NIS-2 : Die Zeit läuft : Was es jetzt zu beachten gilt
Die NIS-2-Richtlinie ist im Januar 2023 in Kraft getreten. Mit ihr will die EU die Cybersicherheit in den Mitgliedsstaaten verbessern. Wie in solchen Fällen üblich, bleibt den Unternehmen jedoch noch etwas Zeit, um die Anforderungen zu erfüllen: Ab Oktober 2024 soll die Richtlinie gelten. Unser Autor beleuchtet die Auswirkungen und gibt Tipps zur Umsetzung.
Ein Grund für die Ausarbeitung eines Nachfolgers der ursprünglichen NIS-Richtlinie war die Tatsache, dass es derzeit zwischen den EU-Mitgliedstaaten Diskrepanzen und sogar widersprüchliche Bedingungen in Bezug auf das Niveau der Cybersicherheit gibt. Die vorherige NIS-Richtlinie war durchaus gut gemeint, wurde aber dennoch in sehr unterschiedlichem Maße umgesetzt. Um dem entgegenzuwirken, enthält die NIS-2 einen gemeinsamen Satz von Mindeststandards, in denen die Verpflichtungen präziser definiert werden. Das soll für mehr Harmonie bei der Umsetzung sorgen.
Über die EU-Mitgliedsstaaten hinaus fallen auch die sogenannten „wichtigen“ und „besonders wichtigen“ Einrichtungen in den Anwendungsbereich der NIS-2, je nachdem, welchen Dienst sie in einem Mitgliedsstaat erbringen. Das Zielpublikum geht damit deutlich über die Adressaten der ursprünglichen NIS-Richtlinie hinaus – so werden auch mehr Branchen einbezogen. NIS-2-relevante Organisationen und Unternehmen sollten in dem jeweiligen Mitgliedstaat als solche registriert sein. Beispiele sind etwa Anbieter wesentlicher digitaler Infrastrukturen und Hersteller medizinischer Geräte, die unter die Kategorie „wichtig“ fallen. Für beide Kategorien gelten die gleichen Anforderungen. Im Gegensatz zu wichtigen Unternehmen sind solche, die als „besonders wichtig“ eingestuft werden, jedoch nach dem Ermessen des Mitgliedstaats zu beaufsichtigen. Entsprechend höher fallen die Geldbußen aus, sollten diese Unternehmen die Richtlinie nicht einhalten. Zudem sind besonders wichtige Unternehmen angehalten, proaktiv über die von ihnen getroffenen Maßnahmen für das Management von Cybersicherheitsrisiken zu berichten. Demgegenüber sollten wichtige Unternehmen „nur“ darauf vorbereitet sein, diese Informationen auf Anfrage vorzulegen.
Zusammenfassend lässt sich sagen, dass NIS-2 die bestehenden Vorschriften in drei wesentlichen Punkten verschärft: Sie betrifft rund zehnmal mehr Unternehmen, legt höhere Geldbußen bei Nichteinhaltung fest und sieht eine direkte Haftung der Unternehmensführung vor.
Auswirkungen
Im Folgenden sehen wir uns diese NIS-2-relevanten Einrichtungen genauer an (nicht die Anforderungen an die einzelnen Mitgliedsstaaten).
Ein Risikomanagementkonzept bildet das Rückgrat für alle weitere Entscheidungen beim Umgang mit eben diesen Risiken. Laut NIS-2 müssen Organisationen sicherstellen, dass sie die Vorschriften für den Umgang mit Cybersicherheitsrisiken (vorzugsweise präventiv, aber auch reaktiv) in Bezug auf ihre Systeme und ihre Infrastruktur einhalten.
Kommt es zu einem Cybersicherheitsvorfall sollten diese Einrichtungen in der Lage sein, den Betrieb wieder aufzunehmen und gleichzeitig den zuständigen Behörden der Mitgliedstaaten umfänglich über den Vorfall Bericht zu erstatten.
Nahezu jede NIS-2-relevante Einrichtung wird von den Verpflichtungen zum Schutz der Lieferketten betroffen sein. Von Lieferanten und Dienstleistern wird daher erwartet, dass sie:
- nachweislich über einen sicheren Produkt- und Dienstleistungslebenszyklus verfügen
- sowie die Sicherheit und Qualität ihrer Produkte demonstrieren können.
Sind die Sicherheitsbeziehungen innerhalb der Lieferkette einigermaßen fortgeschritten, umfassen sie vertragliche Parameter, die zum Beispiel vorsehen, dass ein Lieferant eine Reihe von gemeinsam vereinbarten Mindeststandards für die Cybersicherheit des Produkts und der Dienstleistung einhalten muss.
In der Softwarebranche ist die Bereitstellung einer Software Bill Of Materials (SBOM) für jede gelieferte Software in den letzten Jahren eher die Regel als die Ausnahme. Eine SBOM bildet die Grundlage und ist eine wesentliche Voraussetzung für eine sichere Lieferkette. Unternehmen müssen in der Lage sein, die notwendigen Informationen aus diesen Lieferantendaten zu extrahieren, um schnelle und fundierte Entscheidungen zu treffen.
Betrachtet man den typischen Produktlebenszyklus (Definition der Anforderungen, Entwurf, Prüfung, Bereitstellung, Betrieb), tragen alle Phasen in unterschiedlichem Maß dazu bei, die Verpflichtung eines Lieferanten für ein sicheres Produkt zu erfüllen. Sollte im Produkt eine Zulieferers eine Schwachstelle entdeckt werden, sollte dieser über ein definiertes Verfahren verfügen, um die betroffenen Kunden zu informieren. Das bedeutet, dass die Zulieferer von Organisationen, die unter NIS-2 fallen, annähernd den gleichen Anforderungen unterliegen, was die Prozesse des Cybersecurity-Risikomanagements anbelangt. Das gilt auch für das Aufdecken von Vorfällen und die Incident Response.
Angesichts dessen, wie Software lastig alle die Branchen sind, die unter die NIS-2 fallen, betrifft dies eine enorme Zahl von Software-Lieferanten.
Etliche Angriffe auf die Lieferkette im Jahr 2023 haben gezeigt, dass es nicht ausreicht, nur die Produkte zu überprüfen. Lieferanten sollten bereits ihre Vorproduktion überprüfen, ebenso wie die eigene IT-Umgebung und sogar die eigene Lieferkette straffen. All das sind notwendige Maßnahmen, damit sich die potenziellen Auswirkungen eines Sicherheitsvorfalls nicht auf Produkte und Daten ihrer Kunden ausdehnen. Schlussendlich empfiehlt die NIS-2 eine regelmäßige Überprüfung der Cybersicherheitsstandards eines Lieferanten.
Es gilt also, eine Produktionsumgebung im Hinblick auf die Einhaltung der NIS-2-Vorgaben und auf mögliche Sicherheitsprobleme hin zu überwachen. Kommt es zu einem Vorfall, fordert die NIS-2 ein effektives und effizientes Incident Detection-und-Response-Verfahren. Zusätzlich muss der Vorfall dem CSIRT (Computer Security Incident Response Team) des jeweiligen Mitgliedsstaates gemeldet werden.
Und es gibt noch eine dritte grundlegende Säule, auf der die von der NIS-2 geforderte Cybersicherheitsfähigkeit ruht. Nämlich aus den Vorkommnissen Lehren zu ziehen und Maßnahmen zu ergreifen, um diese Risiken zu senken.
Neben Prozessen und Technologien sollten Unternehmen gewährleisten, dass alle Teams ausreichend geschult sind, was die Umsetzung von Best Practices der Cybersicherheit angeht.
Umsetzung
Um Vorgaben nach NIS-2 zu erfüllen, geht man nach denselben Schritten vor wie bei allen anderen Compliance-Regelungen auch. Zunächst muss jede Organisation für sich feststellen, ob das jeweilige Profil und die Größe des Unternehmens unter die Definition einer wichtigen oder einer besonders wichtigen Einrichtung fallen. Selbst wenn diese Abgrenzung nicht greift, sollten Unternehmen prüfen, ob sie Zulieferer einer Organisation sind, die ihrerseits in den Geltungsbereich von NIS-2 fällt.
Anschließend sollten sie bewerten, inwieweit die derzeitigen Cybersicherheitskapazitäten geeignet sind die NIS-2-Anforderungen zu unterstützen. Der dritte Schritt ist der potenziell aufwendigste. Hier geht es darum, alle identifizierten Lücken zu schließen und die nachfolgenden Schritte der Umsetzung zu priorisieren. Jedes neue Tool und jede hier neu eingeführte Technologie, sollte den überarbeiteten Prozessen und Verantwortlichkeiten folgen.
Man kann davon ausgehen, dass die meisten der betroffenen Organisationen in irgendeiner Form über die notwendigen Cybersicherheitskapazitäten verfügen. Schlicht, weil sie bereits entsprechenden bestehenden Vorschriften unterliegen. Sollte dies allerdings nicht der Fall sein, müssen diese Unternehmen größere Veränderungen innerhalb ihrer IT-Architektur einkalkulieren. Aufgrund der Ausweitung des Geltungsbereichs auf die Lieferkette, ist damit zu rechnen, dass unterschiedliche indirekte Zulieferer, insbesondere in der Softwarebranche, in die NIS-2-Kategorie fallen.
Diese Unternehmen können Software-Risikomanagement-Lösungen wie das Application Security Posture Management (ASPM) in Betracht ziehen, um sich einen Überblick über die Sicherheit ihrer Produkte zu verschaffen. Denn auch hier gilt: „Unwissenheit schützt vor Strafe nicht“. Ein besonderes Augenmerk liegt dabei auf dem Einsatz von Open-Source-Software und den damit verbundenen Risiken. Einen aktuellen Überblick über den Stand der Open-Source-Sicherheit liefert unter anderem der „Open Source Security and Risk Analysis (OSSRA)“-Bericht von Synopsys. Er bietet Sicherheits- und Entwicklungsteams sowie Rechtsabteilungen einen Überblick über die aktuelle Open-Source-Landschaft. Dazu zählen auch Trends, wie Open-Source-Software eingeführt und genutzt wird sowie zur Verbreitung von Sicherheitslücken und den Risiken, die mit Softwarelizenzen und der Codequalität verbunden sein können.
NIS-2 in Deutschland
Deutschland ist die größte Volkswirtschaft der Europäischen Union. Da überrascht es nicht, dass deutsche Firmen häufig das Ziel von Cyberkriminellen sind. Laut der Bitkom-Studie vom September 2023 belaufen sich die Gesamtkosten, die durch Sicherheitsverletzungen verursacht wurden, auf geschätzte 206 Milliarden Euro.
NIS-2 hat erhebliche Auswirkungen auf die aktuelle KRITIS-Verordnung. Zusätzlich zu den „kritischen Anlagen“ werden hier zwei neue Entitätstypen eingeführt – „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Laut der Plattform OpenKritis wird NIS-2 für bis zu 30.000 Einrichtungen gelten.
Die Aufsicht über die NIS-2 in Deutschland soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernehmen, mit Ausnahme der kritischen Anlagen, die weiterhin vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) überwacht werden. Das BSI fungiert aber nicht nur als Aufsichtsbehörde, sondern ist gleichzeitig die zentrale Stelle für die Meldung von Sicherheitsvorfällen. Nur kritische Anlagen werden ohnehin regelmäßig (alle 3 Jahre) von den Behörden überprüft.
Die 13 nach NIS-2 geforderten Kontrollen, wie zum Beispiel das Schwachstellenmanagement, sollen in naher Zukunft detailliert beschrieben werden. Der aktuelle, vieldiskutierte Entwurf der NIS-2-Verpflichtungen in Deutschland ist noch in Arbeit, den aktuellen Stand finden Sie hier.
Deutschland ist verpflichtet, die NIS-2-Richtlinie bis zum 18. Oktober 2024 in deutsches Recht zu gießen. Inzwischen ist allerdings klar, dass man diese Frist nicht wird einhalten können. Das liegt wohl einerseits daran, dass seit dem letzten Diskussionspapier keine großen Fortschritte zu verzeichnen sind. Dazu kommt nun, dass das Bundesinnenministerium offenbar für den Bund strengere Security-Anforderungen umsetzen will, als es die EU fordert.
Zeitgleich werden Forderungen nach besserem Schutz für die Infrastruktur seitens der Wirtschaft lauter, insbesondere nach dem jüngsten Anschlag auf die Stromversorgung des Tesla-Werks in Grünheide.
Klar ist: NIS-2 kommt und wird früher oder später auch hierzulande gelten. Demzufolge ist jetzt ein guter Zeitpunkt für Unternehmen, zu prüfen, ob sie ausreichend auf NIS2 vorbereitet sind, ob sie nun zu den wesentlichen oder wichtigen Unternehmen zählen oder ein direkter oder indirekter Lieferant von einem der beiden sind.
Stanislav Sivak ist Managing Consultant bei der Synopsys Inc.
Gunnar Braun ist Technical Account Manager bei Synopsys SIG.