Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS).
Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in den Betrieb wichtiger Dienste ein. Leider haben viele der teilnehmenden Länder diese Schutzmaßnahmen auf unterschiedliche Weise oder in unterschiedlichem Maße umgesetzt. Angesichts der sich rasch verändernden Cybersicherheitslandschaft wurde deutlich, dass mehr nötig war.
So wurde im Jahr 2020 NIS2 eingeführt und trat am 16. Januar 2024 in Kraft. Sie erweitert den ursprünglichen Anwendungsbereich, verschärft die Anforderungen, beseitigt einige der ursprünglichen Unklarheiten bei der Anwendung und verleiht der Richtlinie Biss in Form von erheblichen Geldbußen und Sanktionen. Bis zum 17. Oktober muss die NIS2-Richtlinie von den EU-Mitgliedsstaaten jeweils in nationales Recht umgesetzt werden. Deutschland ist hier mit einem kurz vor der Veröffentlichung stehenden vierten Referentenentwurf nicht mehr weit entfernt von der Umsetzung in deutsches Recht.
Organisationen und Unternehmen können die Belastung durch die NIS2-Richtlinie verringern, indem sie Prozessmonitoring einsetzen, um dynamisches Risikomanagement und Reporting in ihre Geschäftsprozesse zu integrieren. Wenn Unternehmen das Risikomanagement zu einem Teil ihres Engagements für ihre Prozesslandschaft machen, sind sie für Oktober 2024 und die sich ständig verändernde digitale Landschaft gerüstet.
Von NIS2 betroffene Branchen und Einrichtungen
Um die lebenswichtigsten Vorgänge in der Europäischen Union vor böswilligen technologischen Bedrohungen zu schützen, umfasst die NIS2-Richtlinie wesentliche Dienste in den Bereichen Verkehr, Bankwesen, Energie, Finanzmärkte, Gesundheitswesen, Digitale Infrastruktur, Trinkwasser- und Abwasserversorgung, Öffentliche Verwaltung, Raumfahrt. Hinzu kommen wichtige Einrichtungen, deren Melde- und Überwachungsbedingungen zwar selbstbestimmter, aber nicht weniger streng sind wie digitale Anbieter, Forschung, Lebensmittelherstellung, -verarbeitung und -vertrieb, Chemikalienherstellung, -produktion und -vertrieb, Post und Kurierdienste, Hersteller und die Abfallwirtschaft.
„Doch das ist noch nicht das ganze Ausmaß der Auswirkungen von NIS2. Ein Teil der Verpflichtung für die betroffenen Branchen und Dienste ist die Sicherheit ihrer Lieferkette. Das bedeutet, dass auch Zulieferer und Auftragnehmer, die Ressourcen für diese lebenswichtigen Vorgänge bereitstellen, verpflichtet sind, ein Mindestmaß an Cybersicherheitsmaßnahmen einzuhalten, da sie sonst Gefahr laufen, Aufträge zu verlieren. Auch diejenigen, die nicht direkt in wesentlichen und wichtigen Branchen tätig sind, müssen ihr Risikomanagement verbessern, um ihren Marktanteil zu halten,“ erläutert Cosima von Kries, Nintex Director, Solution Engineering EMEA, die Situation noch genauer.
Die ersten Schritte unternehmen
Risikomanagement und Compliance sollten für Unternehmen, die im heutigen Umfeld tätig sind, nichts Neues mehr sein. Auch wenn die NIS2 hohe Anforderungen an eine wirksame Cybersicherheit stellt, sollte der Ansatz, den jedes Unternehmen verfolgt, ein vertrauter sein. Er beginnt mit der Identifizierung von Risiken und der Festlegung von Abhilfemaßnahmen, wo dies möglich ist. Im Kern handelt es sich dabei um eine Prozessüberwachung und um die Art von Herausforderung, für die spezielle Software entwickelt wurde.
Indem Unternehmen ihre wichtigsten Cybersicherheitsprozesse und die risikoreichsten Geschäftspraktiken in diesem Bereich abbilden und dokumentieren, können sie sofort erkennen, wo es möglicherweise Probleme mit der Einhaltung von Vorschriften gibt. Dies könnte sich auf Lieferanten, interne Systeme oder bestehende Verfahren beziehen. Wenn die Prozesse klar dargelegt sind, können diese Risiken dokumentiert und entsprechende Maßnahmen ergriffen werden.
„Natürlich lässt sich nicht jedes Risiko ausschalten. Etwas so Einfaches wie ein menschlicher Nutzer in einem Prozess kann ein Risiko darstellen, von der Anfälligkeit für Phishing-Angriffe bis hin zu vorsätzlichen Sabotageakten. Beim Risikomanagement geht es darum, diese Risiken zu kontrollieren. Neben den Prozessen, die die wichtigsten Aktivitäten regeln, sollte es Kontrollpunkte für das Risikomanagement geben, um die Einhaltung der Vorschriften bei jedem Schritt zu gewährleisten”, so Cosima von Kries weiter. „Bei Nutzung der Nintex Process Plattform beispielsweise können Workflows diese Prozesse, wie zum Beispiel das Incident Reporting, automatisieren, indem sie bei der Ausführung von Vorgängen Datenvalidierungen vornehmen oder Freigabeanfragen auslösen. Auf diese Weise entsteht sowohl eine rechtskonforme Dokumentation für Aktionen als auch eine Sicherheitskontrolle für wichtige Aktivitäten.“
Hohe Wachsamkeit erforderlich
Die letzten Jahre haben gezeigt, dass Cyber-Angriffe immer raffinierter werden. Selbst die größten Unternehmen sind nicht immun gegen durch digitale Störfaktoren verursachte Verstöße oder Ausfälle. Die Einführung von Risikomanagementprozessen ist im Rahmen der NIS2 von entscheidender Bedeutung, aber die Unternehmen müssen auch für eine schnelle Berichterstattung sorgen, wenn etwas schiefläuft. Von wesentlichen und wichtigen Diensten wird erwartet, dass sie innerhalb von 24 Stunden einen ersten Bericht über einen Vorfall mit “erheblichen Auswirkungen” und innerhalb von 72 Stunden nach dem Ereignis einen vollständigen Meldebericht vorlegen.
Die Berichterstattungsprozesse sollten für alle wichtigen Risikotätigkeiten und -bereiche klar und leicht zugänglich sein. Ein Merkmal von Prozessmonitoring ist die Möglichkeit, Prozesse miteinander zu verknüpfen, um sicherzustellen, dass Berichtsverfahren, Dokumentationen und wichtige Referenzmaterialien in jeden verwandten Prozess eingebettet und leicht zugänglich sind. Sollte eine Störung oder eine Ausnahme auftreten, sind die Informationen darüber, was zu tun ist, sofort zur Hand, so dass die Hauptbeteiligten schnell die zu ergreifenden Maßnahmen identifizieren können. Die Teams werden zu den entsprechenden Schritten und Protokollen geleitet, die die Auswirkungen so weit wie möglich abschwächen, und die entsprechenden Personen werden alarmiert.
Zu den Risikomanagementprozessen gehören auch regelmäßige Abnahmen, um sicherzustellen, dass die vorhandenen Maßnahmen aktuell und wirksam sind. Prozessmonitoring kann hier unterstützen, indem es die Beteiligten und die benannten Risikomanager an die Abnahmen erinnert und via Link direkt zu den entsprechenden Prozessunterlagen führt, so dass sie proaktiv dafür sorgen können, dass die Kontrollen auf dem neuesten Stand sind.
Fit für den Erfolg von NIS2
Während effektive Unternehmen bereits über einen Risikomanagementplan verfügen, machen die Anforderungen von NIS2 es für alle Organisationen unerlässlich, der Einhaltung der Vorschriften Priorität einzuräumen. Die Identifizierung der wichtigsten Risikobereiche, wie sie in der Richtlinie beschrieben sind, und die Einrichtung effektiver Prozesse zur Verwaltung und Minderung dieser Risiken kann eine zeitraubende und schwierige Aufgabe sein.
„Prozessmonitoring bietet hier die Möglichkeit, Richtlinien, Prozesse und Verfahren zu verwalten und zu zentralisieren. Es identifiziert klare Rollen und Verantwortlichkeiten in Bezug auf die Gesamtverantwortung für die Governance, bis hin zum Eigentum an Standardbetriebsverfahren,“ geht von Kries ins Detail.
Prozessmonitoring richtig eingesetzt sollte vor allem die folgenden Bereiche abdecken:
- Leicht verständliche Prozesslandkarte plus alle erforderlichen Informationen werden in einer zentralen Anlaufstelle zusammengeführt, auf die jeder zugreifen kann. Dazu gehören Dokumente, Videos, Bildschirmfotos und Links zu anderen Ressourcen.
- Gewährleistung, dass alle Beteiligten über Änderungen informiert werden, sobald sie auftreten. Unterstützt wird dies durch ein Änderungsprotokoll und die Erstellung von Berichten, die den Audit-Anforderungen entsprechen.
- Eine zentrale Informationsquelle für alle Mitarbeiter und eine zuverlässige Basis für die Sensibilisierung und Schulung von Teams in Bezug auf standardisierte, wiederholbare Prozesse. So wird sichergestellt, dass alle Mitarbeiter über alle relevanten Sicherheitsprozesse gut informiert sind.
- Alle identifizierten Risiko- und Compliance-Anforderungen können mit einer Aktivität innerhalb des Prozesses verknüpft werden. Dadurch wird der Prozessanwender beurteilt und der Risiko- und Compliance-Manager als Beteiligter mit dem spezifischen Prozess verknüpft. Diese Risiko- und Compliance-Anforderungen können Personen in der Organisation zugewiesen werden, die sie regelmäßig abzeichnen, so dass Führungsteams sicher sein können, dass Risiko- und Compliance-Szenarien identifiziert und entschärft werden.
Die digitale Transformation schreitet beständig voran und macht auch vor Sicherheitstücken nicht halt. NIS2 ist ein wichtiger Schritt zu mehr Schutz im digitalen Geschäftsumfeld. Die Richtlinie richtig umzusetzen, bewahrt Unternehmen vor Sanktionen und sie sollten bei der Umsetzung auf effektive Hilfsmittel zurückgreifen, die sie nachhaltig unterstützen.
www.nintex.de