NIS 2, IT-SiG 2.0 und Co. Cybergesetze – Firmen in Zugzwang

Foto: ARMMY PICCA – shutterstock.com

Die Frage nach IT-Sicherheit hat in letzter Zeit außerhalb der Branche stark an Bedeutung gewonnen. In den vergangenen Jahren widmete sich nun auch der Gesetzgeber vermehrt dem Thema Cybersicherheit – sowohl in Deutschland als auch auf europäischer Ebene. So sind zahlreiche neue Gesetze und Richtlinien verabschiedet worden, mit denen die Cybersicherheit in Unternehmen verbessert werden soll.

Das bringt vor allem eine ganze Reihe neuer Vorgaben für Firmen mit sich und viele Betriebe sind damit überfordert. Zum einen, da die Ressourcen für IT-Sicherheit oft nicht ausreichen und zum anderen, weil die gesetzlichen Vorgaben oft schwer zu durchschauen sind. Unterstützung bieten diverse Tools sowie externe Partner, die dabei helfen, hier den Überblick zu behalten und die entsprechenden Vorschriften fristgerecht umzusetzen.

Cyberregulierung: Was gibt es schon und was steht an?

Zunächst gilt es, sich einen Überblick über die bereits verabschiedeten und anstehenden Regularien zu verschaffen. Auf europäischer Ebene trat im Frühjahr 2023 die neue Network Information Security Directive (NIS 2) in Kraft. Sie folgt auf die erste NIS-Direktive und soll die IT-Security-Standards im europäischen Raum vereinheitlichen.

Da es sich jedoch um eine EU-Richtlinie handelt, muss diese erst noch in nationales Recht überführt werden. Die EU setzte ihren Mitgliedsstaaten dafür eine Frist bis Oktober 2024. Hier gibt es also für Unternehmen noch keinen akuten Handlungsbedarf. Trotzdem sollten sie sich jetzt schon mit den Inhalten der Direktive beschäftigen, da sich die deutsche Gesetzgebung natürlich an dieser orientieren wird.

Schneller müssen die Unternehmen hingegen das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) umsetzen. Es trat bereits am 28. Mai 2021 in Kraft und stattet das BSI mit neuen Kompetenzen aus. Knapp zwei Jahre später, also am 1. Mai diesen Jahres, endet eine wichtige Deadline: Das IT-SiG 2.0 verpflichtet Unternehmen aus dem KRITIS-Sektor ab sofort, sogenannte Systeme zur Angriffserkennung (SzA) einzuführen.

Im September 2022 veröffentlichte das BSI dazu eine Orientierungshilfe, die aufschlüsselt, welche Maßnahmen bis zum Ende der Frist zwangsläufig erfüllt sein müssen. Die unterschiedlichen Maßnahmen sind dabei in “MUSS”, “SOLL” und “KANN” unterteilt. Um die notwendige Sicherheitsstufe 3 zu erhalten, gilt es für Organisationen, die MUSS-Auflagen zu erfüllen. Die SOLL-Kriterien dürfen nur mit triftigem Grund vernachlässigt werden. Zudem rechnen viele bis Ende 2024 mit einem IT-Sicherheitsgesetz 3.0, welches die Vorgaben aus NIS 2 dann in deutsches Recht übersetzt.

Lesetipp: Digital Operations Resilience Act – Der Countdown für DORA läuft

KRITIS rückt ins Blickfeld

Darüber hinaus plant die Bundesregierung auch ein KRITIS-Dachgesetz. Dessen Ziel ist es, die Ausfallsicherheit und Resilienz der kritischen Infrastruktur in Deutschland zu stärken. Dabei spielt nicht nur die physische Sicherheit eine wichtige Rolle, sondern sowohl technische als auch organisatorische und personelle Maßnahmen, wie etwa Resilienzpläne einzuführen.

Die Deadline für Systeme zur Angriffserkennung gilt daher auch in diesem Bereich. Dass das Thema kritische Infrastruktur für den Gesetzgebe besonders relevant ist, zeigt auch der Inhalt der NIS-Richtlinie. Diese konzentriert sich sehr stark auf den KRITIS-Sektor und sieht darüber hinaus eine deutliche Ausweitung der Definition vor.

Viele Unternehmen werden nun zur kritischen Infrastruktur gezählt, die vorher noch nicht in diese Kategorie fielen, wie etwa soziale Netzwerke. Dabei unterscheidet NIS 2 jedoch noch einmal zwischen kritischen und wichtigen Sektoren. Insgesamt zählen 18 Sektoren in den KRITIS-Bereich. Elf davon fallen in die Kategorie 1 (Kritisch), sieben in die Kategorie 2 (Wichtig). Betroffen sind Unternehmen ab einer Größe von 50 Mitarbeitern oder 10 Millionen Euro Umsatz.

Der Grund für den Fokus auf den KRITIS-Sektor ist klar: Angreifer wissen, dass Gesellschaften hier verletzlich sind, sie hier besonders viel Druck ausüben und zum Beispiel mehr Geld erpressen können. Im Konfliktfall werden sie von staatlichen Akteuren zuerst ins Visier genommen, um die Infrastruktur empfindlich zu treffen und etwa die Krankenversorgung, den Verkehrssektor oder die Verwaltung lahmzulegen. Für KRITIS-Anbieter ist es also noch einmal wichtiger, die aktuellen legislativen Entwicklungen im Blick zu behalten, um die entsprechenden Vorschriften zuverlässig zu erfüllen.

Lesetipp: Hacker zielen auf Solar- und Windkraftanlagen

Je früher, desto besser

Egal ob KRITIS-Betreiber oder nicht: Die meisten Unternehmen müssen jetzt handeln, um die gesetzlichen Auflagen zu erfüllen. Am zeitkritischsten sind die Vorgaben durch das IT-SiG 2.0. Ein enormer Stolperstein ist die Tatsache, dass das BSI hier erst vor einem halben Jahr eine Handreichung veröffentlicht hat. Klar ist: Wer die Vorgaben hier noch nicht ansatzweise erfüllt, ist eigentlich schon zu spät dran. Denn eigentlich sollten Unternehmen genügend Vorlaufzeit einplanen, um notwendige Anforderungen innerhalb der vorgeschriebenen Fristen zu erfüllen. So dauert die Einführung einer EDR/XDR-Lösung vom Angebotsvergleich bis zum stabilen Betrieb beispielsweise zirka sechs Monate. Wer ein Managed SOC einrichten möchte, muss sogar mit zehn Monaten Vorlaufszeit rechnen.

Der beste Weg, um den Überblick über gesetzliche Bestimmungen und die dafür nötigen Schritte zu behalten und entsprechend Zeit einzuplanen, ist eine Roadmap. Diese zeigt an, wann welche Fristen eingehalten werden müssen und welche gesetzlichen Regelungen in Zukunft auf das eigene Unternehmen zukommen. Darüber hinaus sollten Organisationen eine regelmäßige Bestandsaufnahme und Risikoanalyse durchführen.

Sie gibt Aufschluss darüber, welche Bedingungen bereits erfüllt sind und welche Schritte noch konkret ausgeführt werden müssen. Auf organisatorischer Ebene sollten Unternehmen darüber nachdenken, ein Information Security Management Systems (ISMS) einzuführen. Ein solches wird auch vom BSI empfohlen, um aktuelle und künftige Fristen einzuhalten und die dafür notwendigen Schritte effizient zu planen und umzusetzen.

Lesetipp: ISO und ISMS – Darum gehen Security-Zertifizierungen schief

ISMS als Umsetzungshilfe

Ein ISMS legt übergeordnete Sicherheitsziele für die Organisation fest, die sich an externen Anforderungen wie Gesetzen und einer individuellen Risikoanalyse orientieren. Alle weiteren Prozesse bis hin zur konkreten Umsetzung einzelner Aufgaben werden so strukturiert, dass sie auf die ganzheitlichen Ziele einzahlen und die Compliance-Anforderungen eingehalten werden.

Ein ISMS basiert meist auf einer Norm oder einem Rahmenwerk, das bestimmte Vorgaben zur Informationssicherheit macht, wie etwa ISO 27001. Dadurch wird ein solides Fundament geschaffen, auf dem spätere Erweiterungen im Hinblick auf neue Gesetze möglich sind.

Dabei empfiehlt es sich für Unternehmen auch auf Partner zurückgreifen, die einen genauen Überblick über die aktuelle Rechtslage besitzen und bei der Einrichtung einer Roadmap oder eines ISMS helfen können. Speziell bei KRITIS-Unternehmen ist die Risikoanalyse häufig noch einmal komplexer. Auch hier können externe Partner mit umfangreicher Expertise auf diesem Gebiet und den entsprechenden Erfahrungswerten behilflich sein, alle notwendigen Vorschriften fristgerecht umzusetzen und die entsprechenden Maßnahmen rechtzeitig einzuleiten.

Erst der Anfang

Die Vielfalt an neuen Gesetzen kann Unternehmen und selbst Politiker schnell überfordern. Da die Regulierung, ebenso wie die Art der Bedrohungen, jedoch in den nächsten Jahren immer komplexer werden, sollten Unternehmen sich bereits heute darauf vorbereiten und entsprechend aufstellen, um genug Zeit für die Umsetzung zu haben. (jm)