Acht Maßnahmen zur fristgerechten Umsetzung von NIS-2
Auch wenn bisher noch einige Fragen bei NIS-2 offen sind, sollten betroffene Unternehmen keine Zeit verlieren und sich intensiv mit den Anforderungen auseinandersetzen. Unser Artikel beschreibt Maßnahmen zur fristgerechten Umsetzung der NIS-2-Richtlinie, die ein höheres Cybersicherheitsniveau in der EU anstrebt und viele Unternehmen betrifft.
Die europäische NIS-2-Richtlinie weitet Cybersicherheit auf sehr viele mittelständische Unternehmen aus. Das Ziel ist ein besseres gemeinsames Cybersicherheitsniveau in der EU. Allein in Deutschland müssen sich bis zum geplanten Inkrafttreten des entsprechenden nationalen Gesetzes schätzungsweise 30.000 Firmen mit NIS-2 auseinandersetzen. Während vieles noch unklar ist, steht eine Sache bereits fest: Der Tag, an dem das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft treten wird. Am 17. Oktober 2024 soll es so weit sein – zumindest, wenn es nach dem Willen der EU geht. Objektiv betrachtet wird Deutschland dieses Datum nicht halten können. Ein Inkrafttreten Anfang 2025 ist da schon eher realistisch. Wer aber erst jetzt das Thema für sich als relevant identifiziert hat, wird es nicht rechtzeitig schaffen, ganz gleich ob im Oktober dieses Jahres oder mit einem Aufschub auf Anfang 2025. Um die NIS-2-Konformität zu erreichen, sollten Verantwortliche jetzt folgende acht Maßnahmen ergreifen:
1. Eine Projektgruppe bilden
Zuerst gilt es, ein Projekt zum Thema NIS-2 aufzusetzen. Der Teilnehmerkreis der Projektgruppe setzt sich aus der Geschäftsleitung, den IT-Verantwortlichen, den IT-Sicherheitsverantwortlichen und allen weiteren relevanten Stakeholdern zusammen. Denn die Anforderungen der NIS-2 sind sehr hoch und erfordern eine dedizierte Organisationsstruktur. Für die Umsetzung sollten Unternehmen Zeit und auch Budget einplanen. Insbesondere dann, wenn Firmen dem Bereich IT-Sicherheit bis dato wenig Beachtung geschenkt haben.
Als erstes sollten die Beteiligten ein Cybersicherheitstraining absolvieren, um ein gemeinsames Grundverständnis für IT-Sicherheit zu erlangen. Gruppen, die bereits über dieses Verständnis verfügen, können direkt mit Schritt zwei fortfahren.
2. Organisatorische Maßnahmen
NIS-2 nimmt Vorstände und Geschäftsführungen in die Verantwortung. Die Unternehmensleitung kann diese nicht delegieren und muss eine aktive Rolle bei der Überwachung der Implementierung spielen. Für Verstöße haften sie persönlich. Eine Delegation innerhalb des Vorstands ist nicht möglich, weil alle Mitglieder der Chefetage gleichermaßen in der Pflicht sind. Übrigens: Nach dem aktuellen deutschen Gesetzentwurf sind Verzichtserklärungen, die diese Haftung ausschließen würden, unwirksam.
3. Informationssicherheits-Managementsystem (ISMS) einführen
Ein zentrales Element von NIS-2 ist die Einführung eines Informationssicherheits-Managementsystems (ISMS). Mit dem Ziel, die internen IT-Strukturen zu dokumentieren und den Bedarf an zusätzlichen Anschaffungen und Dienstleistungen im NIS-2-Kontext zu ermitteln. Im Prinzip müssen alle betroffenen Unternehmen einen großen Teil der Vorgaben der ISO 27001 umsetzen. Dabei müssen viele Firmen auf externe Beratungen zurückgreifen, um Klarheit darüber zu erlangen, was zu tun ist. Die Verantwortlichen erhalten auf Basis einer fundierten Analyse klare und präzise Empfehlungen.
4. Lieferketten überprüfen
Ein aufwendiges Thema ist die Sicherheit in der Lieferkette. Denn NIS-2 verlangt die Absicherung der gesamten Lieferkette hinsichtlich der Netz- und Informationssysteme und der physischen Umgebung dieser Systeme. Dafür ist es unerlässlich, die Lieferkette unter die Lupe zu nehmen und einen umfassenden Überblick über ihre Struktur zu erhalten. Der Einkauf sollte dabei unterstützen, weil die Abteilung die Rechnungen für alle Lieferungen abwickelt.
Dabei ist aber auch zu bedenken, dass nicht für alle Produkte Rechnungen vorliegen, wie beispielsweise Open-Source-Produkte. Um Open-Source-Software abzusichern, braucht es Kreativität. Und die Verantwortlichen müssen klären, wie kritisch der Einsatz der Software ist. Wenn die gesamte Buchhaltung mit Open-Source-Software arbeitet, besteht sicherlich ein höheres Risiko, als wenn Open Source nur zur Textverarbeitung verwendet wird.
5. Cybersicherheits-Zertifizierungen
Hier steht an erster Stelle die Frage, ob diese Zertifikate für Unternehmen als Anbieter oder als Käufer relevant sind. Dabei gilt es zu überprüfen, ob ein Unternehmen ein Produkt herstellt, das sicherheitszertifiziert sein muss. Käufer könnten künftig dazu verpflichtet werden, nur noch Produkte zu kaufen, die entsprechend zertifiziert sind. Es ist denkbar, dass gesetzliche Vorgaben Unternehmen vorschreiben, nur zertifizierte Produkte aus einer bestimmten Kategorie einkaufen zu dürfen. Bei fehlenden eigenen Zertifizierungen kann sogar ein Verkaufsstopp drohen. Es fehlen aber noch die entsprechenden Rechtsverordnungen. Somit ist unklar, welche Produkte betroffen sein werden. Der Einkauf sollte sich auf jeden Fall darauf vorbereiten und Unternehmen müssen im Voraus Schritte prüfen, um eine erforderliche Sicherheitszertifizierung für ihre Produkte zu erhalten.
6. Meldeprozesse definieren
Gemäß der NIS-2-Verordnung ist ein Betrieb verpflichtet, die Meldebehörde innerhalb von 24 Stunden zumindest per E-Mail über einen möglichen Cybersicherheitsvorfall zu informieren und innerhalb von 72 Stunden den Vorfall zu bewerten. Die Behörde, an die ein Vorfall gemeldet werden muss, kann von Branche zu Branche unterschiedlich sein – für einige ist es das BSI, für andere (etwa Stromnetzbetreiber) kann es auch die Bundesnetzagentur sein. Nach einem Monat muss ein umfassender Bericht vorliegen, oder zumindest ein Zwischenstand, falls eine abschließende Bewertung noch nicht möglich ist. Diese Meldefristen sind sehr knapp bemessen. Daher müssen die Verantwortlichen sicherstellen, dass schnell fundierte Informationen vorliegen. Hier sollten Projektverantwortliche das Gespräch mit dem Datenschutzbeauftragten über deren Meldeprozess suchen. Denn hierbei handelt es sich um ein ideales Best-Practice-Beispiel, an dem sich die Projektgruppe orientieren kann.
7. Vorbereitung auf regelmäßigen Austausch
NIS-2 sieht eine Plattform vor, bei dem sich Unternehmen zur Cybersicherheit austauschen können. Dieses Formatorganisiert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Um eigene Erfahrungen zu teilen und Informationen aus diesem Kreis weiterzugeben, müssen die Verantwortlichen klären, wer an dem Format teilnimmt.
8. Registrierung beim BSI
Betroffene Unternehmen müssen sich als wichtiger oder wesentlicher Betrieb beim BSI registrieren. Vor der Meldung ist es entscheidend zu prüfen, ob das Unternehmen überhaupt der NIS-2 unterliegt. Allerdings muss das BSI die personellen und organisatorischen Voraussetzungen für die Meldestelle erst noch schaffen.
Auch wenn Anfang Mai noch einige Fragen bei NIS-2 offen sind, sollten betroffene Unternehmen keine Zeit verlieren und sich eingehend mit den Vorgaben auseinandersetzen. Aber auch Unternehmen, die nicht direkt der NIS-2 unterliegen, sollten genau hinschauen. Viele Firmen sind indirekt betroffen – etwa, weil sie ein Unternehmen aus einem der von der NIS-2 betroffenen Sektoren beliefern. Diese Unternehmen haben die Pflicht, ihre Lieferkette mit geeigneten Mitteln abzusichern. Und damit stehen auch die Zulieferbetriebe unter Zugzwang. Die NIS-2 sieht nämlich vor, dass diese auch einen gewissen Sicherheitsstandard erfüllen müssen. Insofern sind Unternehmen generell gut beraten, sich mit den Vorgaben der NIS-2 zu befassen, auch wenn sie nicht einem der 18 von der NIS-2 regulierten Sektoren angehören. Die NIS-2 enthält viel Potenzial für die Verbesserung von IT-Sicherheit. Und die ist nur in kritischen Geschäftsbereichen relevanter denn je.
Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.