Mehr digitale Resilienz dank NIS-2-Richtlinie der EU
Die Richtlinie hat das Ziel, das Cybersicherheitsniveau innerhalb der EU zu vereinheitlichen und zu erhöhen. Sie ist im Januar 2023 in Kraft getreten und muss bis Oktober 2024 von den Mitgliedstaaten in nationales Recht umgesetzt werden. Aber dies geht nicht ohne gewissen Aufwand. Die Richtlinie sieht diverse Maßnahmen auf staatlicher Seite sowie für Unternehmen vor. Sie gilt in Deutschland für circa 40.000 Unternehmen in 18 Branchen ab 50 Mitarbeiter.
Die NIS-2-Richtlinie zielt darauf ab, die Sicherheit von Netzwerken und Informationssystemen in der EU zu stärken und die Resilienz- und Reaktionskapazitäten öffentlicher und privater Stellen, der zuständigen Behörden und der EU insgesamt weiter zu verbessern. Dies ist in Zeiten der wachsenden Digitalisierung und anhand der fast täglichen Meldungen im Bereich Cyberkriminalität zu begrüßen.
Solche Anforderungen stoßen aber in diesen unruhigen Zeiten aufgrund von Fachkräftemangel, Zeitnot und der für viele Organisationen engen finanziellen Spielräume auch auf Widerstände. Viele davon sind vermutlich auf eine Mischung aus Ignoranz, Hoffnung („Bei uns passiert schon nichts.“), Unwissenheit („Was ist NIS-2?“) und Fehleinschätzungen („Wir sind kein Ziel, bei uns ist nichts zu holen.“) zurückzuführen. Teilweise sind Widerstände auch der brutalen Erkenntnis geschuldet, angesichts der Bedrohungen bisher zu wenig getan zu haben. Gar mancher scheint das Ohnmachtsgefühl zu haben, sich ohnehin nicht wehren zu können.
Andererseits geht die Digitalisierung ohne Pause weiter. Neue Trends wie die KI bringen neue Herausforderungen, aber auch Möglichkeiten. Also wann will man mehr für die Sicherheit tun, wenn nicht jetzt? Und ist „Nichtstun“ wirklich eine Option?
Vorbereitung der Mitgliedsstaaten auf den Ernstfall
Die genannten staatlichen Maßnahmen dienen der Vorbereitung der Mitgliedstaaten. Sie verlangen, dass sie eine Organisation hierfür aufbauen und angemessen ausgerüstet sind. Zum Beispiel soll ein Computer Security Incident Response Team (CSIRT) und eine zuständige nationale Behörde für Netzwerk- und Informationssysteme (NIS) geschaffen werden. Dies wird in Deutschland in weiten Teilen vom Bundesamt für Sicherheit in der Informationstechnik sowie anderen Stellen abgedeckt. So unterhält die Polizei in den Ländern spezielle Stellen für diese Themen, die sogenannten ZAC, die Zentrale Ansprechstelle Cybercrime. Dort sind auf das Thema spezialisierte Juristen, IT-Fachleute und Polizei im Verbund aktiv.
Auch gilt es, die Zusammenarbeit zwischen allen Mitgliedstaaten durch Einsetzung einer Kooperationsgruppe zur Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zu organisieren und schrittweise zu verbessern.
Für staatliche Stellen und die Privatwirtschaft in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung und stark auf IKT angewiesen sind, müssen Maßnahmen ergriffen werden. Dies sind zum Beispiel Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitsversorgung und digitale Infrastruktur. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen. Besonders hervorzuheben ist die Geltung in großen Sektoren wie dem Maschinen- und Fahrzeugbau sowie der Chemie- und Lebensmittelindustrie.
Besonders relevant ist das Thema Haftung, denn Geschäftsführer sollen teilweise persönlich(!) für die Umsetzung (und Billigung) der Sicherheitsmaßnahmen in ihrer Einrichtung haften. In Verbindung mit Durchsetzungsregeln (Kontrollbesuche, Überprüfungen etc.) und einem verschärften Bußgeld- und Berichtswesen ist die NIS-2-Richtlinie ein wichtiger Schritt in Richtung einer einheitlichen und verbesserten Cybersicherheit in der EU.
Maßnahmenbündel zum Schutz vor Sicherheitsheitsvorfällen
Die konkret genannten Maßnahmen müssen auf einem umfassenden gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen. Ein paar Beispiele für den Themenkreis der Anforderungen sind:
- Risikoanalyse
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebes
- Sicherheit der Lieferkette
- Sicherheit bei Entwicklung und Wartung
- Bewertung von Risikomanagementmaßnahmen
- Schulungen im Bereich der Cybersicherheit
- Kryptografie und Verschlüsselung
- Sicherheit des Personals und Konzepte für die Zugriffskontrolle
- Sichere (Notfall-)Kommunikation
- Awareness-Schulungen für Mitarbeiter und Führungskräfte
Positiv zu werten ist, dass die genannten Themen in der Praxis heute bereits im Rahmen von ausgereiften Informationssicherheitsmanagementsystemen (ISMS) unter anderem im Bereich Automotive durch TISAX® adressiert werden und im Business Continuity Management System (BCMS) Thema sind.
Die Umsetzung der Richtlinie erfolgt im Rahmen eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Das Gesetzgebungsverfahren ist bereits im Gange, da verschiedene bestehende Gesetze (zum Beispiel BSIG; Kritis-Gesetze) miteinander im Sinne der NIS-2-Richtlinie zu harmonisieren sind. Aufgrund der vorhandenen Behörden und der gesetzlichen Vorarbeiten ist Deutschland hier schon relativ gut aufgestellt und muss wenig „Neues“ schaffen. Vielmehr geht es hierzulande darum zu integrieren, zu strukturieren und zu konkretisieren sowie schneller und besser zu werden.
Nach ISO/IEC 27001 zertifizierte Unternehmen sind im Vorteil
Erfreulich ist zudem, dass in den Erwägungsgründen der Richtlinie ausdrücklich die Normenreihe ISO/IEC 27000 (die 27001er ist ein Teil davon und zertifizierbar) als Bezugsrahmen für den Nachweis der Einhaltung der gesetzlichen Anforderungen zugelassen ist. Wohl dem, der bereits ein ISMS auf Basis ISO/IEC 27001 beziehungsweise TISAX® und BCMS (zum Beispiel auf Basis BIS-IT Grundschutz 200-4 oder ISO/IEC 22301) hat. Denn für diese Organisation wird wenig Mehraufwand wegen NIS-2 anfallen.
Über den Autor:
Klaus Kilvinger ist Geschäftsführender Gesellschafter der Opexa Advisory GmbH, einer auf die Themen Digitalisierung, Cyber- und Informationssicherheit, sowie deren Integration in Geschäftsprozesse spezialisiertes Beratungsunternehmen mit Hauptsitz in München. Er ist seit über 30 Jahren in der IT-Branche aktiv und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, verfügt ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Zuhause. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter verfügt er über breite Branchenkenntnisse, über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor bis hin zur Wirtschaftsprüfung.
