NIS-2 Konformität: Welche Maßnahmen Unternehmen umsetzen müssen
Neue europäische Mindestanforderungen für Cybersicherheit – das ist das Ziel von NIS-2. Doch welche Anforderungen müssen betroffene Unternehmen dafür erfüllen? Wir werfen einen Blick auf die Vorgaben für eine NIS-2-konforme Cyberabwehr.
Vor dem Hintergrund anhaltender geopolitischer Konflikte steigen die Risiken durch Cyber-Warfare. Neben einzelnen Hackern und hochprofessionell agierenden Banden nehmen auch staatliche Akteure vermehrt kritische Infrastrukturen ins Visier.
Um wichtige Einrichtungen besser zu schützen, die Resilienz zu erhöhen und die Reaktion auf Sicherheitsvorfälle zu verbessern, führt NIS-2 eine Reihe neuer Vorgaben für das Risikomanagement und die IT-Sicherheit ein.
Für Unternehmen, die von NIS-2 betroffen sind, ist die Umsetzung der Maßnahmen verpflichtend. Für alle nicht direkt betroffenen Firmen könnten sich die Vorgaben von NIS-2 zu einer hilfreichen Referenz entwickeln. Du kannst sie dir wie eine Checkliste vorstellen. Sie fasst zusammen, welche organisatorischen und technischen Schutzmaßnahmen zu einer zeitgemäßen Cyberabwehr dazugehören.
Rahmenbedingungen: Verhältnismäßigkeit und Absicherung nach dem Stand der Technik
Bei der Umsetzung von Maßnahmen zur Sicherheit von Netz- und Informationssystemen ist jeweils die individuelle Ausgangssituation eines Unternehmens zu beachten. Ein wichtiger Grundsatz, den auch die NIS-2-Richtlinie betont, ist die Verhältnismäßigkeit. Es macht wenig Sinn, mit Kanonen auf Spatzen zu schießen. Die ergriffenen technischen, operativen und organisatorischen Maßnahmen sollten verhältnismäßig sein. Welche Faktoren dabei ausschlaggebend sind, erläutert die Richtlinie in Artikel 21 Abs. 1:
Die angesetzten Maßstäbe für einen mittelständischen Betrieb sind also nicht direkt mit denen für einen Großkonzern vergleichbar.
Ein weiteres wichtiges Prinzip ist die Berücksichtigung des Stands der Technik. Cybersicherheitslösungen von gestern sind für die Bedrohungen von heute nicht mehr angemessen. Bei der Bewertung, was dem Stand der Technik entspricht, wird auf einschlägige internationale und europäische Standards und Normen verwiesen. Unternehmen, die zum Beispiel bereits nach ISO 27001 zertifiziert sind, befinden sich in einer sehr guten Ausgangssituation.
Die 10 Gebote des Risikomanagements
Neben den oben genannten Rahmenbedingungen nennt die Richtlinie direkt 10 konkrete Maßnahmen, die sowohl wesentliche als auch wichtige Einrichtungen ergreifen müssen. Sie sind als Umsetzungsminimum zu verstehen und müssen auf einem „gefahrenübergreifenden Ansatz“ beruhen.
- 1Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- 2Bewältigung von Sicherheitsvorfällen
- 3Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- 4Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- 5Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- 6Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- 7grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- 8Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- 9Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- 10
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Während einige dieser Maßnahmen seit Jahren zum Standard einer guten Cyberhygiene gehören – zum Beispiel das Backup-Management – haben andere weitreichende Auswirkungen. Dazu gehört insbesondere die Sicherheit der Lieferkette. Betroffene Unternehmen müssen künftig bei Diensteanbietern genauer hinschauen und Sicherheitsrisiken in der Lieferkette angemessen berücksichtigen.
Ein Durchführungsakt regelt, was die Maßnahmen im Detail bedeuten
Als EU-Richtlinie muss NIS-2 bis zum Oktober 2024 von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Für die Maßnahmen des Risikomanagements gilt aber eine Besonderheit. Die EU Kommission nutzt hier für bestimmte Einrichtungsarten einen speziellen Mechanismus, nämlich den sogenannten Durchführungsakt (engl. Implementing Act). Ein Durchführungsakt hat Vorrang vor der nationalen Gesetzgebung. In Hinblick auf die umzusetzenden Maßnahmen behält die Kommission also hier die Gestaltungshoheit.
Mit Hilfe des Durchführungsaktes werden die 10 genannten Maßnahmen des Risikomanagements konkretisiert – und zwar in sehr detaillierten, unmissverständlichen Anforderungslisten. Ein erster Entwurf für den Bereich der digitalen Infrastruktur wurde bereits veröffentlicht. Er ist unter anderem für DNS-Diensteanbieter, Cloud-Computing-Dienstleister und Anbieter von Online-Marktplätzen vorgesehen. Zwischen dem 27. Juni und dem 25. Juli 2024 fand eine offene Konsultation statt. Im Oktober soll die finale Version veröffentlicht werden.
Weitere Infos zum Thema:
NIS-2, Teil 1: Cyber-Resilienz wird Pflicht: Welche Firmen von NIS-2 betroffen sind
NIS-2, Teil 2: Der CEO als Cyber-Experte? Was NIS-2 für die Geschäftsleitung vorschreibt
NIS-2, Teil 4: Was NIS-2 für die Berichtspflicht von Sicherheitsvorfällen bedeutet
Alle Informationen zur techbold NIS-2 Beratung und Umsetzung.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Wir benötigen deine Zustimmung, um das Formular laden zu können.
Mehr Informationen
Jochen Jasch
Leitung Kundenbetreuung
oder ein Account Manager aus seinem Team meldet sich umgehend.