Die NIS2 ist mehr als nur Compliance

Seit Ende Juli steht fest, die NIS2 kommt. Bis Oktober müssen in Deutschland KRITIS-Betreiber aus den Bereichen Energie, Transport und Verkehr, Trinkwasser, Abwasser und Telekommunikation darauf reagieren.

Für mehr als 29,500 Unternehmen gilt nun mehr zu tun als nur Checklisten zu pflegen, sondern die Grundlagen der IT-Sicherheit umzusetzen.

Versäumnisse werden nicht nur von Cyberkriminellen ausgenutzt, sondern künftig auch bestraft. Sanktionen für nicht oder zu spät gemeldete IT-Sicherheitsverstöße gibt es in Europa bereits seit der Einführung der DSGVO in 2015. Seitdem müssen Unternehmen bei schweren Verstößen mit Bußen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gerechnet werden. Die NIS2 geht noch einen Schritt weiter. Zusätzlich werden – bei einem nachgewiesenen Fehlverhalten – die Führungskräfte eines Unternehmens, in der NIS2 als ‚Leitungsorgane‘ bezeichnet, in Haftung genommen.

Die NIS2 sieht vor, dass die Geschäftsführung die Risikomanagement-Maßnahmen für Cybersicherheit billigt und die Umsetzung in ihrer Einrichtung oder ihrem Unternehmen überwacht. Sie muss sicherstellen, dass im Fall eines erfolgreichen Angriffs betroffenen Partnern, Zulieferern und Kunden sowie den zuständigen nationalen Behörden Meldung erstattet wird. Um diesen Aufgaben gerecht zu werden, sollen Führungskräfte regelmäßig an Cybersicherheitsschulungen teilnehmen, die sie in die Lage versetzen, Cyberrisiken und Cybersicherheitsmaßnahmen zu erkennen und zu bewerten. Kommen sie dem – nachgewiesenermaßen – nicht nach, kann sie – persönlich – für die Vernachlässigung ihrer Sorgfaltspflicht haftbar gemacht werden. Dieser Umstand hat bereits zu zahlreichen Diskussionen geführt. Denn explizit wird erwähnt, dass die Geschäftsführung von der Wahrnehmung ihrer Leitungsaufgaben entbunden werden kann, bis die Mängel an der NIS2 beseitigt worden sind.

Führungskräfte können ihre Unternehmen noch immer darauf vorbereiten und sich vor den Strafen und Haftbarkeits-Diskussionen schützen. Die NIS2 sieht 10 Anforderungen vor, die mit verschiedenen organisatorischen und technischen Maßnahmen noch vor Oktober umgesetzt werden können. Mit der NIS2 werden Cybersicherheitsmaßnahmen in ganz Europa ein einheitlicher Rahmen gegeben. Bislang orientieren sich Informationssicherheitsexperten vor allem an internationalen Standards wie der NIST, CIS Controls, ISO 27001 und anderen wie dem IT-Grundschutz des BSI. Cyberrisiken sollen so spürbar reduziert werden. Damit dieser Plan gelingen kann, ist es unabdingbar, dass sich neben den Informationssicherheitskräften auch die Führungskräfte der betroffenen Unternehmen und Einrichtungen in die Implementierung und Aufrechterhaltung der NIS2-Compliance ihrer IT-Systeme aktiv einbringen.

Als Führungskräfte sollten die folgenden vier Punkte beachten, denn sie helfen ihnen beim Verständnis der Materie und erlauben ihnen die nötigen Maßnahmen zu veranlassen:

1. Sensibilisierung: Führungskräfte müssen sich grundlegend mit der Materie der Cybersicherheit vertraut machen, so dass sie in engem Austausch mit ihren Informationssicherheitsexperten stehen, von diesen informiert werden und ihnen fundierte Weisungen erteilen können.
2. Personal: Sie müssen sich eine agile Informationssicherheitsabteilung aufbauen, mit dem sich die erhöhten Anforderungen von NIS2 bewerkstelligen lassen. Dabei wird es unerlässlich sein, neben dem Chief Information Security Officer (CISO) für die Datensicherheit auch einen Data Protection Officer (DPO) einzusetzen. Es sollte tunlichst darauf geachtet werden, nicht einer Person beide Posten zu übertragen, sondern die Aufgaben sinnvoll untereinander aufzuteilen.
3. Audit: Sie müssen sicherstellen, dass die einzelnen Bereiche einer kritischen Prüfung und Analyse hinsichtlich der Risikolage unterzogen, an NIS2 angepasst und NIS2-konform auditiert werden.
4. Incident Response: Nicht zuletzt müssen sie außerdem sicherstellen, dass Vorkehrungen für den Fall eines erfolgreichen Cyberangriffs auf das Unternehmen oder die Einrichtung getroffen werden. Partner, Zulieferer und Kunden sowie die entsprechenden nationalen Behörden werden dann schnellstmöglich informiert werden müssen. Die Zeitvorgaben für die Meldung von Vorfällen umfassen eine Frühwarnung, die innerhalb von 24 Stunden nach Kenntniserlangung über den Vorfall an die Behörde erfolgen muss, eine bereits detailliertere und formellere Meldung innerhalb von 72 Stunden und einen Abschlussbericht einen Monat nach Einreichung der Meldung.

Fazit

Nur wenn Geschäftsführung und Informationssicherheitsfachleute an einem Strang ziehen, kann die Umstellung der Cybersicherheit auf NIS2 gelingen. Es handelt sich hier nicht um ein simples Projekt, nicht um eine Aufgabe von wenigen Wochen oder Monaten. NIS2 ist eine kontinuierliche, eine Langzeitaufgabe. Ab 2028 werden Unternehmen jedes Jahr die NIS2-Konformität ihrer IT-Infrastruktur nachweisen müssen. Sie werden nachweisen müssen, dass sie „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ ergriffen haben, „die dem Stand der Technik und den geltenden Normen entsprechen“.

Darüber hinaus müssen sie sich nach der Umsetzung der NIS2 auch den European Cyber Resilience Act (CRA) in den Blick nehmen. Im September 2022 hatte die Europäische Kommission zur Verbesserung der Cybersicherheit und der Widerstandsfähigkeit gegenüber Cyberangriffen in der EU eine weitere Richtlinie erlassen. Die CRA soll gemeinsame Cybersicherheitsstandards für Produkte mit digitalen Elementen wie vorgeschriebene Reportings über Zwischenfälle und Sicherheitsupdates durchsetzen.

Mehr erfahren Sie im Infobrief hier.

Wenn Sie Fragen zu NIS2 haben oder wissen möchten, wie Check Point Ihnen helfen kann, wenden Sie sich bitte an: [email protected]