Anforderungen von NIS-2 & Co. in der Praxis umsetzen
Die NIS-2-Richtlinie muss von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Sie betrifft allein in Deutschland ca. 30.000 Unternehmen und hat das Ziel, die Einführung verbindlicher Maßnahmen zu fördern, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt wird, insbesondere in Bezug auf Risikomanagement, Erkennung von Sicherheitsvorfällen und Erfüllung von Berichtspflichten. Doch welche konkreten Anforderungen werden gestellt und wie können sie in der Praxis umgesetzt werden?
Was sind neue Anforderungen durch NIS-2?
Durch die Umsetzung von NIS-2 sind Unternehmen in 18 Sektoren bereits ab Oktober 2024 dazu angehalten, angemessene und effektive Sicherheitsmaßnahmen zu implementieren, um Unterbrechungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme bestmöglich zu verhindern. Als möglicherweise betroffenes Unternehmen sollten Sie wissen, dass diese Maßnahmen weit über technische Aspekte hinausgehen und sowohl organisatorische als auch operative Aspekte betreffen.
Nachfolgend haben wir für Sie die wichtigsten Maßnahmen zusammengefasst, damit Sie auch Ihre Organisation auf NIS-2 vorbereiten können.
Risikomanagementmaßnahmen
Risikoanalyse
Eine Risikoanalyse im Bereich der Informationssicherheit umfasst die Identifikation und Bewertung aller potenziellen Risiken, die die Schutzziele der Informationssicherheit beeinträchtigen könnten.
Sie beginnt mit der Asset Analyse, bei der die Vermögenswerte einer Organisation erfasst und nach ihrem Schutzbedarf kategorisiert werden.
- Im nächsten Schritt erfolgt die Bedrohungsanalyse, bei der mögliche Bedrohungen identifiziert werden, die auf die erfassten Vermögenswerte einwirken könnten.
- Daraufhin wird eine Schwachstellenanalyse durchgeführt, um Sicherheitslücken in den Systemen und Prozessen der Organisation zu erkennen, die von den Bedrohungen ausgenutzt werden könnten.
- Die Bewertung des Risikos erfolgt durch die Abschätzung, wie wahrscheinlich es ist, dass eine Bedrohung auf eine Schwachstelle trifft, und welche potenziellen Auswirkungen dies auf die Organisation hätte.
Basierend auf dieser Risikobewertung werden geeignete Sicherheitsmaßnahmen implementiert und kontinuierlich überwacht.
Umgang mit Sicherheitsvorfällen
Zusätzlich zu präventiven Sicherheitsmaßnahmen sollten Organisationen darauf vorbereitet sein, Sicherheitsvorfälle zu bewältigen, statt sich erst im Ernstfall zu fragen: „Wie gehen wir jetzt vor?“. Daher sollte ein strukturierter Prozess zum Umgang mit Sicherheitsvorfällen etabliert werden. Dieser Prozess soll mindestens Antworten auf folgende Fragen liefern:
- Was kann ein Sicherheitsvorfall sein?
- Wer ist bei Sicherheitsvorfällen für was zuständig?
- Welche sofortigen Maßnahmen sind zu ergreifen, um den Schaden zu begrenzen und eine weitere Ausbreitung zu verhindern?
Zudem sollten Sie Kommunikationspläne für den internen und den externen Informationsaustausch während eines Notfalls vorbereiten.
Betrieb aufrechterhalten
Ebenso ist es entscheidend, die Kontinuität des Geschäftsbetriebs bei einem Sicherheitsvorfall zu gewährleisten. Mittels eines umfassenden Business-Continuity-Plans sollten Sie zunächst die geschäftskritischen Prozesse und Ressourcen innerhalb Ihrer Organisation bestimmen und Strategien zu deren Wiederherstellung im Fall eines Ausfalls entwickeln. Diese müssen nicht nur theoretisch definiert werden, sondern auch regelmäßig durch Simulationen und Notfallübungen getestet werden.
Sicherheit der Lieferkette
In einer idealen Welt wäre es ausreichend, lediglich innerhalb Ihrer eigenen Organisation eine robuste IT-Sicherheit zu gewährleisten, um sich gegen die immer komplexer werdenden Cyberbedrohungen zu schützen. In der Praxis jedoch sind Sie nur so sicher wie das schwächste Glied in Ihrer Lieferkette.
Cyberangriffe auf Lieferketten, auch als Supply-Chain-Attacken bekannt, haben sich in letzter Zeit vervielfacht und werden laut der ENISA (European Network and Information Security Agency) im Jahr 2030 auf Platz 1 der Top-Cyberbedrohungen stehen. Diese Art von Angriff ist für Cyberkriminelle besonders attraktiv, da sie versuchen, durch die Kompromittierung kleinerer Organisationen, die sich noch nicht intensiv mit Cybersicherheit auseinandergesetzt haben, Zugang zu größeren Zielen zu erlangen, oder durch gezielte Angriffe auf (IT-)Dienstleister mit einem Angriff möglichst viele Organisationen zu beeinträchtigen.
Daher ist die Sicherheit der Lieferkette heute mehr denn je ein integraler Bestandteil der IT-Sicherheitsstrategie. Profiling der Geschäftspartner sowie die Überprüfung und (vertragliche) Sicherstellung, dass angemessene Sicherheitspraktiken implementiert werden, sind wesentliche Voraussetzungen dafür.
Sicherheitsmaßnahmen in IT-Systemen
Ein wirksamer Sicherheitsansatz berücksichtigt die Implementierung geeigneter Sicherheitsmaßnahmen in IT-Systemen und -Komponenten über den gesamten Lebenszyklus dieser Elemente: von der Beschaffung über die Entwicklung bis hin zur Wartung.
Dabei ist es unerlässlich, die Verantwortlichkeiten zwischen dem Provider und dem Benutzer klar zu definieren. Oft führen Verwechslungen in diesem Zusammenhang zu erheblichen Risiken, insbesondere bei Cloud-Anwendungen.
Softwareanbieter sollten ebenfalls über einen klaren Prozess zum Management und zur Offenlegung von Schwachstellen verfügen, damit Kunden rechtzeitig Sicherheitsupdates durchführen können.
Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
Organisationen müssen ein Verfahren zur Beurteilung der implementierten Sicherheitsmaßnahmen etablieren, um sicherzustellen, dass diese dem Stand der Technik und der aktuellen Bedrohungslage gerecht werden.
Mithilfe von KPIs (Key Performance Indicators) wie der Anzahl von Sicherheitsvorfällen, der Zeit zur Behebung von Schwachstellen oder der „Klickquote“ bei einer Phishing-Kampagne kann die Effektivität von Sicherheitsmaßnahmen gemessen werden.
Basierend auf diesen Ergebnissen sollen Anpassungen und Verbesserungen der Sicherheitsmaßnahmen vorgenommen werden.
Cyberhygiene und IT-Sicherheitsschulungen
Wie bei der gesundheitlichen Hygiene geht es bei der Cyberhygiene darum, dass grundlegende Vorsichtsmaßnahmen allen bekannt sind und konsequent umgesetzt werden. Dazu gehören beispielsweise sichere Passwortpraktiken, regelmäßige Aktualisierung und Installation von Sicherheitsupdates sowie ein sicherer Umgang mit E-Mails und anderen Kommunikationsmitteln.
Vor allem sind aber regelmäßige IT-Sicherheitsschulungen von großer Bedeutung zur Förderung einer Sicherheitskultur. Diese sollten rollenspezifisch, aktuell und an das Lerntempo der Mitarbeiter angepasst sein. Es ist ratsam, den klassischen Schulungsansatz mit innovativen Programmen zu ergänzen.
E-Learning-Lösungen bieten in diesem Zusammenhang nicht nur zeitliche und örtliche Flexibilität, sondern erhöhen auch das Engagement der Mitarbeiter durch interaktive und spielerische Lerninhalte.
Kryptografie und Verschlüsselung
Kryptografie ist die Wissenschaft der Geheimhaltung von Informationen und bildet heutzutage einen unverzichtbaren Grundpfeiler der Informationssicherheit. Kryptografische Verfahren, wie die Verschlüsselung, transformieren Daten sowohl während der Übertragung als auch im Ruhezustand mithilfe fortschrittlicher Algorithmen in unlesbare Formate, um sie vor unbefugtem Zugriff zu schützen.
Trotz ihrer Bedeutung sind auch Verschlüsselungstechnologien nicht frei von Schwachstellen. Cyberkriminelle entwickeln kontinuierlich neue Methoden, um diese Sicherheitsmechanismen zu umgehen. Deshalb ist es unerlässlich, die eingesetzten kryptografischen Verfahren regelmäßig auf ihre Aktualität und Widerstandsfähigkeit zu prüfen und bei Bedarf zu aktualisieren.
Personalsicherheit und Zugriffskontrolle
Sicherheitsverletzungen stammen nicht immer aus dem externen Cyberraum – oft sind es die eigenen Mitarbeiter. Unterschätzen Sie daher niemals Insider-Bedrohungen.
Zu den präventiven Maßnahmen gehören
- gründliche Hintergrundüberprüfungen der Mitarbeiter,
- verbindliche Vertraulichkeitsvereinbarungen und
- streng rollenbasierte Zugriffsrechte,
bei denen Mitarbeiter nur Zugang zu den Informationen und Systemen haben, die sie für ihre Arbeit benötigen.
Dies sollte jedoch nicht nur auf die Informationstechnologie beschränkt sein, sondern auch die physischen Aspekte der Informationssicherheit umfassen. Dazu gehören Maßnahmen wie die Kontrolle des Zugangs zu sensiblen Bereichen oder Anlagen.
Erkennen von Sicherheitsvorfällen und Erfüllung von Berichtspflichten
Die NIS-2-Richtlinie bringt strenge Melde- und Berichtspflichten mit sich, die Organisationen verpflichten, Sicherheitsvorfälle zeitnah zu melden und umfassend darüber zu berichten.
Bei erheblichen Sicherheitsvorfällen muss eine Erstmeldung unverzüglich, innerhalb von 24 Stunden, erfolgen. Innerhalb von 72 Stunden nach Kenntniserlangung muss eine Bestätigung oder Aktualisierung der Meldung erfolgen. Spätestens einen Monat nach der aktualisierten Meldung ist eine Abschlussmeldung erforderlich, die eine detaillierte Beschreibung des Vorfalls, die Art der Bedrohung sowie die ergriffenen und laufenden Abhilfemaßnahmen umfasst.
Bevor jedoch ein Vorfall gemeldet werden kann, muss er zuerst erkannt werden. Diese Aufgabe stellt weiterhin eine der größten Herausforderungen für Organisationen dar, insbesondere für diejenigen, die nicht über ein spezialisiertes Sicherheitsteam verfügen. Die „Dwell Time“, also die mittlere Zeitspanne zwischen dem tatsächlichen Eintritt und der Erkennung eines Vorfalls, ist im letzten Jahr auf 10 Tage gesunken. Dies reicht jedoch in den meisten Fällen aus, damit Cyberkriminelle erheblichen Schaden anrichten können.
Es ist äußerst wichtig, in diesem Zusammenhang auf technische Sicherheitslösungen wie Security Information and Event Management (SIEM) zu setzen. SIEM-Systeme sammeln und analysieren sicherheitsrelevante Daten aus verschiedenen Quellen innerhalb der IT-Infrastruktur. Sie sind in der Lage, verdächtige Aktivitäten in Echtzeit zu erkennen und zu kategorisieren sowie automatische Alarme auszulösen.
Gleichzeitig sollten Organisationen sicherstellen, dass verantwortliche Mitarbeiter kontinuierlich geschult werden und sich weiterentwickeln können, um mit den neuesten Bedrohungen und Sicherheitstechniken vertraut zu bleiben.
Handlungsempfehlungen für die Praxis
Die Uhr tickt, und Sie fragen sich bestimmt, was als Nächstes zu tun ist. Daher haben wir eine Reihe von praxisnahen Handlungsempfehlungen für Sie zusammengestellt.
- Beginnen Sie mit einer GAP-Analyse, um eine grobe Einschätzung darüber zu erhalten, wie gut Ihre Organisation im Bereich der Informationssicherheit aufgestellt ist.
- Falls noch nicht vorhanden, implementieren Sie ein Informationssicherheitsmanagementsystem (ISMS). Ein ISMS ermöglicht es Ihnen, die Informationssicherheit systematisch und kontinuierlich zu verwalten und zu verbessern.
- Greifen Sie bei der Implementierung auf etablierte Sicherheitsstandards wie die ISO-2700x-Reihe oder den BSI-IT-Grundschutz zurück.
- Führen Sie regelmäßige Sicherheitsüberprüfungen und Penetrationstests durch, um Schwachstellen zu identifizieren und zu beheben, bevor Cyberkriminelle diese ausnutzen.
- Priorisieren Sie den Faktor Mensch in Ihrer Sicherheitsstrategie, etablieren Sie angemessene Schulungsmaßnahmen und machen Sie somit das schwächste Glied der Sicherheitskette zur ersten Verteidigungslinie.
- Holen Sie sich rechtliche und technische Beratung ein, um sicherzustellen, dass Ihre Sicherheitsstrategie immer den aktuellen gesetzlichen und technologischen Anforderungen entspricht.
Fazit: Finanzielle Verluste durch die Investition in Informationssicherheit vermeiden
Im Fall von Verstößen gegen die Regelungen der NIS-2-Richtlinie haben Organisationen mit Bußgeldern von bis zu zehn Millionen Euro oder mindestens zwei Prozent des weltweiten Jahresumsatzes zu rechnen. Noch höher können die Schäden sein, die durch einen erheblichen Cyberangriff verursacht werden.
Die Implementierung geeigneter Risikomanagementmaßnahmen oder eines ganzheitlichen Ansatzes in Form eines ISMS sowie Lösungen und Verfahren zur rechtzeitigen Erkennung von Sicherheitsvorfällen hilft Ihnen nicht nur, diese empfindlichen Verluste zu vermeiden, sondern auch, sich im Markt besser zu positionieren. Auch wenn Sie nicht direkt von NIS-2 betroffen sind, lohnt sich eine proaktive Sicherheitsstrategie.