EU-Security-Richtlinie: 6 Tipps zur NIS2-Umsetzung

Foto: Na_Studio – shutterstock.com

Rechtliche Vorgaben zu IT-Sicherheit sind nicht neu. Aber die NIS-2-Richtlinie hebt die IT-Sicherheit auf ein neues Level und stellt viele Unternehmen vor eine große Herausforderung. Bis zum 18. Oktober 2024 müssen mehrere zehntausend Unternehmen in Deutschland ihr IT-Sicherheitslevel gemäß der neuen NIS-2-Richtlinie erhöhen. Doch wo soll man beginnen, wenn doch alle Aspekte gleich wichtig sind? Die Gefahr, sich dabei zu verzetteln, ist real. Diese sechs Maßnahmen sollten Unternehmen jetzt ergreifen.

1. Bildung eines Projekt-Kernteams

Alle Entscheidungsträger, die hier relevant sind, sollten Teil eines Kernteams werden. Dazu gehören neben der Geschäftsleitung auch IT- und Datenschutzbeauftragte sowie gegebenenfalls eine Vertretung der Rechtsabteilung und auch der Einkauf. Alle Mitglieder dieses Teams brauchen zuerst eine Schulung in den relevanten Bereichen. Hierzu existieren Schulungsangebote speziell für Führungskräfte, die die betreffenden Personen für die einzelnen entscheidenden Komponenten sensibilisieren. Die Schulungen gebenihnen auch Hinweise an die Hand, wie sie bestimmte Vorgaben erfüllen können, die sich entweder explizit oder implizit aus der NIS-2 ergeben.

2. Organisatorische Strukturen schaffen

Dass IT-Sicherheit Chefsache ist, wird auch in der NIS-2 zementiert: Der Geschäftsführer, beziehungsweise der Vorstand ist hier unmittelbar in der Verantwortung und kann bei Verstößen sogar persönlich haftbar gemacht werden. Eine Delegierung dieser Zuständigkeit ist grundsätzlich nicht zulässig. Es müssen also die Möglichkeiten geschaffen werden, die Führungsebene in die relevanten – teils auch operativen – Entscheidungen einzubinden.

Dazu sind gegebenenfalls auch Informationskanäle notwendig, die bisher nicht existieren. Entscheidungen können eine Geschäftsführung oder ein Vorstand nämlich nur dann treffen, wenn diesen alle im Zusammenhang wichtigen Informationen in geeignet aufbereiteter Form vorliegen. Vor allem aber muss das Bewusstsein dafür existieren, dass die Chefetage zu einem zentralen Bestandteil im Sicherheitskonzept wird, von dem auch eine aktive Rolle erwartet wird.

3. ISMS auf den Weg bringen

Ein wesentlicher Bestandteil der NIS-2 ist das Informationssicherheits-Managementsystem (ISMS). Die Vorgaben hierfür decken sich in weiten Teilen mit den Erfordernissen der ISO 27001, und geht in anderen Belangen auch darüber hinaus. So sind in der ISO-Norm beispielsweise keine Meldepflichten definiert. Der einzige Unterschied ist, dass hier am Ende keine Zertifizierung steht.

Zu den Anforderungen an ein ISMS gehört auch die Schaffung von Sicherheitsmaßnahmen, die geeignet und angemessen sind, und die auch dem Stand der Technik entsprechen. Ein Bestandteil dessen ist ein Endpoint Detection & Resonse (EDR)-System. Die Wahl des Anbieters ist grundsätzlich frei – das gewählte Produkt muss jedoch auch für den Enterprise-Bereich geeignet und mit einem entsprechenden Support ausgestattet sein. Dazu gibt es im BSI Grundschutz (der sich wiederum ebenfalls eng an die ISO-Norm anlehnt), in der OPS.1.1.4.A3 vom Februar 2021 explizite Vorgaben. Auch eine Verhältnismäßigkeit der Mittel spielt eine Rolle, jedoch ist für Unternehmen, die dem KRITIS-Bereich angehören, der Kostenfaktor allein kein tragfähiges Argument gegen die Umsetzung einzelner Maßnahmen.

Vorgaben gibt es auch für die Incident Management und Business Continuity: Da der Bereich “ISMS” bei weitem der komplexeste und vielschichtigste Bereich der NIS-2 ist, sollte hier so schnell wie möglich ein Fortschritt erzielt werden. Dazu ist es ratsam, sich externen Beistand zu holen, und auch die Angebote verschiedener Anbieter zu prüfen.

4. Prozesse aufsetzen

Im Kontext von IT-Sicherheit sind Prozesse einer der wichtigsten Bestandteile und Stellschrauben. Unternehmen müssen hier neue Prozesse schaffen, sofern diese noch nicht vorhanden sind. Primär wichtig sind Meldeprozesse für IT-Sicherheitsvorfälle. Die NIS-2-Richtline macht hier klare Vorgaben: Binnen 24 Stunden müssen sicherheitsrelevante Vorfälle gemeldet sein, auch an Wochenenden und Feiertagen. Damit ist es jedoch nicht getan: Nach 72 Stunden muss zumindest ein Zwischenbericht vorliegen.

Es gibt hier keinen Ermessensspielraum für Unternehmen, weshalb es auch hier wichtig ist, sich – wie im Bereich ISMS bereits erwähnt – auch für den Fall eines Sicherheitsvorfalles die entsprechenden Ressourcen auch extern zu beschaffen. Das kann beispielsweise in Form eines Retainer-Vertrages sein, der eine Reaktion eines Incident Responders binnen einer bestimmten Frist gewährleistet. Die Liste der qualifizierten APT-Responder des BSI ist hier ein guter Ausgangspunkt für die Wahl eines Anbieters.

• Nach 30 Tagen muss entweder ein vollständiger Abschlussbericht zu dem Vorfall vorliegen oder ein weiterer Zwischenbericht mit einer Erläuterung des aktuellen Status quo.

• Wer Softwareprodukte herstellt, muss zusätzlich auch Prozesse nachweisen, mit denen eventuelle Schwachstellen von externen Fachleuten gemeldet und intern an die richtigen Stellen geleitet werden können.

5. Lieferkettenabsicherung und Sicherheitszertifikate

Wer selbst Software für KRITIS-Anwendungen herstellt und vertreibt, muss gegebenenfalls Cybersicherheitszertifikate für die eigenen Produkte oder Dienstleistungen erwerben. Hier muss ein Unternehmen genau prüfen, ob eine solche Anforderung gegeben ist und diese umsetzen. Relevant sind in diesem Kontext die “Common Criteria” der ISO 15408.

Auch Zulieferer könnten diesen Sicherheitsanforderungen unterliegen. Sollte sich herausstellen, dass ein Zulieferer entgegen der Vorgaben keine Zertifizierung besitzt, so ist in Kooperation mit dem eigenen Einkauf der Dialog mit diesem Anbieter anzustreben und notfalls auch ein Wechsel zu prüfen. Vieles ist jedoch – Stand Januar 2024 – nicht abschließend geklärt.

6. Registrierung in die Wege leiten

Unternehmen, die von der NIS-2 unmittelbar betroffen sind, haben die Pflicht, sich beim BSI zu registrieren. Zwar ist die entsprechende Meldestelle noch einzurichten, allerdings schadet es nicht, diese Informationen schon einmal zu sammeln und bereits zu halten. Der Datensatz muss zwingend die folgenden Details enthalten: Name und Rechtsform des Unternehmens, aktuelle Kontaktdaten und eine benannte, rund um die Uhr erreichbare Kontaktstelle inklusive E-Mail-Adresse, Telefonnummer, Anschrift (ladungsfähige Adresse!), IP-Ranges des Unternehmens sowie Handelsregisternummer.

Diese Informationen sind immer aktuell zu halten. Änderungen müssen binnen zwei Wochen angezeigt werden. Diese Meldung nicht auf die lange Bank zu schieben, ist wichtig, weil ansonsten das BSI die Registrierung des Unternehmens nicht vornehmen kann. Diese fehlende Registrierung ist jedoch strafbewehrt und kostet im ungünstigsten Fall bis zu einer halben Million Euro.

Um Compliance herzustellen, bleibt nicht mehr viel Zeit. Eine vollständige Umsetzung ist bereits jetzt realistisch betrachtet nicht mehr zu bewältigen. Der einzige Lichtblick, den Unternehmen hier haben, ist, dass sie ihre Compliance erst in drei Jahren werden nachweisen müssen. Sollte jedoch in der Zwischenzeit ein sicherheitsrelevanter und nach der NIS-2 meldepflichtiger Vorfall eintreten, wird sich das betroffene Unternehmen jedoch unangenehmen Fragen stellen müssen.

Je mehr Antworten auf Fragen zur Umsetzung der NIS-2-Vorgaben also zeitnah feststehen, desto besser. Sonst kann es teuer werden. Eine Umsetzung kann in der Regel auch nur dann gelingen, wenn Unternehmen sich externe Expertise verschaffen. So bieten einige Dienstleister auch Analyse, Schulungen und Beratungsleistungen für die Führungsebene, in der sie noch einmal den Blick für die wesentlichen Baustellen schärfen können. (jm)