: erstens mittlere Unternehmen mit 50 bis 249 Mitarbeitern und einem Umsatz von weniger als 50 Millionen Euro (oder einer Bilanz von weniger als 43 Millionen Euro) oder große Unternehmen mit mehr als 250 Mitarbeitern und einem Umsatz von mehr als 50 Millionen Euro (oder einer Bilanz von mehr als 43 Millionen Euro). Gehört das Unternehmen also zu den KRITIS, den Essential oder Important Entities und hat mehr als 50 Angestellte, dann sollte es sich bis zum 17. Oktober 2024 NIS-2-ready machen. Auch kleine Unternehmen, die in die Kriterien zur Einordnung "wichtiger" und "besonders wichtiger" Einrichtungen fallen, können von der neuen Richtlinie betroffen sein – besonders dann, wenn diese als Dienstleister oder Lieferant für NIS-2-pflichtige Großunternehmen tätig sind.

Cyberangriffe müssen schnell gemeldet werden

Die generellen Anforderungen an die Cybersicherheit von Einrichtungen und Mitgliedstaaten wurden ebenfalls erhöht und beziehen jetzt beispielsweise auch die Lieferketten mit ein. Denn alle Netzwerke, Informationssysteme und die physischen Umgebungen dieser Systeme sollen vor Sicherheitsvorfällen gefeit sein. Deswegen verlangt die NIS-2 mehr von Unternehmen und Organisationen. Sicherheitsvorfälle und Cyberangriffe müssen bei Betreibern wesentlicher Dienste beispielsweise innerhalb von 24 Stunden gemeldet werden. Risikomanagement-Verfahren müssen implementiert werden, um Schwachstellen zu identifizieren, Risiken zu bewerten und angemessene Schutzmaßnahmen zu ergreifen. Zudem sind regelmäßige Sicherheitsaudits und Penetrationstests erforderlich, um die Wirksamkeit der Sicherheitsmaßnahmen zu gewährleisten.

Weitere Auflagen: Es muss ein funktionierendes Vorfallsmanagement existieren, die Aufrechterhaltung des Betriebs (Business Continuity) muss gewährleistet werden, die Sicherheit der Lieferkette (Supply Chain Security) muss garantiert werden, das Management von Anlagen (Asset Management) muss nachgewiesen werden und Dokumentationspflichten müssen eingehalten werden. Zusätzlich werden Schulungen und Trainings zum Thema "Sicherheit" verpflichtend. Eine weitere Neuerung: EU-weit wird die Zusammenarbeit verbessert, insbesondere zwischen nationalen Behörden und Einrichtungen oder im Hinblick auf die europäische Jurisdiktion. Sanktionen bei Verstößen gegen die Richtlinie werden deutlich erhöht – auf Maximalstrafen von mindestens 7 oder 10 Millionen Euro oder globalem Umsatz, je nach Sektor. National kann die Regelung leicht hiervon abweichen. Mit einem strukturierten Ansatz ist die Einhaltung der NIS-2-Regularien dennoch kein Problem, zum Beispiel mit folgendem ganz konkreten Zwölf-Schritte-Plan.

1. Informationssicherheit organisieren: Zuerst sollten Unternehmen die Grundlagen legen. Sensible Informationen müssen vor Bedrohungen, Datenverlust und unbefugtem Zugriff geschützt werden. Etablierte Prozesse, Richtlinien und Maßnahmen sollten dafür unter die Lupe genommen werden. Dazu gehören unter anderem die Zuweisung von Verantwortlichkeiten, die Erstellung und Umsetzung von Sicherheitsrichtlinien und die kontinuierliche Überwachung und Verbesserung der Sicherheitspraktiken.

2. Zugriffe und Zugänge regeln: Zum soliden Basisschutz gehört auch die Überprüfung der Zugänge und Zugriffe sowie Vorgaben für Kryptografie und – wo möglich – Verschlüsselung. Sind die richtigen Personen mit den spezifischen Berechtigungen versehen? Eine optimierte Verwaltung der Benutzerkonten muss her. Passwortrichtlinien müssen etabliert, eine Multi-Faktor-Authentifizierung oder Single Sign-On (SSO) eingeführt und eine Kontrolle und ein Protokoll der Zugriffe müssen eingerichtet werden.

3. Notfall-Management entwickeln: In Schritt 3 geht es um die Prävention, Detektion und Bewältigung von Cybervorfällen. Deswegen spielt man an diesem Punkt der Vorbereitung mal den Ernstfall durch: Klare Kriterien für Störungen und Ausfälle werden definiert, diese priorisiert und ein Protokoll aller Vorfälle festgehalten.

4. Einkauf kontrollieren: Hier geht es um die Gewährleistung der Sicherheit bei der Beschaffung von IT- und Netzwerksystemen. Woher kommt was? Wie vertrauenswürdig ist der Hersteller? Die Schuld kann jetzt nicht mehr abgewälzt werden. Betroffene Unternehmen stehen in der Pflicht, die Sicherheit bereits beim Einkauf zu prüfen.

5. Controlling durchführen: Sicherheitsmaßnahmen einzuführen, reicht nicht. Es müssen Vorgaben zur Messung der Effektivität von Cyber- und Risikomaßnahmen her. Wer bis hierhin gekommen ist, sollte den Standard halten: Sämtliche Sicherheitsmaßnahmen müssen regelmäßig aktualisiert werden, indem man sie überprüft und Feedback einholt.

6. Lieferkette sichern: Die Sicherheit und Nachvollziehbarkeit der Lieferketten muss gewährleistet sein – das ist neu bei der NIS-2. Indem man Schlüssellieferanten und Dienstleister identifiziert, regelmäßige Audits durchführt und robuste Sicherheitsprotokolle implementiert, kann man diese Anforderung erfüllen.

7. Business Continuity gewährleisten: Das Kerngeschäft muss störungsfrei laufen. Mit einem Business-Continuity-Management, welches Backup-Management, Disaster Recovery (DR) und Krisenmanagement umfasst, sichert man es ab. Man bereitet sich auf Ausfälle und Sicherheitsvorfälle vor, indem man regelmäßig Daten und Systeme sichert, Backups an sicheren Orten speichert und periodische Wiederherstellungstests durchführt.

8. IT-Asset-Management implementieren: Durch das IT-Asset-Management wird sichergestellt, dass materielle und immaterielle Werte einer Organisation erfasst, bereitgestellt, gewartet, geupdatet und schließlich entsorgt werden. IT-Assets umfassen dabei Hardware, Software-Systeme oder Informationen, die für ein Unternehmen von Wert sind. Denn auch hier können Sicherheitslücken entstehen – ganz abgesehen von ungenutzten Artefakten und damit verschwendeten Unternehmenswerten.

9. Notfallmanagement etablieren und testen: Nun weiß man, was passieren könnte, und plant für den Fall der Fälle. Notfallmanagement-Richtlinien müssen jetzt implementiert werden und nicht erst, wenn es zu spät ist. Auch wichtig: eine Schlüsselpersonen zu identifizieren, in Kenntnis zu setzen und regelmäßige Notfallübungen durchzuführen. So ist die Kommunikation im Notfall gesichert und die Protokolle können störungsfrei anlaufen.

10. Kommunikation überprüfen: In puncto Kommunikation setzt die NIS-2 auch auf die Absicherung der Kommunikationskanäle. Unternehmen müssen gewährleisten, dass ausschließlich geprüfte und abgesicherte Sprach-, Video- und Textkommunikationsmittel genutzt werden.

11. Training anbieten: Auch Schulungen, Audits und Trainings stehen jetzt fest auf dem Plan der Verordnung. Das Bewusstsein für Sicherheitsrisiken ist oft mangelhaft und die Sicherheitslücke "Mensch" ein großes Risiko. Regelmäßige Awareness-Schulungen und Transparenz wirken dem entgegen.

12. NIS-2-Frist einhalten: Im Oktober ist es aller Voraussicht nach so weit. Und selbst wenn sich bis dahin Verzögerungen ergeben, sollte man die gesetzlichen Fristen einhalten. Bei Verstößen drohen immerhin saftige Strafen. Wichtig ist ein konkreter Plan. Denn viele eigentlich unqualifizierte Dienstleister werben momentan mit Hilfe bei der Umsetzung. Man sollte also darauf achten, dass es sich um einen IT-Sicherheitsspezialisten handelt, der die Anforderungen der NIS-2 und des Unternehmens kennt. Übrigens ist Sicherheit auch ohne gesetzliche Vorgabe oder Deadline ein Thema, das die Geschäftsführung anpacken sollte.

print
DRUCKEN

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren