NIS 2 auf den Punkt gebracht
Die EU erhöht die Sicherheit und Deutschland zieht nach. Mit der zweiten Version der Richtlinie zur Netz- und Informationssicherheit gibt es neue Sicherheitsvorgaben für dann viel mehr Unternehmen und Organisationen. Da die Richtlinie nun in nationales Gesetz umgesetzt wird und gerade in den Bundestag gegangen ist, geben wir hier noch einmal eine Übersicht, wer betroffen ist und warum, was getan werden muss, welche Strafen drohen und wie man diese vermeidet – natürlich auch mit organisatorischer und technischer Hilfe.
Wer ist NIS-2-betroffen?
Ein maßgebliches Problem bei NIS 2 ist, dass sich viele Unternehmen und Organisationen fragen, ob sie überhaupt betroffen sind. Was verständlich ist, denn waren es vorher 4.700 Unternehmen, die zur Kritischen Infrastruktur zählten und sich deshalb stärker absichern mussten, sind es mit NIS 2 um die 30.000. Dem BSI scheint dieser Umstand auch bekannt, weswegen es eine Prüfung anbietet, ob die jeweiligen Unternehmen oder Organisationen unter die Regelung fallen.
Aber warum sind nun so viel mehr Unternehmen betroffen?
Die Anzahl an schutzwürdigen Unternehmen ist so stark angewachsen, weil neben den KRITIS-Unternehmen jetzt auch sogenannte wichtige und besonders wichtige Einrichtungen dazugekommen sind. Die wichtigen Einrichtungen sind Organisationen und Unternehmen, die wesentliche Dienstleistungen in bestimmten Sektoren (z.b.: Energie, Transport, Bankwesen, Gesundheitswesen, Trinkwasserversorgung, Abwasserentsorgung) erbringen und deren Unterbrechung erhebliche Auswirkungen auf die wirtschaftliche und gesellschaftliche Tätigkeit haben kann. Besonders wichtige Einrichtungen sind eine Unterkategorie innerhalb der wichtigen Einrichtungen. Sie erbringen besonders kritische Dienstleistungen, deren Ausfall oder Beeinträchtigung schwerwiegende Folgen für die öffentliche Sicherheit, Gesundheit oder das wirtschaftliche und soziale Wohl der Bevölkerung haben kann. Darunter fallen bspw. Kernkraftwerke und andere hochriskante Energieanlagen sowie Telekommunikationsinfrastrukturen von nationaler Bedeutung und größere Finanzmarktinfrastrukturen.
Mindestanforderungen an das Risikomanagement
NIS 2 hat einige Vorgaben, die von den betroffenen Unternehmen und Organisationen unbedingt eingehalten werden müssen, um ein Minimum an Risikomanagement betreiben zu können.
- Sicherheitsrichtlinien und Governance:
- Entwicklung und Implementierung von Sicherheitsrichtlinien und -prozessen.
- Festlegung klarer Verantwortlichkeiten und Governance-Strukturen für die Cybersicherheit.
- Risikobewertung und Risikomanagement:
- Durchführung regelmäßiger Risikobewertungen zur Identifizierung und Bewertung von Bedrohungen und Schwachstellen.
- Implementierung angemessener Risikomanagementmaßnahmen zur Minderung identifizierter Risiken.
- Technische und organisatorische Maßnahmen:
- Implementierung technischer und organisatorischer Maßnahmen zur Sicherstellung der Netz- und Informationssicherheit.
- Maßnahmen müssen sich auf die Prävention, Erkennung, Reaktion und Wiederherstellung von Cybervorfällen konzentrieren.
- Vorfallmanagement:
- Einrichtung von Verfahren zur Meldung, Analyse und Reaktion auf Sicherheitsvorfälle.
- Gewährleistung einer schnellen Wiederherstellung der Dienstleistungen nach einem Vorfall.
- Sicherheitsüberprüfungen und -audits:
- Durchführung regelmäßiger Sicherheitsüberprüfungen und -audits zur Bewertung der Wirksamkeit der Sicherheitsmaßnahmen.
- Anpassung und Verbesserung der Sicherheitsmaßnahmen basierend auf den Ergebnissen der Überprüfungen.
- Sicherheitsbewusstsein und Schulung:
- Förderung des Sicherheitsbewusstseins und Durchführung regelmäßiger Schulungen für das Personal.
- Sicherstellung, dass alle Mitarbeiter über die aktuellen Sicherheitsbedrohungen und -praktiken informiert sind.
- Zugriffs- und Identitätsmanagement:
- Implementierung strenger Zugriffs- und Identitätsmanagementrichtlinien.
- Sicherstellung, dass nur autorisierte Personen Zugang zu kritischen Systemen und Informationen haben.
- Schutz der Lieferkette:
- Bewertung und Sicherstellung der Sicherheit der Lieferkette.
- Zusammenarbeit mit Lieferanten und Partnern zur Gewährleistung eines hohen Sicherheitsniveaus.
Bei Nichtbeachtung drohen hohe Strafen
Wie bei anderen EU-weiten Regelungen, können die Strafen bei Nichteinhaltung sehr ernst werden. Dies kann dann nicht nur das Unternehmen treffen, sondern auch die Leistungsorgane von Unternehmen und Organisationen treffen.
Verwaltungsrechtliche und finanzielle Sanktionen:
Unternehmen können mit Bußgeldern von bis zu mindestens 10 Mio. / 7 Mio. EUR oder 2,0 % / 1,4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres belegt werden. Hier ist entscheidend, ob ich es sich um eine wichtige oder besonders wichtige Einrichtung handelt. Hinweis: Keine doppelte Geldstrafe, wenn ein Vorfall DSGVO-relevante Daten enthält.
Persönliche Haftung:
Leitungsorgane von wichtigen und besonders wichtigen Unternehmen können zur Rechenschaft gezogen werden, wenn sie keine Maßnahmen zum Risikomanagement im Cybersecurity Bereich ergreifen. Hinweis: Mitgliedstaatsspezifische Auslegung steht noch aus.
Fristen und Umsetzung
Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen sich bei den zuständigen nationalen Behörden – in Deutschland beim BSI – registrieren.
Registrierungsprozess
- Ermittlung der Zuständigkeit
- Unternehmen und Organsiationen müssen zunächst feststellen, ob sie als besonders wichtige Einrichtungen oder wichtige Einrichtungen eingestuft werden und ob sie unter die NIS-2-Richtlinie fallen.
- Dies erfolgt in der Regel durch eine Selbsteinschätzung und Kommunikation mit dem BSI.
- Kontaktaufnahme mit der zuständigen Behörde
- Betroffene Unternehmen und Organisationen müssen sich an das BSI wenden, um den Registrierungsprozess zu starten.
- Auf der Webseite des BSI gibt es spezifische Formulare und Anleitungen.
- Einreichung der erforderlichen Informationen
- Unternehmen und Organisationen müssen eine Reihe von Informationen einreichen, darunter Beschreibung der wesentlichen Dienste, Informationen über die Netz- und Informationssysteme sowie Informationen über Sicherheitsvorkehrungen und -maßnahmen.
- Bestätigung der Registrierung
- Nach der Einreichung der erforderlichen Informationen überprüft das BSI diese und bestätigt die Registrierung.
- Regelmäßige Updates und Berichterstattung
- Unternehmen sind verpflichtet, die Informationen regelmäßig zu aktualisieren und über wesentliche Änderungen oder Sicherheitsvorfälle zu berichten.
Fristen
|
Wichtige Einrichtungen
|
Besonders wichtige Einrichtungen
|
Betreiber kritischer Anlagen (KRITIS)
|
Registrierung
|
spätestens 3 Monate nach Identifizierung gem. §33 (1)
|
spätestens 3 Monate nach Identifizierung gem. §33 (1) und §33 (2)
|
Nachweis
|
BSI kann wichtige Einrichtungen überprüfen, wenn Verdacht auf Nichteinhaltung besteht.
|
BSI kann frühestens 3 Jahre nach Inkrafttreten Nachweise über Umsetzung von Anforderungen anordnen.
|
Pflicht zum Erstnachweis der Maßnahmenumsetzung innerhalb von 3 Jahren an das BSI. Fortlaufende Nachweise alle 3 Jahre.
|
Melde- und Berichtspflichten nach NIS 2
- Meldepflichten bei Sicherheitsvorfällen:
- Erstmeldung: Bei einem erheblichen Sicherheitsvorfall müssen betroffene Einrichtungen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnis des Vorfalls, eine Erstmeldung an das BSI oder das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) abgeben. Diese Erstmeldung sollte eine vorläufige Einschätzung der Auswirkungen und, soweit bekannt, der Ursache des Vorfalls enthalten.
- Folgemeldung: Innerhalb von 72 Stunden nach der Erstmeldung muss eine detailliertere Meldung folgen, die weitere Informationen zum Vorfall, den betroffenen Systemen, den Auswirkungen, den ergriffenen Gegenmaßnahmen und gegebenenfalls der Einschätzung zur Wiederherstellungszeit enthält.
- Inhalt der Meldungen:
- Beschreibung des Sicherheitsvorfalls, einschließlich Art und Umfang.
- Bewertung der Auswirkungen auf die Erbringung von Dienstleistungen.
- Maßnahmen, die ergriffen wurden oder geplant sind, um den Vorfall zu bewältigen und zukünftige Vorfälle zu verhindern.
- Soweit möglich, Informationen zur Quelle des Angriffs und zur Motivation der Angreifer.
- Berichtspflichten:
- Regelmäßige Berichte über Sicherheitsvorfälle und Trends müssen an die zuständigen Behörden übermittelt werden.
- Jährliche Berichte über die allgemeine Cybersicherheitslage und über durchgeführte Maßnahmen zur Verbesserung der Sicherheit.
- Bei besonders wichtigen Einrichtungen können zusätzliche Berichtspflichten auferlegt werden, um eine engere Überwachung sicherzustellen.
- Zusammenarbeit und Informationsaustausch:
- Einrichtungen sind verpflichtet, mit den nationalen Behörden und anderen relevanten Akteuren zusammenzuarbeiten, um Informationen über Bedrohungen, Schwachstellen und Vorfälle auszutauschen.
- Teilnahme an Informationsaustauschplattformen und Netzwerken zur Förderung der Cybersicherheit.
- Vertraulichkeit und Datenschutz:
- Die Meldungen und Berichte müssen unter Berücksichtigung von Vertraulichkeits- und Datenschutzanforderungen erfolgen.
- Sensible Informationen sollten nur mit den relevanten Behörden und Stellen geteilt werden, die für die Bewältigung des Vorfalls erforderlich sind.
- Sanktionen bei Nichteinhaltung:
- Einrichtungen, die ihren Melde- und Berichtspflichten nicht nachkommen, können mit Sanktionen belegt werden. Diese können von Geldbußen bis hin zu administrativen Maßnahmen reichen.
Was ist zu tun, um eines robustes Risikomanagementsystems zu implementieren?
- Erstellung von Sicherheitsrichtlinien:
Hierbei hilft eine gute Beratung, kann aber natürlich auch von den Sicherheitsexperten im Haus aufgestellt werden. Wichtig ist hierbei, dass diese Richtlinien niemals alleine auf einem eigenen Server liegen dürfen, da sie sonst im Ernstfall nicht erreichbar sind.
- Initiale Risikobewertung und regelmäßige Überprüfung:
Hier geht es vor allem um das Thema Schwachstellenmanagement. Hier können Tools wie Tenable eine große Hilfe sein.
- Implementierung angemessener Risikomanagementmaßnahmen
Das Risikomangment kann in zwei Bereiche unterteilt werden. Einmal technische Maßnahmen, aber auch organisatorische Maßnahmen
3.1 Technische Sicherheitsmaßnahmen:
Hierzu gehören zum einen Firewalls wie Fortinet, aber auch SIEM-Plattformen wie die von IBM QRadar.
3.2 Organisatorische Sicherheitsmaßnahmen:
Hier ist vor allem ein Informationssicherheitsmanagementsystem (ISMS) unverzichtbar, um eine Übersicht zu behalten. Eines der besten am Markt ist hier ganz klar CRISAM® von CALPANA, das ebenfalls ein GRC ist und somit hilft, Governance-Strukturen einzuführen.
- Mitarbeiterschulungen und Sensibilisierung:
Security Awareness Training Plattformen wie das von Proofpoint bieten maßgeschneiderte Schulungen und simulierte Phishing-Angriffe.
- Entwicklung eines Incident Response Plans:
Incident Response Plattformen wie Rapid7 InsightIDR unterstützen die Dokumentation und Automatisierung von Vorfallreaktionen.
- Überwachung und kontinuierliche Verbesserung
Network Monitoring Tools wie von NIKSUN oder VIAVI überwachen Netzwerkaktivitäten und erkennen Anomalien.
Endpoint Detection and Response (EDR) Tools wie von CrowdStrike bieten fortschrittliche Erkennung und Sicherung auf Endpunkten.
- Dokumentation und Berichterstattung
Es ist wichtig, alle Sicherheitsmaßnahmen, Risikobewertungen, Vorfallsreaktionen und Audits detailliert zu dokumentieren. Hierbei muss sichergestellt sein, dass die Dokumentation regelmäßig aktualisiert und leicht zugänglich ist. Aus dieser Dokumentation sollten regelmäßige Berichte über den Stand der Cybersicherheit und die umgesetzten Maßnahmen für die Geschäftsführung bereitgestellt werden, damit diese über aktuelle Risiken, Sicherheitsvorfälle und Maßnahmen zur Risikominderung informiert ist.
Fazit
NIS 2 steht vor der Umsetzung und wird viele Unternehmen betreffen. Das ist jedoch kein Problem, da es viel Hilfe in Form von Beratung und Lösungen gibt, die dabei unterstützen, die Regularien einzuhalten und nicht in die Gefahr zu laufen, bestraft zu werden.
Interessanter Nachtrag
Der Deutsche Landkreistag als Bundesvereinigung der kommunalen Spitzenverbände empfiehlt in seinem Rundschreiben XX/24 vom 08.05.2024, dass kommunale Organisationen auf Landkreisebene sich „fakultativ“ als kritische Infrastrukturen einwerten, was vor dem Hintergrund der Bedeutsamkeit des öffentlichen Auftrags der jeweiligen Institutionen als höchst problematisch zu bewerten ist.