Business Continuity-Anforderungen der NIS-2 aus technischer SichtDiskrepanz zwischen Theorie und Praxis
5. Januar 2024Die NIS-2-Richtlinie wurde am 27.12.2022 im EU-Amtsblatt veröffentlicht und ist am 16.01.2023 in Kraft getreten. Sie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten diese in nationales Recht überführen. Dabei steht NIS für „Network and Information Security“.
In der Theorie lassen sich immer tolle Krisenreaktionspläne erstellen und organisatorische Maßnahmen zur Business Continuity (BC) diskutieren. In der Praxis jedoch zeigt sich erst, welche Pläne regelmäßig von allen Betroffenen im Zusammenspiel erprobt und welche Aktivitäten der BC wirklich Rechnung tragen.
Diese Diskrepanz zwischen Theorie und Praxis wird durch die nahende NIS-2 noch einmal aufgezeigt. Letztlich gilt für viele Unternehmen in Deutschland im Hinblick auf einen Sicherheitsvorfall nicht mehr als bislang durch die Anforderungen der DSGVO. KRITIS müssen Vorfälle dem BSI und angeschlossenen Behörden melden. Unternehmen, die personenbezogene Daten verarbeiten, müssen bei ungewolltem Datenabfluss diesen ebenfalls an die Behörden und die Betroffenen melden.
Erfolgt die Meldung in beiden Fällen nicht, drohen hohe Strafzahlungen und unangenehme Nachforschungen, die im schlechtesten Fall an die Öffentlichkeit gelangen. Aus diesem Grund sollte die Umsetzung der NIS-2 für größere Unternehmen keine größeren Anstrengungen bedeuten, sondern lediglich ein Nachjustieren, aber die kleineren Unternehmen müssen eine Lösung für diese Themen erst entwickeln.
Nach Verabschiedung des Gesetzes wird sich dann zeigen, welche Firma welche Maßnahmen ergreifen muss und wie tiefgreifend diese am Ende sein werden. Letztlich soll mit der NIS-2 vor allem eine bessere Cyber-Resilienz erreicht werden, und zwar in der Fläche und nicht mehr nur tröpfchenweise.
Unternehmen müssen zum Beispiel Risikobewertungen erstellen und Sicherheitsrichtlinien einführen, ebenso Verfahren, um die Wirksamkeit seiner Sicherheitsmaßnahmen zu evaluieren. Sie müssen die eingangs erwähnten Notfallpläne für die Geschäftskontinuität erarbeiten und eine Überwachung der Lieferketten einrichten.
Darüber hinaus geht es künftig darum, neben einem meist verschriftlichten Information Security Management System (ISMS) eine technische Lösung zu implementieren, die aktiv eine Erkennung von Gefahren ermöglicht. Mit einem SIEM kommen Unternehmen vor die Lage, sprich es werden Pfade erkannt und Hacker die bereits in die IT-System eingedrungen sind, aber noch keinen Schaden verursachen konnten.
Diese Art der Erkennung basiert auf dem Konzept „Assume the Breach“, dazu gehört neben der Feststellung einer Lage auch ein umfassender Plan zur Aufrechterhaltung des Geschäftsbetriebs, um nach einem Vorfall weiteren Schaden zu vermeiden.
Security Information & Event Management (SIEM)-Lösungen sind in der Lage, Sicherheitsanalysten aggregierte Informationen von Endpoints, Netzwerken und User Behaviors auch aus Cloud- und Transaktionssystemen korreliert zu liefern. Allerdings wird nicht jedes Unternehmen über die internen Spezialisten verfügen oder aber die Verantwortung, diese Tools im eigenen Haus zu halten, tragen wollen. Aus diesem Grund ist es sicherlich für viele der von der NIS-2 betroffenen Firmen sinnvoll, den Betrieb an einen vertrauensvollen Partner als Managed Security Service (MSS) mit 24/7 Security Operation Center (SOC) auszulagern.
Hier übernimmt der MSSP den Betrieb der Lösung in der NIS-2-konformen Cloud und sorgt für die laufende Überwachung definierter Sicherheitsprozesse als SOC. Betriebsstörungen müssten dann lediglich noch die zuständigen Behörden weitergeleitet werden, während sich der MSSP bereits um die Lösung des Problems kümmert. Damit erreichen sie aus technischer Sicht eine Business Continuity und sind auf die in 2024 in nationales Recht umgesetzte NIS-2 vorbereitet.
Sven Bagemihl ist Regional Sales Director für die Region CEMEA bei Logpoint.