Zum Inhalt springen

NIS-2: Was jetzt für die Umsetzung zu tun ist

Vorwort

Die NIS-2 Richtlinie und ihr derzeitiger Umsetzungsentwurf in Deutschland (NIS2UmsuCG-E[1]) sind wieder mal für den (juristischen) Laien wirklich schwer verständlich; erst recht wenn es darum geht, die geltenden Anforderungen abzuleiten.  

Im folgenden Artikel werden die Schritte, die ein (betroffenes) Unternehmen angehen sollte, als Rundumschlag aufgezeigt. Es ist daher ein relativ langer Artikel geworden und kann dem ersten Anschein nach etwas „erschlagend“ wirken. Seien Sie aber versichert, dass die Compliance bei strukturierter und moderierter Vorgehensweise mit beherrschbaren Aufwänden und pragmatisch herstellbar ist. Sie stellen somit eine solide Basis her, die Ihnen langfristig zugutekommt. In Folgeartikeln werde ich auf die einzelnen Schritte daher noch einmal in Häppchen, aber detaillierter eingehen und weitere konkrete Umsetzungstipps geben und Muster zur Verfügung stellen.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (Richtlinie zur Netz- und Informationssicherheit) ist eine EU-weite Gesetzgebung, die darauf abzielt, ein hohes Maß an Cybersicherheit für kritische Infrastruktur und essenzielle Dienste zu gewährleisten. Sie wurde entwickelt, um das Sicherheitsniveau von Netz- und Informationssystemen zu erhöhen und um Cyberbedrohungen effektiver zu begegnen.

Wen betrifft die NIS-2-Richtlinie? Prüfungsreihenfolge:

Schritt 1:  Branche: Überprüfen Sie, ob Ihr Unternehmen in einem der oben genannten kritischen Sektoren oder essenziellen Dienstleistungen tätig ist.

Schritt 2: Unternehmensgröße und Bedeutung: Stellen Sie fest, ob Ihr Unternehmen als mittleres oder großes Unternehmen in einem dieser Sektoren gilt oder ob Ihre Dienste für die Funktionsfähigkeit der Gesellschaft und Wirtschaft von Bedeutung sind.

Schritt 3: Spezifische nationale Regelungen: Da die NIS-2-Richtlinie in nationales Recht umgesetzt wird, sollten Sie die spezifischen Anforderungen Ihres Landes prüfen. In einigen Fällen können auch kleinere Unternehmen betroffen sein. Dies ist in Deutschland das bereits erwähnte NIS2UmsuCG, das derzeit noch im Entwurfstadium ist um mehrere Gesetzesänderung beinhaltet. Darin werden die Anforderungen der NIS-2 Richtline der EU und die in Deutschland bereits geltenden KRITIS-Anforderungen nunmehr etwas vermischt, was sicherlich bei vielen zur Verwirrung beiträgt.

Sie könnten also von der NIS-2-Richtlinie betroffen sein, wenn Ihr Unternehmen in einer der folgenden Kategorien tätig ist:

Besonders wichtige & wichtige Einrichtungen (Anhang I, BSIG-E):

  • Energie (Elektrizität, Gas, Öl)
  • Transport (Luft-, Wasser-, Straßen- und Schienenverkehr)
  • Finanzwesen (Banken, Finanzmarktinfrastrukturen)
  • Gesundheitswesen (Krankenhäuser, private Gesundheits- und Forschungsdienstleister)
  • Trinkwasserversorgung und Abwasserbeseitigung
  • Digitale Infrastruktur (Betreiber von Internet Exchange Points, DNS-Dienste (ausgenommen Root-Nameservern), Top Level Domain Name Registries, Cloud-Computing-Dienste, Rechenzentren, Content Delivery Networks, Vertrauensdienstanbieter, öffentliche Telekommunikationsnetze, Managed Services Provider, Managed Security Services Provider)
  • Weltraum
  • Öffentliche Verwaltung

Wichtige Einrichtungen (Anhang II, BSIG-E):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Herstellung von Medizinprodukten und In-vitro-Diagnostika
  • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
  • Herstellung von elektrischer Ausrüstung
  • Maschinenbau
  • Herstellung von Kraftwagen und -wagenteilen
  • Sonstiger Fahrzeugbau
  • Anbieter digitaler Dienste
  • Forschung
  • Öffentliche Verwaltung

Ein guter Weg sich einen ersten Eindruck über die eigene Betroffenheit zu bekommen, bietet das BSI mit seiner NIS-2-Betroffenheitsprüfung hier: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html Beim Durchklicken durchläuft man den Entscheidungsbaum (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-betroffenheit-entscheidungsbaum.pdf?__blob=publicationFile&v=5) und erlangt so ein erstes Ergebnis, ob man zur KRITIS bzw. damit zu „Besonders wichtigen Einrichtungen“, zu „Besonders wichtigen Einrichtungen“ oder zu „wichtigen Einrichtungen“ gem. der NIS-2 (bzw. genauer: in Deutschland gem. des BSIG-E[2]) gehört.

Was tun, wenn Ihr Unternehmen betroffen ist?

Wenn Sie feststellen, dass Ihr Unternehmen möglicherweise von der NIS-2-Richtlinie betroffen ist, sollten Sie die folgenden Schritte unternehmen, um sicherzustellen, dass Sie die Anforderungen erfüllen. Bei Unsicherheiten bzgl. der Betroffenheit, empfehle ich Ihnen einen Experten zurate zu ziehen, um unnötigen Aufwand zu vermeiden.

I. Compliance-Analyse durchführen

a) Bestandsaufnahme:

Erstellen Sie eine umfassende Liste betriebs-kritischer Systeme und Prozesse:

  • Identifizieren Sie alle IT-Systeme, Netzwerke, Anwendungen und Dienstleistungen, die für den Betrieb Ihres Unternehmens bzw. der kritischen Anlage von entscheidender Bedeutung sind. Dies können z.B. ERP-Systeme, CRM-Systeme, Datenbanken, Produktionssteuerungssysteme oder Kommunikationsplattformen sein.
  • Nutzen Sie vorhandene Dokumentationen, IT-Inventarlisten und Gespräche mit Abteilungsleitern, um sicherzustellen, dass kein relevantes System übersehen wird.
  • Tipp: Strukturieren Sie die Prozesse gleich von Anfang an in einer Art Hierarchie, z.B. von „essentiell“ zu „nicht so wichtig“. Das wird Ihnen später bei der Risikoanalyse und Priorisierung weiterer Schritte helfen.

Beteiligung relevanter Abteilungen:

  • Obwohl viele Themen bereits in alltäglichen Regelmeetings klärbar sind, werden zusätzlich Workshops und/oder Meetings mit Vertretern aller relevanten Abteilungen wie IT, Informationssicherheit, Recht, Compliance und betroffene Fachabteilungen notwendig sein, um die Erkenntnisse gegenzuprüfen, die vollständige Erfassung aller kritischen Systeme und eine strukturierte Dokumentation sicherzustellen.
  • Dokumentieren Sie die Erkenntnisse aus diesen Besprechungen sorgfältig und verwenden Sie diese als Basis für die nachfolgende Lückenanalyse. Die Teams der Fachbereiche sollten die Möglichkeit haben, die Dokumentation zumindest einzusehen und Input zu geben.
  • Tipp: Gespräche mit den Ownern der jeweiligen IT-Systeme, Netzwerke, Anwendungen und Dienstleistungen und gutes Hinterfragen der Prozesse sind hierbei unerlässlich. Ziehen Sie hier keine eigenen Schlüsse. Z.B. erkennt man nicht zwangsläufig auf den ersten Blick, dass ein CRM-System auch zum Kundensupport dienen könnte und damit zumindest bzgl. dieser Prozesse unter die NIS-2 Richtlinie fallen kann.

b) Gap-Analyse:

Vergleich der aktuellen Maßnahmen mit NIS-2-Anforderungen:

  • Prüfen Sie systematisch, welche technischen und organisatorischen Sicherheitsmaßnahmen bereits vorhanden sind und ob diese den Anforderungen der NIS-2-Richtlinie entsprechen. Dabei sollten Sie auf spezifische Anforderungen des § 30 Abs. 2 BSIG-E achten (siehe unten).
  • Tipp: Die Analyse von relevanten Lieferanten sollte hier nicht vergessen werden. Dies kommt ebenfalls später zugute.
  • Erstellen Sie eine Tabelle oder Matrix, in der Sie die Anforderungen der NIS-2-Richtlinie den aktuellen Maßnahmen Ihres Unternehmens gegenüberstellen. Markieren Sie Bereiche, in denen Anpassungen erforderlich sind.

Externe Beratung in Anspruch nehmen:

  • Ziehen Sie gegebenenfalls spezialisierte Berater oder Auditoren hinzu, die bereits Erfahrung mit der NIS-2-Compliance haben. Diese Experten können Ihnen helfen, Lücken objektiv zu identifizieren und praxisorientierte Lösungen vorzuschlagen.
  • Berücksichtigen Sie bei der Auswahl von Beratern deren Fachkenntnisse und Referenzen in Ihrer spezifischen Branche.

c) Identifizierung von Risiken:

Detaillierte Risikoanalyse durchführen:

  • Führen Sie eine umfassende Analyse durch, um alle potenziellen Bedrohungen für Ihre Netz- und Informationssysteme in Bezug auf die nun bereits benannten betriebs-kritischen Systeme und Prozesse zu identifizieren. Nutzen Sie Methoden wie Bedrohungsmodellierung, Penetrationstests und Sicherheitsbewertungen.
  • Berücksichtigen Sie sowohl technische Risiken (z.B. Cyberangriffe, Systemausfälle, Lieferantenprobleme, etc.) als auch organisatorische Risiken (z.B. Insider-Bedrohungen, unzureichende Mitarbeiterschulung, Lieferanten, etc.).
  • Tipp: Berücksichtigen Sie hier – soweit möglich – auch schon Prozesse, IT-Systeme, Anwendungen, etc., die sich noch im Einführungsstadium befinden. So können Sie sich die Arbeit für später sparen. Die Ergebnisse können außerdem gleich in mögliche Verhandlungen mit Lieferanten einfließen.

Bewährte Methoden anwenden:

  • Tipp: Nutzen Sie etablierte Standards und Frameworks wie ISO 27001 oder NIST Cybersecurity Framework, um eine strukturierte und systematische Risikoanalyse durchzuführen. Diese Frameworks können auch eine erste Einschätzung geben, wie unklare Punkte der NIS-2 Richtlinie zu interpretieren sind.
  • Dokumentieren Sie alle identifizierten Risiken, um eine klare Basis für die nachfolgende Bewertung und Risikominderung zu schaffen.

d) Bewertung und Priorisierung

Risiken bewerten:

  • Analysieren Sie für jedes identifizierte Risiko die Wahrscheinlichkeit des Auftretens sowie das potenzielle Schadensausmaß. Diese Bewertung kann qualitative oder quantitative Ansätze nutzen, je nach den verfügbaren Daten und der Komplexität der Systeme.
  • Nutzen Sie Risiko-Metriken, um die Bewertung konsistent und nachvollziehbar zu gestalten.

Priorisierung der Risiken:

  • Ordnen Sie die Risiken nach ihrer Kritikalität und legen Sie fest, welche Risiken zuerst adressiert werden müssen. Anhand des risikobasierten Ansatzes, sollten hochkritische Risiken mit hoher Eintrittswahrscheinlichkeit und hohem Schadenspotenzial sofortige Aufmerksamkeit erhalten.
  • Entwickeln Sie eine Prioritätenliste, die als Grundlage für die Planung und Implementierung von Risikominderungsmaßnahmen dient.

e) Priorisierung der Maßnahmen:

Ermittlung des Handlungsbedarfs:

  • Nachdem die Lücken identifiziert wurden, bewerten Sie die Risiken und potenziellen Auswirkungen dieser Lücken auf Ihr Unternehmen. Priorisieren Sie die Lücken nach ihrer Kritikalität und Dringlichkeit. Hier kommt Ihnen nun der unter a) genannte Tipp zugute.
  • Nutzen Sie ein Risikobewertungs-Framework, wie z.B. die Risiko-Matrix, um Risiken anhand von Eintrittswahrscheinlichkeit und Schadensausmaß zu bewerten.
  • Tipp: Die NIS-2 Richtline verfolgt einen sogenannten risikobasierten Ansatz, den wir übrigens in vielen der neuen Gesetzgebungen finden. Dieser besagt, dass Unternehmen sich mit den bestehenden Risiken und Chancen auseinandersetzen, gleichzeitig die Ergebnisse von Maßnahmen aber auch im Verhältnis zu den eingesetzten Ressourcen stehen müssen. Bei der Auswahl der technischen und organisatorischen Maßnahmen soll also die Schwere des Risikos für Betroffene berücksichtigt werden.

Erstellen eines Umsetzungsplans:

  • Entwickeln Sie einen detaillierten Plan, der Maßnahmen zur Schließung der identifizierten Lücken, Verantwortlichkeiten und Zeitrahmen umfasst. Dieser Plan sollte klare Meilensteine und Deadlines enthalten.
  • Stellen Sie sicher, dass der Umsetzungsplan regelmäßig überprüft und aktualisiert wird, um auf neue Risiken und sich ändernde Anforderungen reagieren zu können.
  • Tipp: Auch wenn es anfänglich mehr Arbeit generiert, empfehle ich hier immer einen Projektplan zu erstellen, da man ansonsten leicht den Überblick verlieren kann. Dieser sollte (mindestens) die Action Items, einen Owner und ein Zieldatum zur Umsetzung inkl. einiger Unterschritte enthalten und regelmäßig aktualisiert und von den Fachbereichen gegengeprüft werden. Für die Erstellung von Projektplänen gibt es mittlerweile zahlreiche Tools. Ich bin nach wie vor ein Fan von den klassischen Tools, wie Excel oder GoogleSheets (letzteres bietet bessere Möglichkeiten zur Zusammenarbeit im Dokument).

II. Konkrete Tipps zur Umsetzung des § 30 (2) BSIG-E

§ 30 Abs. 2 der deutschen Umsetzung der NIS-2 Richtlinie (dem BSIG-E) bietet einen guten Startpunkt für die notwendigen Maßnahmen für jedes Unternehmen[3]. Im Folgenden liste ich die 10 genannten Punkte auf und gebe konkrete Umsetzungstipps dazu.

1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik

Umsetzungstipps:

  • Erstellen Sie ein Risikoanalyse-Framework: Entwickeln Sie ein strukturiertes Verfahren zur Identifizierung und Bewertung von Risiken für die IT-Sicherheit. Nutzen Sie bewährte Methoden wie die ISO 27005 oder NIST SP 800-30 für die Risikobewertung.
  • Definieren Sie Risikokategorien: Kategorisieren Sie Risiken nach Eintrittswahrscheinlichkeit und Schadensausmaß, um eine Priorisierung der Maßnahmen vornehmen zu können.
  • Durchführung regelmäßiger Analysen: Führen Sie mindestens jährlich oder bei wesentlichen Änderungen an den Systemen eine vollständige Risikoanalyse durch.
  • Dokumentieren Sie alle Risiken und Maßnahmen: Erstellen Sie eine vollständige Risikomatrix, in der alle Risiken und die zugehörigen Maßnahmen detailliert dokumentiert werden. Dies erleichtert das Nachverfolgen von Verbesserungen.
  • Tipp: Die Geschäftsleitung trifft über die NIS-2 Richtlinie zukünftig eine besondere persönliche Verantwortung (Umsetzungs-, Überwachungs- und Schulungspflichten). Dies sollte von Anfang an mit berücksichtigt werden.

2. Bewältigung von Sicherheitsvorfällen

Umsetzungstipps:

  • Entwickeln Sie einen Incident-Response-Plan: Dieser Plan sollte klare Richtlinien zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen enthalten. Weisen Sie spezifische Rollen und Verantwortlichkeiten zu; am besten wird dies mit den betroffenen Teams/Personen zusammen erarbeitet.
  • Implementieren Sie Monitoring-Tools: Nutzen Sie Sicherheitsüberwachungs- und Analysewerkzeuge, um ungewöhnliche Aktivitäten frühzeitig zu erkennen (z.B. SIEM-Systeme).
  • Regelmäßige Tests und Simulationen: Führen Sie regelmäßig Incident-Response-Übungen durch, wie z.B. Tabletop-Simulationen, um die Einsatzfähigkeit des Teams zu testen.
  • Lernprozesse etablieren: Nach jedem Sicherheitsvorfall sollten Analysen durchgeführt und Maßnahmen ergriffen werden, um ähnliche Vorfälle in Zukunft zu verhindern (z.B. Root-Cause-Analysen).
  • Tipp: Betreiber kritischer Anlagen sind zukünftig – soweit zumutbar – verpflichtet Systeme zur Angriffserkennung einzusetzen (vgl. § 31 Abs. 2 BSIG-E)

3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement

Umsetzungstipps:

  • Einrichtung eines Disaster-Recovery-Plans: Stellen Sie sicher, dass für alle geschäftskritischen Systeme ein umfassender Plan zur Wiederherstellung nach einem Ausfall vorliegt.
  • Regelmäßige Backups: Implementieren Sie tägliche oder wöchentliche Backups aller wichtigen Daten und Systeme und speichern Sie diese an einem externen, sicheren Standort.
  • Notfallübungen: Testen Sie regelmäßig Ihre Wiederherstellungsprozesse durch simulierte Notfälle, um sicherzustellen, dass Backups korrekt funktionieren und Mitarbeiter auf den Ernstfall vorbereitet sind.
  • Krisenmanagement-Team: Richten Sie ein dediziertes Krisenmanagement-Team ein, das im Falle eines Notfalls sofort einsatzbereit und weiß was zu tun ist.
  • Tipp: Hierzu gehören zukünftig auch eine Reihe an bestimmten Meldepflichten z.B. an Kunden, weitere Betroffene und ggf. Behörden.

4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern

Umsetzungstipps:

  • Lieferanten-Risikomanagement: Entwickeln Sie ein System zur Bewertung und Überwachung der Sicherheitspraktiken Ihrer Lieferanten. Fordern Sie regelmäßige Berichte und Audits an.
  • Vertragliche Sicherheitsanforderungen: Stellen Sie sicher, dass in allen Lieferantenverträgen klare Anforderungen an die IT-Sicherheit definiert sind. Diese sollten auch Meldepflichten bei Sicherheitsvorfällen beinhalten.
  • Überprüfen der Lieferkette: Führen Sie regelmäßige Prüfungen durch, um sicherzustellen, dass die gesamte Lieferkette (einschließlich Unterlieferanten) die Sicherheitsanforderungen einhält.
  • Kooperationsvereinbarungen: Erarbeiten Sie mit Ihren wichtigsten Lieferanten Notfallpläne, um die Zusammenarbeit im Krisenfall sicherzustellen.
  • Tipp: Viele Ihrer Lieferanten werden nicht direkt von NIS-2 betroffen sein. Bereiten Sie daher eine gute Kommunikation dazu vor, um unnötiges Hin und Her zu vermeiden.

5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen

Umsetzungstipps:

  • Sicherheitsanforderungen bei Beschaffung: Integrieren Sie Sicherheitsanforderungen in Ihre Beschaffungsrichtlinien. Stellen Sie sicher, dass Ihr Einkauf und die beschaffenden Fachabteilungen ein gutes Basiswissen zu den Anforderungen haben und sicherstellen können, dass alle neuen Systeme und Softwareprodukte die aktuellen Sicherheitsstandards erfüllen und dies auch in den Verträgen festgehalten wird.
  • Schwachstellenmanagement: Implementieren Sie ein Programm zur regelmäßigen Identifizierung und Behebung von Schwachstellen in Ihrer IT-Infrastruktur (z.B. durch automatisierte Schwachstellenscanner).
  • Sichere Entwicklungsprozesse: Nutzen Sie sichere Programmierstandards und Sicherheits-Frameworks bei der Entwicklung neuer Software (z.B. OWASP Best Practices).
  • Veröffentlichung von Schwachstellen: Legen Sie einen Prozess fest, wie Schwachstellen gemeldet und schnell behoben werden können, sowohl intern als auch bei Kunden, weiteren Betroffenen und Behörden.
  • Tipp: Einige Software darf zukünftig nur noch eingesetzt werden, wenn sie durch die ENISA (Agentur der Europäischen Union für Cybersicherheit) freigegeben wurde.

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik

Umsetzungstipps:

  • Regelmäßige Audits: Führen Sie mindestens jährlich interne und externe Audits durch, um die Effektivität der bestehenden Risikomanagementprozesse zu überprüfen.
  • Metriken für Effektivität: Entwickeln Sie Kennzahlen (KPIs), um die Wirksamkeit der umgesetzten Maßnahmen zu messen. Dazu gehören z.B. die Anzahl der Sicherheitsvorfälle, die Zeit zur Behebung oder die Compliance-Rate.
  • Feedback-Schleifen: Etablieren Sie einen Prozess, bei dem die Ergebnisse der Audits und Sicherheitsüberprüfungen in die Verbesserung der Sicherheitsmaßnahmen einfließen.
  • Dokumentation der Wirksamkeit: Erfassen Sie systematisch die Ergebnisse von Tests und Maßnahmen, um deren Wirksamkeit und die fortlaufende Verbesserung nachzuweisen.

7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik

Umsetzungstipps:

  • Cyberhygiene-Richtlinien: Entwickeln Sie klare Richtlinien für alle Mitarbeiter zu den Grundlagen der Cyberhygiene, wie z.B. sichere Passwörter, Phishing-Erkennung, Software-Updates und die Nutzung von VPNs.
  • Regelmäßige Schulungen: Organisieren Sie mindestens jährlich Schulungen zur IT-Sicherheit für alle Mitarbeiter, angepasst an die jeweilige Rolle im Unternehmen. Führen Sie auch spezielle Schulungen für IT-Personal durch.
  • Phishing-Tests: Führen Sie regelmäßige simulierte Phishing-Angriffe durch, um das Bewusstsein der Mitarbeiter zu erhöhen und ihre Reaktionen zu überprüfen.
  • Cyberhygiene-Kampagnen: Starten Sie interne Informationskampagnen, um das Bewusstsein für Cybersicherheit zu stärken, z.B. durch Pop-ups, Poster, E-Mails oder Intranet-Artikel.

8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung

Umsetzungstipps:

  • Verschlüsselungspolitik: Erstellen Sie eine Richtlinie, die festlegt, welche Daten verschlüsselt werden müssen und welche Verschlüsselungstechnologien verwendet werden sollen (z.B. AES, RSA).
  • End-to-End-Verschlüsselung: Implementieren Sie sichere End-to-End-Verschlüsselung für alle sensiblen Datenübertragungen, einschließlich E-Mails, Dateitransfers und Kommunikationsdienste.
  • Zertifikatsmanagement: Richten Sie ein System zur Verwaltung von SSL/TLS-Zertifikaten ein, um sicherzustellen, dass alle Zertifikate regelmäßig aktualisiert und erneuert werden.
  • Schlüsselmanagement: Nutzen Sie sichere Methoden für die Erstellung, Speicherung und Verwaltung von Kryptografie-Schlüsseln, um den Zugriff auf vertrauliche Daten zu schützen.

9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen

Umsetzungstipps:

  • Zugriffsrichtlinien: Entwickeln Sie eine Richtlinie zur Zugriffskontrolle, die sicherstellt, dass Mitarbeiter nur auf die Systeme und Daten zugreifen können, die sie für ihre Arbeit benötigen (Prinzip der geringsten Rechte).
  • Multi-Faktor-Authentifizierung (MFA): Implementieren Sie MFA für alle Benutzerkonten, insbesondere für privilegierte und administrative Zugänge.
  • Kontrolle physischer Zugänge: Stellen Sie sicher, dass der physische Zugang zu sensiblen IT-Anlagen (z.B. Serverräumen) durch Sicherheitsmaßnahmen wie elektronische Zutrittskontrollen und Überwachungskameras geschützt ist.
  • Regelmäßige Überprüfung von Zugriffsrechten: Führen Sie regelmäßig Überprüfungen durch, um sicherzustellen, dass Mitarbeiter nur die erforderlichen Zugriffsrechte haben und veraltete oder unnötige Zugänge widerrufen werden.
  • Tipp: Viele dieser Punkte sollten Ihnen bereits über die technischen und organisatorischen Maßnahmen der DS-GVO bekannt sein.  

10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Umsetzungstipps:

  • MFA einführen: Setzen Sie Multi-Faktor-Authentifizierung für alle kritischen Systeme und Anwendungen ein, um das Risiko von Kontoübernahmen zu minimieren.
  • Sichere Kommunikationsplattformen: Verwenden Sie verschlüsselte Kommunikationslösungen für Sprach-, Video- und Textnachrichten, insbesondere für den Austausch sensibler Informationen.
  • Notfallkommunikationssysteme: Implementieren Sie redundante, gesicherte Kommunikationssysteme für den Krisenfall (z.B. Satellitentelefone, verschlüsselte Notfall-Messaging-Apps), um sicherzustellen, dass die Kommunikation auch bei Ausfällen gewährleistet ist.
  • Automatisierte Authentifizierungssysteme: Erwägen Sie die Einführung von kontinuierlichen Authentifizierungstechniken, die auf biometrischen Daten oder Verhaltensanalysen basieren, um die Sicherheit von Zugriffen zu erhöhen.

Diese Umsetzungstipps sollen Unternehmen dabei unterstützen, die Anforderungen des § 30 Abs. 2 BSIG-E systematisch und praxisnah zu erfüllen, um die IT-Sicherheit zu stärken und Risiken im digitalen Umfeld effektiv zu minimieren.

III. Regelmäßige Audits und Schulungen

a) Planung und Durchführung von Audits:

Regelmäßige interne und externe Audits:

  • Führen Sie regelmäßige Audits durch, um die Einhaltung der NIS-2-Richtlinie und die Wirksamkeit Ihrer Sicherheitsmaßnahmen zu überprüfen. Interne Audits sollten durch eine unabhängige Abteilung innerhalb des Unternehmens durchgeführt werden, während externe Audits von spezialisierten Dienstleistern durchgeführt werden sollten.
  • Überprüfen Sie alle relevanten Prozesse, Systeme und Dokumentationen auf Compliance und Sicherheit.

Nachverfolgung und Umsetzung von Audit-Empfehlungen:

  • Entwickeln Sie nach jedem Audit einen Maßnahmenplan, um die identifizierten Schwachstellen zu beheben. Verfolgen Sie die Umsetzung dieser Maßnahmen systematisch und berichten Sie regelmäßig an die Geschäftsführung über den Fortschritt.
  • Stellen Sie sicher, dass Maßnahmen aus früheren Audits überprüft wurden und ihre Wirksamkeit nachgewiesen ist.

b) Schulung und Sensibilisierung:

Kontinuierliche Weiterbildung der Mitarbeiter:

  • Implementieren Sie ein Schulungsprogramm, das alle Mitarbeiter regelmäßig über die neuesten Sicherheitsbedrohungen, Best Practices und Compliance-Anforderungen informiert. Schulungen sollten sowohl allgemeine Sicherheitsaspekte als auch spezifische Anforderungen der NIS-2-Richtlinie abdecken.
  • Bieten Sie spezielle Schulungen für Führungskräfte und technische Mitarbeiter an, um deren Kenntnisse über die Einhaltung und Umsetzung von Sicherheitsmaßnahmen zu vertiefen.

Sensibilisierungskampagnen:

  • Starten Sie interne Sensibilisierungskampagnen, um das Bewusstsein für Cybersicherheit im gesamten Unternehmen zu stärken. Nutzen Sie Poster, Newsletter, E-Mails und Workshops, um wichtige Sicherheitsbotschaften zu verbreiten.
  • Integrieren Sie Sicherheitsbewusstsein in die Unternehmenskultur, indem Sie regelmäßige Sicherheitsveranstaltungen und -wettbewerbe durchführen, die das Engagement der Mitarbeiter fördern.

Wie Sie sehen, gibt es einiges zu tun! Durch die pragmatische Umsetzung dieser Schritte kann Ihr Unternehmen nicht nur die Anforderungen der NIS-2-Richtlinie erfüllen, sondern auch die allgemeine Cyber-Resilienz und Sicherheit Ihrer Netz- und Informationssysteme erheblich steigern.

[1] NIS2UmsuCG-E: Bearbeitungsstand vom 22.07.2024

[2] Zum einfacheren Verständnis nutze ich in diesem Artikel aber weiter den Begriff NIS-2 Richtlinie.

[3] Ausnahmen gelten bei diesen Punkten für Unternehmen der Finanz-, Telematik-, Telekommunikations- und Energieversorgungsbranche. Im Ergebnis finden auf diese aber ähnliche Anforderungen aus anderer Gesetzgebung Anwendung.