Mit der Weiterentwicklung der NIS-Richtlinie kommen ab 2025 strengere und weitreichendere Sicherheitsanforderungen auf eine Vielzahl an Unternehmen wichtiger Sektoren zu. Wir erklären, welche Handlungsmaßnahmen zeitnah getroffen werden müssen, um den Anforderungen von NIS 2 gerecht zu werden.
Was ist die NIS Richtlinie und wer ist von NIS 2 betroffen?
Ab Oktober 2024 müssen alle Europäischen Staaten die Directive (EU) 2022/255, die neueste NIS Richtlinie der EU zur Cybersicherheit, in die lokalen Gesetze übernehmen. Dies findet gemeinsam mit dem Inkrafttreten der Verordnungen ab 2025 statt. In einigen Ländern, darunter auch Deutschland, wird bereits das Frühjahr 2025 angestrebt.
„Network and Information Systems Security Act”, kurz NIS, legt den gemeinsamen Sicherheitsrahmen für Netz- und Informationssysteme innerhalb der EU fest. Die Sicherheitsanforderungen der neuen NIS-Richtlinie sind im Vergleich zu NIS1 in ihrem Geltungsbereich um weitere Branchen und die anzusiedelnden Teilgebiete erweitert worden.
- Zum einen sind Großunternehmen aus den Bereichen Energie, Gesundheitswesen, Banken, Finanzmärkte, Wasserwirtschaft, Digitales, Informations- und Kommunikationstechnologie, Raumfahrt sowie die öffentliche Verwaltung betroffen. Dazu zählen auch KRITIS-Betreiber, qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Dienste, Telekommunikationsanbieter, Ministerien und das Kanzleramt.
- Ebenfalls erfasst sind mittlere Unternehmen aus kritischen Sektoren wie Chemie, Lebensmittel, Industrie, Abfallmanagement, Post- und Kurierdienste sowie digitale Services. Auch die Rüstungsindustrie, Störfallbetriebe und Anbieter für Vertrauensdienste und Verschlusssachen fallen unter die Regelungen.
Details zur exakten Klassifizierung und den spezifischen Sicherheitsanforderungen werden in nationalen Rechtsverordnungen präzisiert. NIS 2 wird in Deutschland durch die Umsetzung in das IT-Sicherheitsgesetz 2.0 und das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) abgedeckt. Das BSI bietet eine NIS-2-Betroffenheitsprüfung für Unternehmen an.
Welche Implementierungsmaßnahmen sind für NIS 2 zu treffen?
Betroffene Unternehmen sind zur Erfüllung der NIS2-Anforderungen unter persönlicher Haftung verpflichtet. Die Vorgaben richten sich zum einen an die Cybersecurity Risikomanagement Maßnahmen, sowohl digital als auch physisch. Zudem wird eine Auditierungspflicht für KRITIS-Betreiber und besonders wichtige Einrichtungen in Kraft treten.
Die Berichtsvorschriften und Meldefrist zu Sicherheitsvorfällen werden ebenfalls strenger reguliert sein, nicht nur an das BSI, sondern auch bezüglich der Supply Chain und der entsprechenden Informierung der Kunden. Folgende organisationale und technische Maßnahmen stehen im Fokus der strengeren Anforderungen:
-
Richtlinien:
Leitlinien für Risikomanagement und Informationssicherheit -
Incident Management:
Prävention, Erkennung und Management von Cybervorfällen -
Geschäftskontinuität:
BCM mit Backup-Management, DR, Krisenmanagement -
Lieferkette:
Sicherheit in der Lieferkette - zur Sicherung der Entwicklung bei Zulieferern -
Netz- und IS-Beschaffung, Entwicklung und Wartung:
Sicherheit bei der Beschaffung von IT- und Netzwerksystemen inkl. Schwachstellenmanagement -
Wirksamkeit:
Ziele für die Messung von Cyber- und Risikomaßnahmen
- Cybersicherheitshygiene und -schulungen
-
Kryptographie:
Spezifikationen für Kryptographie und, wo möglich, Verschlüsselung -
Personal:
Personelle Sicherheit - Zugangskontrolle
- Vermögensverwaltung
-
Authentifizierung:
Einsatz von Mehrfaktor-Authentifizierung und SSO -
Kommunikation:
Einsatz von sicherer Sprach-, Video- und Textkommunikation -
Notfall-Kommunikation:
Einsatz von sicheren Notfall-Kommunikationssystemen
Künftigen Herausforderungen mit Best Practices begegnen
Um sich als betroffenes Unternehmen auf die bevorstehenden Vorgaben vorzubereiten, legt eine Asset und Gap Analyse den ersten Grundstein. Dazu können die Cyber Risk Management sowie die Incident Management und Business Continuity Prozesse festgelegt und der Kontakt zu Computer Security Incident Response Teams eingerichtet werden.
SIEM-Systeme ermöglichen es Unternehmen, ihre Netzwerke in Echtzeit zu überwachen, um von einer sofortigen Gefahren- und Angriffserkennung zu profitieren.
SIEM-Systeme sammeln und speichern Protokolle von verschiedenen Quellen, was zur Erkennung von Mustern und Trends bei Sicherheitsgefahren und Angriffen beiträgt.
Bei einem Angriff können SIEM-Systeme dazu beitragen, den Vorfall schnell zu erkennen, zu analysieren und entsprechende Maßnahmen einzuleiten.
Ein SIEM-System unterstützt u.a. KRITIS Unternehmen dabei, den Nachweis zu erbringen, dass die gesetzlichen Sicherheitsvorschriften eingehalten werden.
Durch die Analyse von Protokollen und anderen Daten kann ein SIEM-System dazu beitragen, bekannte und unbekannte Bedrohungen zu erkennen und darauf zu reagieren.
SIEM-Systeme können viele Sicherheitsprozesse automatisieren, was Zeit und Ressourcen spart und die Effizienz erhöht.
Erfahre alles über die Angriffserkennung mit SIEM: 5 Anwendungsfälle für SIEM-Systeme