NIS2 effektiv umsetzen und Cyber-Resilienz stärkenPassende Reaktion auf die Bedrohungslandschaft
25. Januar 2024
Die NIS2-Richtlinie soll die Cyber-Sicherheit in der europäischen Union erhöhen. Sie baut auf den Bemühungen der NIS-Richtlinie von 2016 auf, mit der ein EU-weites hohes Niveau der Cyber-Sicherheit geschaffen werden sollte. Mit der Modernisierung des bestehenden Rechtsrahmens reagiert die EU auf die fortschreitende Digitalisierung und die sich stetig entwickelnde Bedrohungslandschaft. Zwar haben die Mitgliedstaaten bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht zu überführen – Unternehmen sollten jedoch nicht bis dahin mit dessen Umsetzung warten.
Während die NIS-Richtlinie von 2016 eine Grundlage für EU-Mitgliedstaaten bildete, ihre Anforderungen an Cyber-Sicherheit anzupassen, ließ sie dennoch einige Fragen offen: Jedes Land hatte seine eigene Auffassung über die Höhe der Bußgelder, die Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cyber-Sicherheit war nicht effektiv und es fehlte ein einheitlicher Leitfaden für das Vorgehen in Krisensituationen.
Mit NIS2 will die EU nun mehr Klarheit schaffen und die Cyber-Sicherheit in der gesamten Union erhöhen. Darüber hinaus verpflichtet die Richtlinie sowohl die Mitgliedstaaten als auch Unternehmen in kritischen Sektoren und legt gemeinsame Anforderungen an die Cyber-Sicherheit fest. Neben den Bereichen Abwasser, Raumfahrt, öffentliche Verwaltung und ITK berücksichtigt die Richtlinie auch andere kritische Sektoren wie Forschung, Lebensmittelproduktion, Post- und Kurierdienste, Abfallmanagement, Fertigung sowie Chemie. Auch Operation Technology (OT) kann unter die NIS2-Richtlinie fallen, sobald sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen hat.
NIS2-Maßnahmen-Katalog
Mit der NIS2-Richtlinie geben die EU-Mitgliedstaaten Unternehmen einen Katalog an Maßnahmen an die Hand. Dazu zählen Risikoanalysen, Maßnahmen zur Verbesserung der Lieferkettensicherheit oder das Erstellen von Unternehmensrichtlinien für den angemessenen Einsatz von Kryptographie und Verschlüsselung. Ob für IT-Abteilungen zusätzliche Kosten anfallen, hängt davon ab, wie gut sie bereits aufgestellt sind.
Darüber hinaus spielt auch die Risikobereitschaft des Unternehmens eine Rolle: Der Vorstand sollte bereit sein, flexibel auf notwendige Veränderungen zu reagieren und neue Technologien beispielsweise zum Schutz vor Cyber-Angriffen einsetzen – auch, wenn dies mit zusätzlichen Kosten verbunden sein kann. Unternehmen sollten bei der Umsetzung der NIS2-Maßnahmen nicht nur die Anforderungen erfüllen, um ein Bußgeld zu umgehen, sondern immer das übergeordnete Ziel im Hinterkopf behalten: Die Cyber-Sicherheit in der gesamten EU zu erhöhen.
Durch die richtigen Maßnahmen können Unternehmen die Risiken für ihre Dienste und Systeme kontrollieren – und so die Auswirkungen von Zwischenfällen auf ihre und womöglich auch andere Unternehmensabläufe minimieren oder verhindern. Dafür müssen Unternehmen kontinuierlich ihre Cyber-Sicherheitsstrategie hinterfragen und ausreichend Zeit, Budget sowie Ressourcen zur Verfügung stellen. Doch im komplexen Cyber-Space ist Schutz allein gegen aktuelle Angriffe nicht ausreichend: Sicherheitsmaßnahmen sollten immer eine Kombination aus Schutz, Erkennung und Reaktion darstellen. Es ist unerlässlich, dass Cyber-Sicherheit für alle Mitarbeitenden keine lästige Pflicht, sondern selbstverständlich ist – von der Managementebene bis zu jedem Angestellten.
Tipps zur zielgerichteten Umsetzung
Der Weg zur Umsetzung von NIS2 ist nur so gut oder nützlich wie die Risikobewertung der Unternehmen. Nur, wenn sie verstehen, welche Cyberrisiken ihre Geschäftsabläufe bedrohen, können sie die nötigen Maßnahmen ergreifen. Die folgenden Punkte helfen Unternehmen bei der Vorbereitung auf die NIS2-Richtlinie:
- Ermitteln, ob das Unternehmen aufgrund der Unternehmensgröße, seines Umsatzes und seiner Branche die NIS2-Richtlinie einhalten muss.
- Eine Risikobewertung (unter Berücksichtigung der Lieferkette kritischer Lieferanten) durchführen und die Risikobereitschaft bestimmen.
- Alle Mitarbeitenden über Regulierung, Sanktionen sowie Bußgelder aufklären und diese Informationen im Unternehmen verbreiten.
- Mit Hilfe von NIS2 Artikel 21 beurteilen, wo das Unternehmen noch Aufholbedarf hat, um die Richtlinie zu erfüllen.
- Zeit und Budget für die Implementierung der fehlenden Maßnahmen kalkulieren.
- Mithilfe von Playbooks für die häufigsten Cyber-Risikoszenarien einen umfassenden Plan für die Reaktion auf Vorfälle erstellen und diesen testen, um zu beurteilen, ob eine angemessene Reaktion möglich ist.
- Auf die Meldepflicht von Sicherheitsvorfällen vorbereiten: Unternehmen müssen innerhalb von 24 Stunden eine erste Warnung herausgeben.
- Festlegen, wie das Unternehmen im Falle eines Sicherheitsvorfalls das Geschäft weiterführen kann und einen Krisenmanagement-Plan erstellen.
- Eine Vulnerability Disclosure Policy (VDP) erstellen, mit der Unternehmen über ein Sicherheitsproblem oder eine Schwachstelle informieren können.
- Regelmäßige Sicherheitstests und Audits durchführen.
Bei den meisten Regularien muss jedes Unternehmen individuell herausfinden, wie es die Maßnahmen bestmöglich implementieren kann. Dies gilt auch für NIS2: Es gibt keine allgemein geltende Schritt-für-Schritt-Anleitung für die Umsetzung. Umso wichtiger ist es, dass sich Unternehmen jetzt mit dem Thema auseinandersetzen – und nicht bis zum Oktober damit warten.
Wenn Verantwortliche Unsicherheiten bei der Einschätzung, Bewertung und Umsetzung der NIS2-Richtlinie haben, lohnt es sich, auf einen externen Cyber-Sicherheits-Partner zu setzen. Dieser kann ihnen darüber hinaus wertvolle Handlungsempfehlungen geben, die speziell auf das jeweilige Unternehmen zugeschnitten sind. (rhh)
