NIS2 bin ich Betroffener oder nutze ich die Chance?

Diesen Monat wurde die NIS2-Umsetzung in Deutschland beschlossen. In der Diskussion wird immer von einem Bürokratiemonster gesprochen oder von Betroffenen. Die Firmen seien doch selbst schuld, wenn sie keine IT-Sicherheit umsetzen, und dann sollen sie halt insolvent gehen. Genau hier liegt die Fehlannahme. Die NIS2 soll nicht die Unternehmen als solche vor der Insolvenz schützen, sondern z. B. Mitarbeiterdaten, Kundendaten und die abhängige Lieferkette schützen und absichern.

Es geht auch nicht nur um die bösen Angreifer, die sich ohnehin nicht für mein Unternehmen interessieren, sondern auch um technische Fehler und Fehlbedienungen bzw. unabsichtliche Handlungen von verdienten Mitarbeitern.

Der Anwendungsbereich der NIS2 ist deswegen auch auf wichtige und besonders wichtige Unternehmen beschränkt. In Deutschland bleibt die Kategorie „kritische Infrastruktur“ wie bisher allerdings bestehen. Die EU hat beispielsweise die Maschinenbaubranche, welche unter dem NACE-Code C.28 geführt wird, mit aufgenommen. In der NIS2 gibt es keine Beschränkung mehr auf spezielle Dienstleistungen oder Produktmengen, sondern einzig die Mitarbeiteranzahl (≥ 50) bzw. der Jahresumsatz (≥ 10 Mio. €) sind ausschlaggebend.

Die Anforderungen, die die NIS2 stellt, sind keine große Überraschung. Im Endeffekt ist es das, was jeder Cyber-Security-Experte als Grundlage für Unternehmen erwartet. Es geht darum, dass man die Geschäftsführung adäquat mit einbindet, ein Risikomanagement durchführt und die daraus resultierenden Maßnahmen umsetzt. Des Weiteren werden sichere Prozesse im Bereich Notfallmanagement, Vorfallbewältigung, Lieferantenmanagement, Einkauf, Auditierung sowie Schulung und Bewusstseinsbildung gefordert.

Bin ich also Betroffener des Gesetzes oder nutze ich die Chance, mein Unternehmen entsprechend dem Stand der Technik abzusichern und habe sogar die Sicherheit, dass meine Lieferanten nach denselben Vorgaben EU-weit arbeiten? Die Wahrscheinlichkeit, dass ich durch den Ausfall eines Lieferanten selbst in Probleme komme, ist gegeben. Wir haben es alle in Corona erlebt. Auch wenn ich von der NIS2 nicht betroffen bin, sollte ich mir die Anforderungen zu Herzen nehmen und sie in meinem Unternehmen umsetzen, um die Vorteile einer sicheren IT-/OT-Umgebung zu genießen.

Was sollte getan werden?

Zunächst muss man entscheiden, ob man die Anforderungen des Gesetzes umsetzen will oder sogar muss. Dies erfolgt über die Prüfung der Rahmenbedingungen.

Ist meine Branche in Anhang 1 oder 2 des Gesetzes aufgeführt? Erfülle ich die Größenanforderungen (§ 28)? Bin ich sogar eine kritische Infrastruktur nach deutscher Lesart (BSI-KritisV)?

Wenn man sich entschieden hat, die Anforderungen umzusetzen und für welchen Bereich, dann hat sich der im Folgenden beschriebene Ablauf in der Umsetzung der Anforderungen als sinnvoll etabliert.

Finden Sie Ihre Lücken

Es gibt etablierte Standards, die die Anforderungen des Gesetzes weitestgehend erfüllen. Dazu gehören beispielsweise die ISO 27001 als internationaler Standard oder der BSI-Grundschutz als deutsche Lösung. Suchen Sie sich einen Standard aus und prüfen Sie im Rahmen einer GAP-Analyse, was Sie bereits umgesetzt haben und was noch fehlt.

Was muss ich denn schützen?

Nachdem ich meine Lücken kenne, sollte ich feststellen, was ich schützen muss. Dazu sollte man eine Inventarisierung der IT und OT durchführen, sofern diese noch nicht vorhanden ist. Wenn man seine Umgebung kennt, sollte man die gefundenen Assets gruppieren und den relevanten Prozessen zuordnen. Über die Prozesse bestimmt man die Kritikalität der einzelnen Asset-Gruppen. Auf Basis der Kritikalität kann man eine Risikoanalyse durchführen und mitigierende Maßnahmen für die jeweiligen Asset-Gruppen festlegen. Dabei berücksichtigt man die Ergebnisse der GAP-Analyse, aus denen sich die entsprechenden Maßnahmen ableiten.

Und nun?

Mit der Maßnahmenliste geht man die einzelnen Assets durch und bewertet die Umsetzung der Maßnahmen im Rahmen eines Sicherheitskonzeptes für die einzelnen Prozesse bzw. Anwendungen. Als Ergebnis sieht man dann, wo welche Maßnahmen umgesetzt werden müssen und welche Risiken daran hängen. Dies kann man verwenden, um Entscheidungen über die Priorisierung der Umsetzung festzulegen.

Im Rahmen der Umsetzung aktualisiert man zeitnah die Sicherheitskonzepte und hat so jederzeit einen Überblick über den aktuellen Risikostand.

Wie sieht es mit neuen Prozessen aus?

Die NIS2 fordert auch die Einführung bestimmter Prozesse, wie beispielsweise Vorfallsmanagement, Lieferantenbewertung oder Business Continuity Management (BCM). Im Rahmen der GAP-Analyse werden die fehlenden Prozesse identifiziert. Diese müssen im Rahmen der Umsetzung parallel verbessert oder neu aufgesetzt werden.

Habe ich alles gemacht?

Eine Anforderung der NIS2-Umsetzung ist die Überwachung der Wirksamkeit der Risikomanagementmaßnahmen (§ 30 Abs. 2 Punkt 6). Das bedeutet, dass man regelmäßig die Umsetzung seiner Maßnahmen, beispielsweise im Rahmen interner Audits, überprüft. Dies sollte mindestens jährlich erfolgen. Dabei wird die Umsetzung der Maßnahmen in den Prozessen unabhängig überprüft, ähnlich der GAP-Analyse. Das unterstützt auch den kontinuierlichen Verbesserungsprozess im Rahmen des PDCA-Zyklus.

Die im internen Audit gefundenen Abweichungen und Hinweise dienen als Grundlage für die Verbesserung der bestehenden Prozesse und Systeme.

Wie kriege ich das Bewusstsein?

Ein wichtiger Punkt in der Regulierung ist die Schaffung von Bewusstsein für Sicherheit. Ein großer Teil der Sicherheitsvorfälle basiert auf Unkenntnis oder vermeidbaren Fehlern. Durch regelmäßige Schulungen kann man Wissen aufbauen, aber erst durch Maßnahmen zur Bewusstseinsschaffung verstärkt sich das Gelernte und die Menschen übernehmen es in ihren Arbeitsalltag.

Dies gilt insbesondere für die Geschäftsleitung, die gerne Verantwortung delegiert, aber vergisst, dass delegierte Verantwortung auch kontrolliert werden muss. Die endgültige Verantwortung für die Sicherheit eines Unternehmens bleibt immer bei der Geschäftsleitung, deswegen fordert das Gesetz auch eine regelmäßige Schulung der Geschäftsleitung im Risikomanagement des Unternehmens.

Achtung: Eine allgemeine Schulung zum Risikomanagement, wie sie im Moment zuhauf von vielen Unternehmen angeboten wird, ist eine gute Grundlage, reicht aber nicht aus, da auch die individuellen Risiken des eigenen Unternehmens geschult werden müssen.

Muss ich mich zertifizieren oder extern prüfen lassen?

Grundsätzlich ist eine Zertifizierung nach ISO 27001 bzw. BSI-Grundschutz nicht notwendig, kann aber hilfreich sein. Nur wenn man in den Bereich der BSI-KRITIS fällt, ist eine Prüfung alle drei Jahre durch eine unabhängige Stelle verpflichtend. Alle anderen Unternehmen müssen nur auf Anforderung die Umsetzung der Maßnahmen nachweisen (§ 61 & § 62).

Für besonders wichtige Unternehmen ist dies eine Kann-Anforderung im Gesetz, welche sehr ausführlich die Möglichkeiten beschreibt, ohne bestimmte Voraussetzungen zu definieren. Bei wichtigen Unternehmen müssen Tatsachen vorliegen, die eine Überprüfung rechtfertigen. Inwieweit das BSI seine Möglichkeiten zur Überprüfung bzw. zur Anforderung von Nachweisen nutzen wird, werden die nächsten Jahre zeigen. Man sollte darauf vorbereitet sein.

Zertifikate sind jedoch hilfreich, um im Rahmen der Lieferkettensicherheit die Umsetzung der Maßnahmen nachzuweisen. Außerdem erhält man im Rahmen externer Audits hilfreiche Hinweise zur Verbesserung der eigenen Sicherheit.

Wo fange ich an?

Starten Sie zeitnah mit einer GAP-Analyse und einem Security-Assessment, um Ihren Entwicklungsbedarf festzustellen und basierend auf den Anforderungen einen pragmatischen Weg zu einem (IT/OT-)sicheren Unternehmen zu gehen.

Sprechen Sie uns an, um gemeinsam im Rahmen einer GAP-Analyse die Umsetzung zu einer sicheren IT- und OT-Umgebung zu planen und umzusetzen.