Die Umsetzung von NIS 2: Herausforderungen und Lösungsansätze
Geschrieben von Laura Stöhr, veröffentlicht am 02.05.2024Am 18.10.2024 tritt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft. Es überführt die EU-weiten Mindeststandards für Cybersecurity aus der Richtlinie für Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) in ein einheitliches deutsches Gesetz.
Damit wird das Ziel verfolgt, das Sicherheitsniveau in allen EU-Mitgliedstaaten zu harmonisieren und so weitreichend zu verbessern.
Überblick
Am 16.01.2023 ist die europäische NIS2-Richtlinie in Kraft getreten. Die Richtlinie soll das Sicherheitsniveau innerhalb der EU-Mitgliedstaaten verbessern, um so eine einheitliche Cyberresillience zu schaffen und den europäischen Binnenmarkt besser vor Angriffen zu schützen.
Die einzelnen Mitgliedstaaten der EU haben dazu bis zum 17.10.2024 Zeit, die in der Richtlinie getroffenen Verpflichtungen in ihren Ländern umzusetzen.
In Deutschland existiert daher seit Juli 2023 ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), welcher voraussichtlich im April 2024 verabschiedet und zum 18.10.2024 in Kraft treten wird.
Dies birgt einige Herausforderungen: Der Fokus der Neuerungen soll, wie der Name bereits verrät, auf der zu stärkenden Netzwerksicherheit sowie auf der Informationssicherheit liegen. Betroffene Unternehmen müssen sich also fortan verstärkt mit dem Cyber-Risikomanagement, der Kontrolle/Überwachung von Zwischenfällen und der Geschäftskontinuität befassen und dazu weitreichende Risikomanagementsysteme einführen.
Anwendungsbereich
Die NIS-2-Richtlinie weitet die Zahl der betroffenen Unternehmen aus und stellt unter anderem auf die Größe des Unternehmens ab. So wird künftig zwischen „Besonders wichtigen Einrichtungen“ und „Wichtigen Einrichtungen“ unterschieden.
Welche Unternehmen jedoch genau von der NIS-2-Richtlinie betroffen sind und damit in den Anwendungsbereich der Richtlinie fallen, können Sie in einem gesonderten Blogbeitrag von uns nachlesen.
Neue Cybersicherheitspflichten
Vorgesehen sind innerhalb der neuen Regelungen jedenfalls ein deutlich umfassenderer Katalog von Cybersicherheitspflichten. Für die Gewährleistung dieser Voraussetzungen ist es daher empfehlenswert, eine Kombination aus verschiedenen Cybersecurity-Tools und -Technologien einzusetzen.
Die getroffenen Maßnahmen müssen dabei mindestens die folgenden Themen umfassen:
- Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Backup-Management, Krisen-Management
- Sicherheit der Lieferkette
- Sicherheit in der Entwicklung, Beschaffung und Wartung
- Management von Schwachstellen
- Bewertung der Effektivität von Cybersicherheit und Risiko-Management
- Schulungen zu Cybersicherheit
- Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Anlagen-Management
- Multi-Faktor-Authentisierung und kontinuierliche Authentisierung
- Sichere (Notfall-)Kommunikation (Sprach, Video- und Text)
Welche Tools und Systeme jedoch konkret geeignet sind, hängt häufig von verschiedenen und individuellen Faktoren ab – wie der Unternehmensgröße, dem Vernetzungsgrad und der Art der durchgeführten Aktivitäten.
Meldung von Vorfällen
Auch bezüglich eingetretener Sicherheitsvorfälle werden innerhalb der Richtlinie spezielle Regelungen getroffen. So wird hier ein dreistufiges Meldesystem für alle betroffenen Einrichtungen vorgesehen:
Die Unternehmen müssen dabei innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls einen Frühwarnbericht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) vorlegen, infolgedessen muss eine erste Bewertung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats vorgelegt werden.
Dauert der Sicherheitsvorfall an, ist eine Fortschrittsmeldung nach einem Monat (und jeweils weiteren Monaten) notwendig. Eine Abschlussmeldung erfolgt dann spätestens einen Monat nach Abschluss des Vorfalls.
Kontrollen durch das BSI
Weiterhin hat das BSI die Befugnis, Kontrollen durchzuführen. Bei „besonders wichtigen Einrichtungen“ kann dies anlasslos stattfinden, bei wichtigen Einrichtungen nur im Verdachtsfall.
Dabei können folgende Maßnahmen ergriffen werden:
- Anordnung von Audits, Prüfungen oder Zertifizierungen
- Herausgabe von Nachweisen der Einrichtungen
- Überprüfungen einer Einrichtung
- Maßnahmen anordnen und verbindliche Anweisungen zur Umsetzung erlassen
- Zertifizierungen einer Einrichtung aussetzen
- Überwachungsbeauftragten für eine Einrichtung benennen
- Genehmigung für eine Einrichtung vorübergehend aussetzen
Lösungsansätze
Wie bereits erläutert, sind betroffene Unternehmen demnach dazu verpflichtet, wirksame Präventions-, Erkennungs-, Reaktions- und Compliance-Maßnahmen zu implementieren.
Unterstützung kann hier ein durchdachtes und effizientes Identitäts- und Berechtigungsmanagement sowie ein etabliertes, im Unternehmen gelebtes und auf die Bedürfnisse der NIS-2-Richtlinie zugeschnittenes Informations-Sicherheits-Management-System (ISMS) bieten.
Folgende Punkte sollten zudem beachtet und geregelt werden:
- Schulungen der zuständigen Mitarbeiter zu den NIS-2-Inhalten
- Etablierung eines konkreten Meldeverfahrens
- Definition der jeweiligen Zuständigkeiten
- Durchführung von Penetrationstests
- Überprüfung bzw. Anpassung der IT-Verträge mit Dienstleistern
- Überwachung der IT-Systeme
Fazit
Mit der NIS-2-Richtlinie werden viele Unternehmen dazu verpflichtet sein, entsprechende Netzwerk- und Informationssicherheitssysteme sowie Risikomanagementsysteme in ihren Organisationen zu implementieren.
Um ungewollte Überraschungen und drohende, hohe Bußgelder zu vermeiden, sollte sich bereits jetzt mit möglichen Umsetzungsmaßnahmen beschäftigt und diese in den eigenen Geschäftsablauf integriert werden.