NIS2 kommt – und damit werden auch Risikomanagementmaßnahmen für die Lieferkette als eine der zentralen Maßnahmen für mehr Cyberresilienz gesetzlich vorgeschrieben.
Unmittelbar von NIS2 betroffene KRITIS-Unternehmen sollten sich daher spätestens jetzt damit auseinandersetzen. Mithilfe von Risk Assessments können Unternehmen Schwachstellen in ihrer Lieferkette identifizieren, beheben und im Falle eines erfolgreichen Angriffs den Schaden begrenzen. Aber auch von NIS2 nur mittelbar betroffenen Zulieferer und Partner sollten sich gut vorbereiten. it-security hat dazu mit Sudhir Ethiraj, Global Head of Cybersecurity Office (CSO) & CEO Business Unit Cybersecurity Services bei TÜV SÜD, gesprochen.
NIS2 rückt auch die Absicherung der Lieferkette in den Fokus. Warum ist das für den Gesetzgeber so wichtig?
Sudhir Ethiraj: Sogenannte Supply-Chain-Angriffe zielen darauf ab, Schwachstellen in der Lieferkette auszunutzen, um Zugang zu sensiblen Daten und Systemen zu erlangen. Ob durch das Einfügen von Schadsoftware in legitime Software-Updates, durch das Kompromittieren von Drittanbietern, die Zugang zu den Netzwerken eines Unternehmens haben, einen Insider-Angriff oder gar infizierte Hardware – die Wege für Cyberkriminelle über die Lieferkette sind vielfältig. Das bekannte Beispiel SolarWinds, bei dem die Angreifer über ein Software-Update in die Netzwerke zahlreicher Organisationen eindringen konnten, hat gezeigt, dass die Gefahr von Supply-Chain-Angriffen in ihrer Heimtücke und der Schwierigkeit, sie zu erkennen, liegt.
Da die Angriffe oft über vertrauenswürdige Partner oder Lieferanten erfolgen, können sie lange unentdeckt bleiben und erheblichen Schaden anrichten. Deshalb verlangt NIS2 von Unternehmen, Maßnahmen zu ergreifen, um ihre Lieferketten sorgfältig zu überwachen. So sollen potenzielle Bedrohungen frühzeitig erkannt und abgewehrt und Vorkehrungen für den Fall eines erfolgreichen Angriffs ergriffen werden.
Was genau schreibt NIS2 und der aktuelle Stand des deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vor?
Sudhir Ethiraj: Die europäische Network-and-Information-Security-Richtline, kurz NIS2, schreibt in Artikel 21 Absatz 2 vor, dass sich besonders wichtige und wichtige Einrichtungen mit Cybersicherheitsrisiken ihrer Lieferketten befassen müssen. Der Entwurf für das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz greift das in §30 auf. Dort heißt es, dass besonders wichtige und wichtige Einrichtungen zu bestimmten Risikomanagementmaßnahme verpflichtet sind. Diese Maßnahmen betreffen unter anderem auch die Sicherheit der Lieferkette. Im Fokus stehen dabei die sicherheitsbezogenen Aspekte der Beziehung zwischen den einzelnen Einrichtungen und ihren direkten Anbietern und Dienstleistern.
Im Gesetzesentwurf heißt es, dass KRITIS-Betreiber dazu verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen. Das Ziel ist dabei natürlich, die Cyberresilienz dieser Einrichtungen zu erhöhen und die Auswirkungen von Sicherheitsvorfällen gering zu halten.
Was bedeutet das nun konkret für die IT-Manager der KRITIS-Betreiber?
Sudhir Ethiraj: Unternehmen sollten mittlerweile herausgefunden haben, ob sie zu den sogenannten „besonders wichtigen“ und „wichtigen“ Einrichtungen nach NIS2 zählen. Wenn nicht, ist das der erste, längst überfällige Schritt. Und dann müssen IT-Manager ihre Lieferkette genau in den Blick nehmen.
Der Gesetzentwurf für das NIS2 Umsetzungsgesetz verlangt auch, die Verhältnismäßigkeit der Risikomanagementmaßnahmen zu prüfen. Folgende Kriterien müssen in diese Betrachtung einfließen: das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen.
Das klingt aber sehr zeitaufwendig. Wie kann man das am besten angehen?
Sudhir Ethiraj: Das ist es in der Tat. Deshalb raten wir Unternehmen jetzt zu handeln. Risk Assessments, die von neutralen Dritten durchgeführt werden, können IT-Managern bei dieser zeitintensiven Aufgabe helfen. Damit holt man sich Cybersecurity-Audit-Erfahrung und Expertise in den entsprechenden Gesetzestexten ins Haus. Das Assessment deckt die in NIS2 genannten Schlüsselaspekte ab. Um den aktuellen Status seiner Organisation und den Handlungsbedarf zu verstehen, ist es wichtig, die relevanten Interessensgruppen innerhalb des Unternehmens zu identifizieren und mit ihnen Gespräche zu führen. IT-Manager bekommen so Lücken aufgezeigt, die geschlossen werden müssen, um die Cyber-Resilienz in der Lieferkette zu gewährleisten.
Mit NIS2 wird das Bewusstsein für Cybersecurity in der Lieferkette gestärkt.
Sudhir Ethiraj, TÜV SÜD GmbH
Und was ist mit den mittelbar von NIS2 betroffenen Zulieferern und Dienstleistern – heißt das, dass sie unbedingt nach ISO 27001 zertifiziert sein müssen?
Sudhir Ethiraj: Nein, das heißt es nicht zwangsläufig. Aber auch auf die mittelbar betroffenen Unternehmen kommt einiges an Arbeit zu. So kann es sehr wohl KRITIS-Einrichtungen geben, die eine ISO 27001-Zertifizierung verlangen. Grundsätzlich ist ISO 27001 immer eine gute Grundlage für Cyberresilienz, denn sie ermöglicht Unternehmen, ein effektives Information Security Management System (ISMS) zu etablieren und zu pflegen. Mit einer Zertifizierung nach ISO 27001 kann also ein effektives Risikomanagement von Zulieferern und Dienstleistern gegenüber KRITIS-Betreibern durchaus demonstriert werden.
Je nach Anwendungsfall gibt es noch weitere Standards und Best Practices, die berücksichtigt werden müssen, um Cyber-Resilienz zu erreichen und zu belegen, etwa das NIST Cybersecurity Framework oder IEC 62443.
Was passiert zukünftig, wenn doch einmal etwas passiert?
Sudhir Ethiraj: Es kann niemals ganz ausgeschlossen werden, dass Cyberangriffe erfolgreich sind. Davon geht auch NIS2 nicht aus. Es ist ein dreistufiges Melderegime vorgesehen mit einer Erstmeldung spätestens 24 Stunden nach Kenntniserlangung, einer Bestätigung oder Aktualisierung nach 72 Stunden und einer Abschlussmeldung nach einem Monat, die auch die getroffenen und laufenden Abhilfemaßnahmen beinhalten muss.
Die implementierten Risikomanagementmaßnahmen sollen im Falle eines erfolgreichen Angriffs negative wirtschaftliche und gesellschaftliche Folgen minimieren. Dabei sollte man nicht eine der wichtigsten Änderungen von NIS2 vergessen: die Richtlinie definiert direkte Verpflichtungen der Geschäftsführung und macht ihr gegenüber Haftungsansprüche in Bezug auf die Umsetzung der erforderlichen Risikomanagementmaßnahmen im Bereich Cybersecurity geltend.
Das heißt für IT-Manager, dass sie mit ihren Geschäftsführungen Hand-in- Hand bei der Erarbeitung und Umsetzung der Risikomanagementmaßnahmen arbeiten müssen. Denn nach NIS2 müssen Geschäftsführungen diese Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung überwachen.
Doch bei all diesem Aufwand sollten wir eines auch positiv sehen: Mit NIS2 wird das Bewusstsein für Cybersecurity in der Lieferkette gestärkt. Denn die Angriffe werden nicht weniger. Und auch Organisationen, die nicht direkt von NIS2 betroffen sind, sollten auf jeden Fall Risikomanagementmaßnahmen in Betracht ziehen, um ihre Cyber-Resilienz zu verbessern. Auch hier kann ein Risk Assessment ein wertvoller erster Schritt sein.
Herr Ethiraj, wir danken für dieses Gespräch.