Der richtige Umgang mit NIS2 5 Tipps, um fristgerecht NIS2-konform zu werden

Anbieter zum Thema

FTAPI Software GmbH

valvisio international AG

G DATA CyberDefense AG

Rund um die europäische NIS2-Direktive gibt es derzeit noch viele Fragezeichen. Während noch Rätselraten um eventuelle Übergangsfristen, die Befugnisse des BSI im Schadensfall sowie die Zuständigkeit in einigen Worst-Case-Szenarien herrscht, steht eines bereits fest: die Deadline.

Bis zum 17. Oktober 2024 müssen die Vorgaben der NIS2-Direktive durch die EU-Mitgliedsstaaten in nationales Recht umgesetzt sein. In Deutschland gibt es dazu das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG). Wohlgemerkt: Zu diesem Datum muss alles geklärt und spruchreif sein. Ob es eine Übergangsfrist gibt, während der Unternehmen die Gelegenheit bekommen, die Vorgaben umzusetzen, ist nicht sicher. Vermutlich wird es aber keine geben. Diese Deadline ist schon für die gesetzgebenden Organe in Deutschland ziemlich sportlich. Und dabei regelt das Gesetz „nur“ das, was auf der Bundesebene gilt. Von landesspezifischen Regelungen ist hier noch gar nicht die Rede. So oder so, die Zeit ist knapp.

Umso dringender müssen potenziell betroffene Unternehmen sich nun darum kümmern, die Vorgaben der NIS2 umzusetzen. Nachfolgend finden Sie fünf Tipps, um schnellstmöglich NIS2-konform zu werden.

1. Identifizieren: Bin ich betroffen?

Die erste Frage im Prozess muss lauten: Ist mein Unternehmen überhaupt von der NIS2 betroffen? Manche Unternehmen fallen nach der erweiterten Definition für kritische Infrastrukturen nämlich darunter, obwohl sie es bisher nicht taten. Insgesamt existieren 18 Industriesektoren, auf die die NIS2 direkt anwendbar ist. Wer unter die Direktive fällt, muss sich entsprechend registrieren und auch eine Kontaktmöglichkeit angeben.

Zu den unter die NIS-2 fallenden Unternehmen gehören nicht nur die „Klassiker“ wie Strom-, Gas- und Wasserversorgung. Ein interessantes Detail ist, dass die NIS2 keinen Unterschied zwischen einer Anlage und deren Betreiber macht. Praktisch bedeutet das, dass nicht nur etwa eine Wasseraufbereitungsanlage zu den kritischen Infrastrukturen der Kategorie „Essenziell“ gehört und in der IT-Sicherheit entsprechend aufgestellt sein muss, sondern auch das gesamte Unternehmen mit all seinen Unterabteilungen – auch, wenn diese vielleicht gar keine Berührungspunkte mit der eigentlichen Anlage haben. Da auch Lieferketten durch die NIS2 gestärkt werden sollen, fallen potenziell auch Lieferanten und Servicebetreiber unter diese Direktive.

2. Bestandsaufnahme

Steht fest, dass die NIS2-Direktive für das eigene Unternehmen zur Anwendung kommt, gilt es zunächst, den aktuellen Stand zur internen IT-Sicherheit zu erheben. Hierbei können externe Dienstleister unterstützen, die auf IT-Sicherheit spezialisiert sind. Denn diese sind mit den häufigsten Einfallswegen von Angreifergruppen vertraut und wissen, welche Maßnahmen zu ergreifen sind, um bestehende Mängel zu beseitigen. Das Spektrum der Möglichkeiten reicht von unnötig exponierten IT-Systemen bis hin zum veralteten Patchstatus einzelner Systeme.

Die IT-Sicherheit besteht jedoch nicht nur aus technischen Maßnahmen, sondern auch zu einem großen Teil aus Prozessen. Daher lohnt sich bei der Bestandsaufnahme ein Blick auf die aktuell bestehenden Prozesse innerhalb des Unternehmens. Wie funktionieren Meldeketten für Sicherheitsvorfälle? Sind die Listen mit Ansprechpartnern noch korrekt und aktuell? Wie sieht es mit dem Notfall- und dem Back-up-Plan aus?

Artikel 21 Absatz 2 der NIS2 sieht vor, dass betroffene Unternehmen in allen Bereichen der Cybersicherheit deutlich aufrüsten müssen – gegenüber dem Stand, der vielerorts noch herrscht. Neben der Einführung von Zwei-Faktor-Authentisierung und unternehmensweiten Sicherheitstrainings, gehören auch Risiko- und Notfallmanagement explizit dazu. All diese Maßnahmen beschreiben die Mindestanforderungen. Hier liegt eine der großen Stärken der NIS-2 und damit auch für einige Unternehmen die größten Herausforderungen – und auch Chancen.

3. Übersicht herstellen

Einer der Bereiche, in denen gerade kleine und mittelständische Unternehmen großen Nachholbedarf haben, ist die Überwachung des eigenen Netzwerkes auf verdächtige Aktivitäten. Viele Angriffe, die in der Vergangenheit große Schäden angerichtet haben, hätten rückwirkend betrachtet verhindert werden können, wenn die in Logdateien gespeicherten Informationen sinnvoll ausgewertet worden wären. Technische Möglichkeiten gibt es am Markt in großer Zahl und die meisten können nutzbringend eingesetzt werden – doch für viele Unternehmen ist ein „großes“ SIEM wirtschaftlich nicht tragbar. Externe Unterstützung ist daher unumgänglich.

Einzelne Teile der IT, vor allem den Bereich der IT-Sicherheit, an einen externen Dienstleister auszulagern, birgt zahlreiche Vorteile: Zum einen kann ein Unternehmen von der Expertise des Dienstleisters profitieren. Zum anderen bleibt die Skalierbarkeit erhalten. Voraussetzung dafür ist jedoch, dass die von einem Dienstleister übersandten Berichte und Daten verständlich und auswertbar sind. Hier muss intern die entsprechende Personaldecke geschaffen oder Mitarbeitende entsprechend qualifiziert werden. Mit bloßer Auslagerung ist es also nicht getan.

4. Wirksamkeit der Sicherheitsmaßnahmen prüfen

Gehen wir einmal davon aus, dass nach einem extern durchgeführten initialen Assessment die wesentlichen Einfallstore für Angriffe geschlossen worden sind. Anschließend sollte ein Test dieser Maßnahmen erfolgen, um sicherzustellen, dass sie auch tatsächlich wirksam sind. NIS2 sieht hier übrigens eine solche Überprüfung in regelmäßigen Abständen vor und trägt damit der Tatsache Rechnung, dass IT-Sicherheit niemals statisch sein kann, sondern sich immer den aktuellen Erfordernissen anpassen muss.

Penetrationstests sind neben Red-Teaming eines der wirksamsten Mittel, um das eigene Sicherheitslevel zu überprüfen. Hier treten die Schwachstellen in der eigenen Verteidigung zutage, die nicht auf den ersten Blick auffallen. Da jedoch das Konzept „Penetrationstest“ nicht einheitlich geregelt ist, lohnt es sich, in den Dialog mit entsprechenden Anbietern zu gehen, und dabei die eigenen Anforderungen auf der einen und den Leistungsumfang des jeweiligen Anbieters auf der anderen Seite klar zu umreißen.

5. Incident Response stärken

Kurze Meldepflichten kennen wir bereits aus der EU-Datenschutzgrundverordnung. Dort sind 72 Stunden angesetzt. NIS2 zieht die Daumenschrauben noch ein paar Umdrehungen fester: Eine erste Meldung muss bei besonders wichtigen Einrichtungen innerhalb von maximal 24 Stunden nach Kenntniserlangung erfolgen. Ein zweiter Timer läuft gleich mit – 72 Stunden nach Kenntniserlangung eines Sicherheitsvorfalls muss ein erster Bericht vorliegen, der eine Bewertung der Indicators of Compromise sowie der Schwere des Vorfalls beziehungsweise des Angriffs enthält. Spätestens einen Monat nach Meldung des Vorfalls muss ein ausführlicher Abschlussbericht vorliegen.

Gerade der letzte Punkt ist entscheidend für den Erfolg der NIS2 und enthält bereits den Kern der Direktive: Die Stärkung der Resilienz kritischer Infrastrukturen gegenüber Angriffen. Das können die wenigsten Unternehmen derzeit mit Bordmitteln bewerkstelligen, weshalb es nun praktisch unumgänglich ist, sich mit einem vertrauenswürdigen und kompetenten Dienstleister an einen Tisch zu setzen und sich an die Arbeit zu machen.

Wer sich jetzt schon mit den neuen Vorgaben auseinandersetzt und handelt, stärkt die IT-Sicherheit der eigenen Firma und investiert damit auch in deren Zukunftsfähigkeit.

Über den Autor: Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.

(ID:49658483)