Die NIS-2 hat das Ziel, EU-weit den Sicherheitsstandard bei kritischer Infrastrukturen, Lieferketten und verwandten Branchen auf ein höheres und einheitliches Level zu heben. Hier eine kurze Zusammenfassung - und warum auch nicht-kritische Geschäftsbereiche einen genauen Blick auf das Geschehen werfen sollten.
Die zweite Auflage der europäischen Richtlinie über Netz- und Informationssysteme ("NIS-2") wird in die Gesetzgebung der einzelnen EU-Länder umgesetzt. Sie baut auf der ursprünglichen NIS-Richtlinie von 2016 auf. Ziel war es damals, die europäische Strategie im Bereich der NIS zu vereinheitlichen, um die Auswirkungen von solchen Cybervorfällen zu verringern, die vor allem Unternehmen, Einrichtungen und kritische Dienste betreffen.
Im Mittelpunkt der NIS 2.0 stehen zwei Schlüsselelemente: die Sorgfaltspflicht und die Meldepflicht. Die Sorgfaltspflicht verpflichtet Organisationen dazu, ihre gesamte Infrastruktur in Ordnung zu bringen. So müssen sie beispielsweise die Möglichkeit haben, die Aktivitäten im Netz zu überwachen. Die Meldepflicht sieht vor, dass Organisationen bei einem Cybervorfall Meldung erstatten müssen. Dieser Gedanke ist nicht ganz neu, da die DSGVO dasselbe vorschreibt. Für alle Organisationen, die als Anbieter "wesentlicher Dienste" gelten, gibt es also viel zu tun, denn viele Organisationen sind sich erst jetzt bewusst geworden, dass die NIS2-Richtlinie nun direkt auf sie anwendbar ist.
Es sieht also so aus, als müssten Organisationen in zahlreichen Sektoren Maßnahmen ergreifen, um die den Reifegrad ihrer IT-Sicherheit auf ein höheres Niveau zu bringen.
Das genaue Niveau dieses Reifegrads wird noch von der Regierung des jeweiligen Landes festgelegt. Dies entspricht in etwa dem Standard, den Regierungsbehörden bereits erfüllen müssen, aber es könnten auch andere Regeln gelten. Die Einzelheiten werden sich letztlich aus den daraus resultierenden Rechtsvorschriften ergeben müssen, so wie das Gesetz über die Sicherheit der Netze und Informationssysteme eine Auslegung der ursprünglichen NIS-Richtlinie ist. Die nationale Gesetzgebung - in Deutschland also das NIS2UmsuCG - ist Stand Mitte Juli 2023 noch in verschiedenen Entwurfsstadien anhängig.
Anlass: Mehr Cyberangriffe
Die Notwendigkeit, die Cyber-Resilienz lebenswichtiger Dienste zu erhöhen, liegt auf der Hand. In den letzten Jahren hat die Zahl der Organisationen, die mit Cyberangriffen konfrontiert waren, tendenziell zugenommen. Darüber hinaus nehmen auch die Schäden und dauerhaften Auswirkungen eines erfolgreichen Angriffs zu. Die NIS-2-Richtlinie wurde daher geschaffen, um die Kontinuität und Integrität einer Reihe von lebenswichtigen Sektoren sowie von Lieferketten zu schützen. Die ursprüngliche NIS umfasste Sektoren wie Energie, Trinkwasser und Banken. Mit der NIS-2 wird die Liste der lebenswichtigen Sektoren drastisch erweitert und umfasst nun unter anderem auch staatliche Dienstleistungen, Lebensmittel und Anbieter von Managed Services.
Die EU-Mitgliedstaaten haben nun bis zum 17. Oktober 2024 Zeit, die Maßnahmen in nationales Recht umzusetzen. Das klingt lang, aber für ein Gesetz dieser Größenordnung ist das ein recht kurzer Zeitrahmen. Die NIS2 ist ein großer Schritt in die richtige Richtung, wenn es um die Cybersicherheit geht. Allerdings nimmt sie uns auch ein gewisses Maß an Freiheit. Derzeit ist die Cybersicherheitslandschaft in den Unternehmen sehr fragmentiert. Die Unternehmen entscheiden selbst, inwieweit sie etwas für die Cybersicherheit tun oder nicht. Durch die Umsetzung der Richtlinie nimmt man ihnen diese Freiheit, aber man kann sicher sein, dass Teile der Infrastruktur einen gemeinsamen Mindestsicherheitsstandard erfüllen. Da ein umfassendes Risikomanagement auch Bestandteil von NIS2 ist, müssen die Unternehmen schriftlich festhalten, welche Maßnahmen zur Verbesserung der Sicherheit ergriffen wurden und welche nicht.
Die Meldepflicht wird die Widerstandsfähigkeit gegenüber Cyberangriffen erhöhen. In der gegenwärtigen Situation und gemäß den Vorschriften der Datenschutz-Grundverordnung muss eine Organisation nur eine Datenschutzverletzung melden, nicht aber beispielsweise einen Ransomware-Angriff (der inzwischen in den meisten Fällen jedoch auch eine Datenschutzverletzung ist, da Tätergruppen meist eine "Double Extortion" - Strategie benutzen. Hier werden sowohl Daten verschlüsselt als auch ausgeleitet - und die Täter drohen bei Nichtzahlung mit der Veröffentlichung der Daten) oder den Missbrauch einer Sicherheitslücke. Dies wird sich also ändern. Wenn Informationen über einen Cyberangriff klarer und effizienter gemeldet und weitergegeben werden, können die Unternehmen leichter voneinander lernen, wie sie ihre Sicherheit optimieren können.
Sorgfaltspflichten
Die Sorgfaltspflicht wird aber auch einige Anforderungen an die Organisationen stellen. Je nach Stand der aktuellen Infrastruktur muss ein Unternehmen potenziell ein sehr dickes Lastenheft abarbeiten, um den vorgeschriebenen Standard zu erfüllen. Die verschiedenen Pflichten erfordern eine Menge Investitionen. Ein wichtiger Teil der Sorgfaltspflicht ist zum Beispiel die Überwachung der Systeme. Dies geschieht in der Regel in einem Security Operation Center (SOC), dessen Einrichtung jedoch eine Menge Ausrüstung und - was heutzutage noch problematischer ist - Personal erfordert. Für viele Organisationen wird es daher von großem Interesse sein, diese Aufgabe an einen SOC-Dienstanbieter auszulagern. Auf diese Weise kann eine Organisation der neuen Sorgfaltspflicht nachkommen, ohne selbst ein eigenes SOC einrichten zu müssen - was bereits eine gewaltige Aufgabe ist, die durch den recht engen Zeitrahmen nicht gerade erleichtert wird. Dabei ist zu bedenken, dass die Einrichtung eines internen SOC sowie die erforderliche Infrastruktur und das dazugehörige Personal für ein kleines Unternehmen unerschwinglich sind, so dass die Inanspruchnahme externer Dienste de facto zur Voraussetzung wird. Darüber hinaus bieten spezialisierte Cybersicherheitsdienstleister häufig zusätzliche Dienstleistungen an, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen.
Warum die NIS-2 eine gute Idee ist - auch für nicht-kritische Bereiche
Aber auch wenn ein Unternehmen nicht in den Geltungsbereich der NIS-2 fällt, ist es sinnvoll, aufmerksam zu sein. Nur weil ein Unternehmen nicht zu einem der als besonders kritisch oder von Interesse eingestuften Bereiche gehört, bedeutet das nicht, dass es weniger gefährdet ist. Auch diese Organisationen können viel von den Pflichten und Anforderungen lernen, die in den neuen Gesetzen enthalten sein werden. Die NIS-2 ist unvermeidlich, und es ist daher wichtig zu prüfen, ob Sie als Organisation oder Unternehmen in den Anwendungsbereich fallen. Wenn ja, ist es ratsam, so bald wie möglich damit zu beginnen, denn eine Abschätzung des zu erwartenden Aufwands kann viel Zeit in Anspruch nehmen. Ein erster Schritt, den Unternehmen bereits jetzt gehen können, ist die Ermittlung des Reifegrads Ihrer Cybersicherheit und des Grads Ihres Risikomanagements. Gibt es eine Policy für die unternehmensinterne IT-Sicherheit und einen Notfallplan für den "worst case"? Kennen die Mitglieder der Belegschaft ihre Rollen und Zuständigkeiten? Wissen die Mitarbeitenden, wie sie Phishing-E-Mails erkennen können? Sich schnellstens damit zu befassen, hilft Überraschungen zu vermeiden, wenn das Gesetz in Kraft tritt.
Und was ist mit den Unternehmen, auf die NIS-2 nicht anwendbar ist? Die Konzepte, vor allem die in Artikel 21 der NIS-2 genannten, sind unabhängig von ihrer Kritikalität eine gute Idee. Kontinuierliche oder Multi-Faktor- Authentifizierung sind ebenso eine gute Idee wie ständige Sicherheitsschulungen und gute Wiederherstellungspläne für den Fall eines Ausfalls. Und das gilt universell, unabhängig davon, in welcher Branche ein Unternehmen tätig ist.
Mehr Informationen zur NIS-2 sind hier zu finden.
Eddy Willems
Security Evangelist