Die neue Regulatorik der EU zur Verbesserung der Cybersicherheit betrifft sehr viele Organisationen, es sind bis zu 50.000 Unternehmen in 18 wichtigen Branchen betroffen. Für diese werden im Sinne eines risikobasierten und umfassenden „Allgefahren-Ansatzes“ bei NIS-2 alle "möglichen" Gefahren betrachtet, daher müssen die Maßnahmen nicht nur die digitale Sicherheit der Netz- und Informationssysteme schützen, sondern auch die physische Umgebung und beispielsweise die Hardware, auf der die Systeme laufen.
Was ist konkret zu tun?
Zunächst ist für jede Organisation die Prüfung zu empfehlen, ob sie wg. Größe (ab 50 Mitarbeiter bzw. 10 Mio. Umsatz bzw. 43 Mio Bilanzsumme) bzw. Geschäftsfeld (18 Branchen) unter die Regulatorik fällt und zu welcher Gruppe sie zählt. Vorsicht, die Größe allein ist nicht relevant, denn bei bestimmten Einrichtungen fallen diese - unabhängig von der Größe - unter das Gesetz. Je nach Gruppe (Sektoren mit hoher Kritikalität bzw. Sonstige kritische Sektoren) sind dann wieder spezifische Anforderungen zu beachten. Und für gewisse Einrichtungen ist eine aktive Pflicht zur Registrierung (Art. 27) vorhanden.
Die nötigen Risikomanagementmaßnahmen werden in Artikel 21 der NIS-2-Richtlinie gelistet, zudem sind in anderen Artikeln die Maßnahmen für Schulung des Managements und der Mitarbeiter (Art. 20) angesprochen, zudem ist das Meldewesen auf Basis der Berichtspflichten (Art. 23) von Relevanz.
Zusammengefasst ist insbesondere folgendes Dutzend von Anforderungen zu beachten, um die Prävention und Bewältigung von Sicherheitsvorfällen gemäß NIS-2 zu stärken:
Die Einrichtungen müssen Konzepte für die Risikoanalyse und Sicherheit der Netz- und Informationssysteme erstellen.
Es müssen Verfahren für die Bewältigung von Sicherheitsvorfällen eingeführt werden.
Die Aufrechterhaltung des Betriebs muss mithilfe von Backup-Management, Notfall-Wiederherstellung und Krisenmanagement sichergestellt werden.
Die Einrichtungen müssen für die Sicherheit in ihrer Lieferkette sorgen, d.h. sie müssen die IT-Sicherheit ihrer direkten Lieferanten und Dienstleister in ihrer Gesamtqualität und auf Schwachstellen prüfen.
Die Einrichtungen müssen Sicherheitsmaßnahmen beim Einkauf, der Entwicklung und der Wartung von IT-Systemen einführen.
Die Einrichtungen müssen Konzepte für die Bewertung der Wirksamkeit der Risikomanagementmaßnahmen erstellen.
Die Einrichtungen müssen grundlegende Verfahren zur Cyberhygiene und für Cybersicherheit einführen.
Die Einrichtungen müssen Konzepte und Verfahren für den Einsatz von Kryptografie und ggf. Verschlüsselung erstellen.
Die Einrichtungen müssen die Sicherheit ihres Personals gewährleisten und Konzepte für die Zugriffskontrolle und das Management von Anlagen erstellen.
Die Einrichtungen müssen Multi-Faktor-Authentifizierungslösungen oder Lösungen zur kontinuierlichen Authentifizierung sowie gesicherte Kommunikationslösungen (Sprache, Video, Text) und ggf. gesicherte Notfallkommunikationslösungen einführen.
Die Einrichtungen müssen ein Meldewesen aufbauen, das in der Lage ist, im Rahmen der Fristen Meldungen durchführen zu können.
Die Mitarbeiter sind zu sensibilisieren und für Sicherheitsvorfälle zu schulen, damit sie im Notfall unter Zeitdruck Handlungssicherheit haben. Die Leitung ist zu schulen, um in die Lage versetzt zu werden, die Umsetzung der Maßnahmen zu überwachen.
Dieses Dutzend Maßnahmen zielt darauf ab, die Cybersicherheit von Organisationen zu verbessern. Dabei sind verschiedene Bereiche betroffen, angefangen von der Organisation und Technologie bis hin zu den Menschen und rechtlichen Fragen.
Risikomanagement und Managed Security Services
Ein zentrales Element ist das Risikomanagement, das eine Kombination aus Fachwissen, juristischer Einschätzung, organisatorischen Maßnahmen bis hin zu technologischen Lösungen erfordert. Um den Herausforderungen heutiger Cyberrisiken zu begegnen, sind sowohl menschliche Expertise als auch technische Lösungen unabdingbar. Cyberangriffe verlaufen oft unbemerkt und erfordern eine proaktive Vorgehensweise zur Erkennung und Abwehr. Hierbei kommen technische Sicherheitslösungen sowie spezialisierte Bedrohungsexperten zum Einsatz. Diese Experten sind jedoch nicht leicht zu finden und ihre Dienste sind in der Regel kostspielig.
Infolgedessen setzen immer mehr Unternehmen auf „Managed Cyber Security“, bei der Managed Detection and Response (MDR) Services eine entscheidende Rolle spielen. Diese Services bieten eine technische „24/7-Abdeckung“ sowie ein Team von Sicherheitsexperten, das auf die Erkennung und Bekämpfung von Cyberangriffen spezialisiert ist. Die Wahl eines solchen Dienstes hängt von verschiedenen Faktoren ab, darunter der individuelle Schutzbedarf, die Organisationsstruktur und das verfügbare Budget.
ISO/IEC 27001, das ISMS und die Zertifizierung
Die Implementierung technischer und organisatorischer Maßnahmen kann im Rahmen eines soliden und umfassenden Informationssicherheitsmanagementsystems (ISMS) erfolgen, das auf dem Standard der ISO/IEC 27001 basiert. Die ISO/IEC-27000-Reihe bildet international anerkannte Standards ab, diese dienen gem. NIS-2-Erwägungsgrund 79 als zulässiger Nachweisrahmen für die Umsetzung der NIS-2-Richtlinie.
Darüber hinaus ermöglicht eine Zertifizierung gemäß ISO/IEC 27001 zweifellos einen belastbareren Nachweis der Einhaltung dieser Standards im Vergleich zur bloßen Behauptung, „NIS-2 compliant“ zu sein. So hat ein Zertifikat auf Basis eines durch unabhängige Dritte durchgeführten Audits eine bessere „Gerichtsfestigkeit“.
Denn es gibt bereits ein national und international geregeltes Verfahren, um mit Hilfe bekannter und regulierter Organisationen sowie ausgebildeter und akkreditierter Prüfer eine international anerkannte Zertifizierung durchzuführen. Gerade wenn es wg. NIS-2 um Geldbußen für das Unternehmen (vgl. Art. 34) oder persönliche Haftungsrisiken für das Managementpersonal (vgl. Art. 20 und 32) geht, kann ein Zertifikat zugunsten des Beklagten den Ausschlag geben, um die Entkräftung des Vorwurfs der „Untätigkeit bzw. Fahrlässigkeit“ nachweislich zu führen.
Der Bezug auf die ISO/IEC 27000-Reihe bietet den Vorteil etablierter Prüfverfahren, Prüforganisationen, Berater und Tools. Zusammenfassend lässt sich sagen, dass die Anforderungen der NIS-2-Richtlinie zwar anspruchsvoll, jedoch im Rahmen der ISO/IEC 27000-Normen mit Hilfe eines ISMS gem. ISO/IEC 27001 branchenunabhängig, flexibel und für alle 18 Branchen der NIS-2 umsetzbar sind.
Cybersicherheit hat zweifellos ihren Preis, doch die Investition in angemessene Sicherheitsmaßnahmen ist unerlässlich, um die Organisation angesichts stark zunehmender Digitalisierung vor den stetig wachsenden Bedrohungen zu schützen, die hohe Risiken - bin hin zur Insolvenz - für das gesamte Unternehmen bergen. Zum Nulltarif ist sie leider nicht zu bekommen.