Die NIS-2 Richtlinie – was Unternehmen beachten müssen

Die NIS-2 Richtlinie – was Unternehmen beachten müssen

Von Dominik Weyand

Einleitung

Die Europäische Union hat eine überarbeitete Version ihrer Richtlinie zur Netz- und Informationssicherheit (NIS-2) verabschiedet, die Unternehmen dazu verpflichtet, ihre digitalen Systeme und Dienste besser zu schützen. Der deutsche Gesetzgeber muss daher bis zum 17. Oktober 2024 diese Richtlinie in den deutschen Rechtsrahmen einbinden. Aufgrund zunehmender Cyberbedrohungen und dem stetig wachsenden Risiko von Cyberangriffen auf kritische Infrastrukturen ist diese Aktualisierung notwendig. Im Folgenden werden die wichtigsten Anforderungen der NIS-2 Richtlinie erläutert. Im Anschluss wird dargestellt, welche Maßnahmen die betroffenen Unternehmen umsetzen müssen.

Die NIS-2-Richtlinie

Die NIS-2-Richtlinie erweitert den Anwendungsbereich auf eine Vielzahl unterschiedlicher Unternehmen und Dienstleistungsanbietern. Sowohl Unternehmen im Bereich der kritischen Infrastrukturen als auch digitale Dienstleister wie Cloud-Computing-Anbieter fallen unter diese Richtlinie. Die folgenden 18 verschiedenen Industrie- und Dienstleistungssektoren fallen in den Geltungsbereich, sofern sie mehr als 50 Mitarbeiter haben und einen Jahresumsatz von mindestens 10 Mio. € erwirtschaften:

Unternehmen, die gegen die Bestimmungen von NIS-2 verstoßen, können mit finanziellen Sanktionen belegt werden. Es ist daher entscheidend, dass Unternehmen die Anforderungen der Richtlinie ernst nehmen und angemessene Maßnahmen ergreifen, um die Sicherheit ihrer digitalen Infrastruktur zu gewährleisten.

Anforderungen an Betreiber kritischer Infrastrukturen

Betreiber kritischer Infrastrukturen müssen eine Reihe von Sicherheitsanforderungen erfüllen, um ein hohes Sicherheitsniveau zu erreichen. Die genauen Anforderungen können je nach nationaler Umsetzung der Richtlinie und der Art des Unternehmens variieren. Die folgenden Anforderungen sind jedoch unerlässlich und es wird Zeit brauchen, diese umzusetzen. Zu beachten ist hierbei die begrenzte Anzahl an Know-how Trägern, wodurch es besonders im dritten und vierten Quartal 2024 zu Engpässen kommen kann. Wer später nicht in Zeitdruck geraten möchte, nimmt die folgenden Themen besser schon heute auf die Agenda.
Im ersten Schritt sollten betroffene Unternehmen ihre aktuellen Sicherheitsmaßnahmen und -richtlinien überprüfen, um sicherzustellen, dass sie den Anforderungen von NIS-2 entsprechen. Gegebenenfalls müssen die Prozesse aktualisiert oder erweitert werden, um den neuen Anforderungen gerecht zu werden. Im nächsten Schritt ist es unerlässlich eine Risikobewertung durchzuführen, denn diese identifiziert die Schwachstellen in den digitalen Systemen und Diensten eines Unternehmens. Basierend auf der Risikobewertung können geeignete Sicherheitsmaßnahmen entwickelt und implementiert werden. Eine Besonderheit bei NIS-2 ist, dass Geschäftsführer bzw. Vorstände die Umsetzung überwachen müssen und für eventuelle Verstöße des Unternehmens nach nationalem Recht haftbar gemacht werden können.
Neben den Anforderungen an die Cybersecurity Governance, ist die Prävention ein ebenfalls entscheidender Faktor. Hierbei müssen Unternehmen angemessene technische und organisatorische Maßnahmen (TOM) nach dem “Stand der Technik” ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Die Unternehmen können zur Orientierung beispielsweise auf die ISO 27001:2022 zurückgreifen.   
Die Anforderungen an das Business Continuity Management (BCM) sind in NIS-2 konkret beschrieben. Für ein konformes BCM sind Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs notwendig, wozu beispielsweise das Backup-Management, das Krisenmanagement oder das Recoverymanagement gehören. Darüber hinaus ist die Sicherheit in den Lieferketten zu gewährleisten. Dies bedeutet, dass sowohl die Netz- und Informationssicherheitssysteme als auch deren physische Umwelt zu berücksichtigen sind. Zu beachten sind die hieraus entstehenden Folgen für Unternehmen, die lediglich als Lieferanten tätig sind, also nicht direkt der Regulierung unterliegen. Die Folge für beispielsweise IT-Dienstleister und andere Zulieferer ist, dass sie Lieferantenaudits unterzogen werden, in denen die Robustheit ihrer Informationstechnik geprüft wird.       
Ebenfalls unerlässlich ist ein klar definierter Incident Response Plan, um im Falle eines Sicherheitsvorfalls schnell und angemessen reagieren zu können. Unternehmen sollten sicherstellen, dass alle relevanten Mitarbeiter mit dem Plan vertraut sind und regelmäßige Übungen durchführen, um die Wirksamkeit des Plans zu testen. Hinzu kommt, dass Unternehmen dazu verpflichtet sind, ernsthafte Sicherheitsvorfälle den nationalen Behörden zu melden. Dies umfasst nicht nur tatsächliche Angriffe, sondern auch Versuche von Cyberangriffen oder andere sicherheitsrelevante Ereignisse, die Auswirkungen auf ihre Dienste haben könnten. Eine Frühwarnung muss binnen 24 Stunden und die tatsächliche Meldung des Sicherheitsvorfalls spätestens innerhalb von 72 Stunden an die zuständigen Behörden übermittelt werden. Als „erheblich“ wird ein Sicherheitsvorfall eingestuft, wenn er zu schwerwiegenden Betriebsstörungen der Dienste oder zu finanziellen Verlusten für die betroffene Einrichtung führt oder führen kann. Gleiches gilt, wenn eine natürliche oder juristische Person durch einen solchen Vorfall erheblichen materiellen oder immateriellen Schaden erfährt oder erfahren könnte.

Fazit

Insgesamt erfordert die Umsetzung der NIS-2-Richtlinie ein proaktives und ganzheitliches Herangehen an das Thema Cybersicherheit. Unternehmen, die die Anforderungen der Richtlinie erfüllen und ihre digitalen Systeme und Dienste effektiv schützen, können nicht nur das Vertrauen ihrer Kunden stärken, sondern auch das Risiko von schwerwiegenden Cyberangriffen minimieren. Unternehmen, welche sich bereits mit dem IT-Sicherheitsgesetz 2.0 auseinandergesetzt haben, werden in den Anforderungen aus NIS 2 wenig neues entdecken. Die nicht unerhebliche Ausweitung des Anwendungsbereichs wird jedoch dazu führen, dass viele Unternehmen, die bisher nicht betroffen waren, sich frühzeitig mit der Umsetzung der geforderten Maßnahmen auseinandersetzen müssen. Für ein besseres Verständnis der Richtlinie und deren Umsetzung bietet sich eine externe Beratung an. Diese unterstützt Sie bei der Umsetzung der geforderten Maßnahmen und hilft der Geschäftsführung die Haftungsrisiken zu minimieren.       
Unsere Experten helfen Ihnen gerne weiter und stehen für offene Fragen jederzeit zur Verfügung. Durch unsere jahrelange Erfahrung aus verschiedenen Branchen helfen wir Ihnen nicht nur bei aktuellen Problemen, sondern sorgen für ein nachhaltig hohes Sicherheitsniveau in Ihrem Unternehmen.

Die neuen Controls der ISO IEC 27001 im Detail Teil 2

Die neuen Controls der ISO IEC 27001 im Detail Teil 2

von Dominik Weyand

Rückblick

Wie bereits im ersten Teil erläutert werden durch den neuen Aufbau der Controls die Attribute stärker spezifiziert und die Notwendigkeit stärker hervorgehoben. Des Weiteren wurden die neuen organisatorischen sowie physischen Controls erläutert. Der zweite Teil befasst sich mit den neuen technologischen Controls.

8.9 Konfigurationsmanagement

Das Control Konfigurationsmanagement fordert, dass die Unternehmen den gesamten Zyklus der Sicherheitskonfiguration für die Technologie der Organisation verwaltet, um ein angemessenes Sicherheitsniveau zu gewährleisten und unautorisierte Änderungen zu vermeiden. Dies beinhaltet die Definition, Implementierung, Überwachung und Überprüfung der Konfiguration. Neben der Richtlinie für das Konfigurationsmanagement soll zusätzlich ein Prozess für die Überprüfung sowie die Genehmigung von Sicherheitskonfigurationen und Prozessen erstellt werden.

8.10 Löschung von Informationen

Dieses Control beinhaltet die Anforderungen zur Datenspeicherung im Hinblick auf DSGVO. Darüber hinaus sollen Informationen, die in Informationssystemen, Geräten oder auf anderen Speichermedien gespeichert sind, gelöscht werden, sobald diese nicht mehr benötigt werden. Daher sollen die Unternehmen einen Prozess einrichten, der zum einen festlegt, welche Daten zu welchem Zeitpunkt gelöscht werden müssen, und zum anderen die Verantwortlichkeiten und Methoden für die Löschung definiert. Zudem sollte eine Richtlinie zur Informationsvernichtung erstellt und innerhalb des Unternehmens kommuniziert werden.

8.11 Datenmaskierung

Bei der Datenmaskierung geht es zusammengefasst um die Beschränkung, Anonymisierung sowie Pseudonymisierung von Daten. Das Control verlangt von den Unternehmen mit Hilfe der Datenmaskierung die Offenlegung sensibler Informationen zu begrenzen. Damit sind in erster Linie personenbezogene Daten gemeint, da diese durch Datenschutzbestimmungen stark reguliert werden. Zusätzlich können auch andere Kategorien sensibler Daten einbezogen werden. Die Datenmaskierung sollte in Übereinstimmung mit der themenspezifischen Richtlinie der Organisation zur Zugriffskontrolle sowie den geschäftlichen Anforderungen unter Berücksichtigung der geltenden Rechtsvorschriften erfolgen.
Die Erstellung einer Informationsschutzpolitik ist zwar nach der Norm optional, allerdings sollen durch das Unternehmen Prozesse eingerichtet werden, die festlegen, welche Daten maskiert werden müssen, wer auf welche Art von Daten zugreifen darf und welche Methoden zur Maskierung der Daten verwendet werden.

8.12 Verhinderung von Datenverlusten

Hierbei wird von den Unternehmen verlangt, dass verschiedene Maßnahmen festgelegt werden, die Datenlecks verhindern sollen, um die unbefugte Offenlegung sensibler Informationen zu verhindern. Zusätzlich sollen durch diese Sicherheitsmaßnahmen solche Vorfälle frühzeitig erkannt werden. Die Maßnahmen sollen auf Systeme, Netzwerke und alle anderen Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen.
In der Umsetzung bedeutet dies für die Unternehmen, dass Prozesse eingerichtet werden müssen, die die Sensibilität der Daten bestimmen, die Risiken verschiedener Technologien bewerten und Kanäle mit dem Potenzial für Datenlecks überwachen und festlegen. Ziel der Prozesse soll es sein die Offenlegung sensibler Daten zu verhindern. Eine zusätzliche Informationsschutzpolitik ist für dieses Control nicht zwingend erforderlich.

8.16 Überwachungstätigkeiten

Dieses Control verlangt, die Systeme des Unternehmens sowie abweichende Aktivitäten proaktiv zu überwachen, um diese frühzeitig zu erkennen und gegebenenfalls entsprechend auf den Vorfall zu reagieren. Durch die geeigneten Maßnahmen sollen potenzielle Informationssicherheitsvorfälle besser erkannt und bewertet werden.

Für eine konforme Dokumentation ist eine Protokollierungs- und Überwachungsrichtlinie notwendig. Zudem ist ein Prozess erforderlich, der festlegt welche Systeme überwacht werden und wer für die Überwachung Zuständig ist. Des Weiteren müssen Methoden für die Überwachung, die Erstellung sowie die Meldung von Ereignissen und Vorfällen bestimmt werden.

8.23 Web-Filterung

In diesem Control sollen Maßnahme festgelegt werden, die den Zugriff zu gefährlichen Webseiten verhindern, die Malware verbreiten oder aber unbefugt Daten auslesen. Daher muss das Unternehmen die Zugriffsrechte der Mitarbeiter verwalten, um die Systeme und Vermögenswerte zu schützen. Auf diese Weise kann verhindert werden, dass die Systeme kompromittiert und Illegale Inhalte aus dem Internet verwendet werden.
Die Erstellung einer Netzwerksicherheitspolitik ist dem Unternehmen selbst überlassen. Dennoch sollen Prozesse eingerichtet werden, welche die nicht erlaubten Webseiten sowie die notwendigen Web-Filter-Tools, inklusive des Überprüfungszeitraums, bestimmen.

8.28 Sichere Kodierung

Bei der Softwareentwicklung sollten die Grundsätze der sicheren Kodierung angewandt werden, um Sicherheitsschwachstellen in der Software zu verringern. Dies umfasst sowohl die Aktivitäten vor der Kodierung als auch während und danach.
Hierfür ist auch eine Richtlinie für die sichere Entwicklung und die sichere Kodierung notwendig. Zudem muss ein Prozess zur Definition der Mindestanforderungen an die sichere Kodierung eingerichtet werden, welcher sowohl für die interne als auch die externe Softwareentwicklung gilt. Darüber hinaus müssen Verfahren zur Überwachung neu auftretender Bedrohungen, zur Beratung über sichere Kodierung und zur Entscheidung über die verwendeten externen Tools und Bibliotheken festgelegt werden.

Fazit

Abschließend muss berücksichtigt werden, dass lediglich vier Controls inhaltlich komplett identisch geblieben sind. Dies hat zur Folge, dass es nicht ausreicht die neuen Controls in das Risikomanagement und die SoA (Statement of Applicability) einzupflegen sowie zu bewerten. Die Anforderungen bei bestehenden oder zusammengefassten Controls wurden zum einen spezifiziert und zum anderen hinzugefügt. Daraus resultierend stehen Unternehmen vor der großen Herausforderung über 800 neue oder geänderte Anforderungen umzusetzen. Darüber hinaus ist zu beachten, dass die tatsächlichen Auswirkungen der Revision auf Unternehmen von verschiedenen Faktoren abhängig sind. Daher wird empfohlen, sich mit einem Experten für Informationssicherheit Verbindung zu setzen, um die genauen Auswirkungen der ISO 27001:2022 auf Ihr Unternehmen zu ermitteln und geeignete Maßnahmen umzusetzen.