Mit der NIS2 Richtlinie soll das bisher unterschiedlich ausgeprägte Cybersicherheitsniveau in den einzelnen EU-Mitgliedsländern harmonisiert werden. Neue Pflichten betreffen jetzt wesentlich mehr Betriebe als die bisherige KRITIS-Regulierung.
Beschäftigen Sie sich jetzt mit den Anforderungen und starten Sie gut gerüstet in die Vorbereitungen zur Umsetzung. Worauf Sie achten sollten und welche Themen Sie priorisieren sollten, beschreiben wir in diesem Artikel.
Zielsetzung der NIS2-Richtlinie
Das Ziel der NIS2 Richtlinie ist ein gemeinsames hohes Cybersicherheitsniveau im Binnenraum, das über verbindliche Vorgaben erreicht werden soll.
Cyberattacken auf Unternehmen werden immer professioneller ausgeführt und ihre Zahl nimmt drastisch zu. Oft hat ein Angriff, der Schwachstellen in einem Unternehmen ausnutzt, gravierende Auswirkungen auf weitreichend vernetzte Lieferketten. Dass in den einzelnen Ländern sehr unterschiedliche Security-Standards herrschen, begünstigt die rasche Ausbreitung von Vorfällen. In der EU soll das Funktionieren des Binnenmarkts und die Sicherheit der Bevölkerung gewährleistet sein, Unternehmen werden daher zur Umsetzung wirksamer Cybersecurity-Maßnahmen verpflichtet.
Kontext IT-SiG 2.0 und NIS2
Deutsches IT-Sicherheitsgesetz
Das 2021 in Kraft getretene neue IT-Sicherheitsgesetz (IT-SiG2.0) stellt die aktuelle deutsche KRITIS-Regulierung dar.
Betroffen sind Unternehmen in 10 Sektoren, deren Anlagen die in der BSI-Kritisverordnung gelisteten Schwellenwerte erreichen. Solche Betriebe müssen regelmäßig nachweisen, dass sie die IT-Infrastrukturen, die zur Erbringung ihrer Leistung von wesentlicher Bedeutung sind, nach dem Stand der Technik absichern.
Das IT-SiG 2.0 setzt die einschlägige EU-Regulierung in nationales Recht um. Die NIS2 Richtlinie erweitert den Kreis der von der Regulierung betroffenen Unternehmen nun wesentlich. In den Geltungsbereich kommen außer den bestehenden KRITIS-Betreibern auch viele Unternehmen aufgrund ihrer Größe und ihres Umsatzes.
EU NIS2
Der Vorgänger der NIS2, die europäische NIS-Richtlinie (Network and Security Directive) ist die Grundlage des ersten IT-Sicherheitsgesetz aus dem Jahr 2015. NIS2 ist am 16. Januar 2023 in Kraft getreten. Statt eines IT-SiG 3.0 wird in Deutschland ein NIS2-Umsetzungsgesetz erarbeitet. Das NIS2UmsuCG wird als Mantelgesetz bestehende Gesetze wie das BSI-Gesetz, das IT-SiG2.0, das Energiewirtschaftsgesetz und viele andere ändern.
Wen adressiert NIS2?
NIS2 Sektoren
Die Auswahl der NIS2 Sektoren geht über die der aktuellen KRITIS-Sektoren des IT-Sicherheitsgesetzes hinaus.
- 11 Sektoren mit hoher Kritikalität (Anhang I):
Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Weltraum
- 7 sonstige kritische Sektoren (Anhang II):
Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe / Herstellung von Waren, Anbieter digitaler Dienste, Forschung.
Betroffene Unternehmen
Der Geltungsbereich der NIS2 wird durch die Sektoren der Anhänge I und II und durch die Unternehmensgröße definiert. Betroffene Unternehmen sind klassifiziert in
- Wesentliche Einrichtungen (essential entities)
KRITIS-Unternehmen in 11 Sektoren mit hoher Kritikalität
ab 250 Mitarbeiter oder ab 50 Mio. EUR Umsatz
- Wichtige Einrichtungen (important entities)
Unternehmen in 7 sonstigen kritischen Sektoren
ab 50 Mitarbeiter oder ab 10 Mio. EUR Umsatz
Einen detaillierten Überblick liefert unser Artikel „NIS2 und CER im Überblick für Betreiber“.
Wie europäische Vorgaben deutsches Recht beeinflussen
Europäische Richtlinien geben für die Mitgliedsländer im Binnenraum ein Ziel vor. Wie das Ziel erreicht wird, liegt im Ermessen der einzelnen Länder. Wie lange den Ländern Zeit für die Umsetzung bleibt, wird in der Richtlinie definiert. Die NIS2 gibt 21 Monate ab dem Inkrafttreten der Richtlinie für die Umsetzung in nationales Recht vor. Der Stichtag für das NIS2-Umsetzungsgesetz ist damit der 17. Oktober 2024.
Bereiten Sie sich auf Anforderungen der NIS2 vor
Bisher (Stand Herbst 2023) liegen zwei Referentenentwürfe des NIS2-Umsetzungsgesetzes vor, der erste vom April und ein weiterer vom Juli dieses Jahres. Außerdem gibt es ein Diskussionspaper des Bundesministerium des Innern und für Heimat (BMI) vom September zu wirtschaftsbezogenen Regelungen. In den Referentenentwürfen finden sich bereits konkrete Maßnahmen, um die Sicherheit von IT-Infrastrukturen in den betroffenen Unternehmen deutlich zu stärken.
Auch wenn sich inhaltlich noch Änderungen ergeben können, bis das NIS2-Umsetzungsgesetz in Kraft tritt, so ist doch schon jetzt absehbar, was im Kontext Security ansteht.
Risikomanagement
Im Zentrum der NIS2 steht das Risikomanagement. Es ist die Grundlage, auf der Security aufbaut.
Für vernetzte Infrastrukturen sind Risiken unvermeidbar. Mit dem technologischen Fortschritt ergeben sich immer neue Angriffsszenarien und Bedrohungslagen. Cybersecurity-Maßnahmen zielen darauf ab, bestehende Risiken kontrollierbar zu machen. Dafür müssen wesentliche und wichtige Einrichtungen “geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen”. Der Stand der Technik ist dabei einzuhalten.
Risikomanagement nach NIS2 schließt die Sicherheit von Lieferketten und Aspekte der Produktsicherheit ein. Gefordert sind Sicherheitsmaßnahmen bei “Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen” inklusive Schwachstellenmanagement. Damit sind dann auch die Hersteller im Boot.
Risikoanalyse
Welche Security-Maßnahmen geeignet und verhältnismäßig sind, hängt von der Gefährdungslage ab. Nehmen Sie also eine differenzierte Betrachtung im Rahmen einer Risikoanalyse vor. Identifizieren Sie diejenigen Assets, deren Kompromittierung eine Gefährdung Ihrer Anlagenverfügbarkeit bewirken kann und ermitteln Sie dafür bestehende Risken.
Cyberhygiene
Als „grundlegende Praktiken“ listet die NIS2 Maßnahmen wie
Zero Trust
Das Sicherheitsmodell Zero Trust geht davon aus, dass kein Netzwerkteilnehmer vertrauenswürdig ist und daher Schutzmaßnahmen nicht nur an den Perimetern, sondern auch im Netzwerk selbst essenziell sind. Die Architektur und die Organisation sind so konzipiert, dass sich alle Netzwerkteilnehmer authentifizieren müssen. Die Kommunikation erfolgt verschlüsselt und der gesamte Netzwerkverkehr wird überwacht und analysiert.
Update-Management
Für industrielle Komponenten und Systeme ist ein Update- und Patchmanagement ein wichtiger Baustein, um Sicherheitslücken zu schließen. Für Systeme, die nicht gepatcht werden können oder für die keine Updates mehr verfügbar sind – Stichwort Brownfield – müssen alternative Schutzkonzepte auf Netzwerkebene etabliert werden. Geeignete und erforderliche Maßnahmen sollten auf Basis einer Risikobetrachtung definiert werden.
Konfiguration
Eine Minimalkonfiguration minimiert die Angriffsflächen. Es sollten daher ausschließlich Einstellungen und Anpassungen vorgenommen werden, die für den Einsatzzweck und die Funktionalität erforderlich sind. Beschränken Sie die Kommunikation im Netzwerk auf ein nötiges Mindestmaß und aktivieren Sie grundsätzlich die Sicherheitsfunktionen.
Der Einsatz von Kryptografie und Verschlüsselung gehört ebenfalls zu einem konformen Sicherheitskonzept.
Netzwerksegmentierung
Damit Schadcode sich nicht im Netzwerk ausbreiten kann, sollten Sie eine Segmentierung nach funktions- oder sicherheitsbezogenen Aspekten vornehmen. Übergänge zwischen Segmenten oder Zonen werden wirksam mit Firewalls gesichert.
Zugriffsmanagement
Nach dem Least-Privilege-Prinzip soll (gesicherten) Zugriff nur erhalten, wer ihn unbedingt benötigt. Im Netz sind Zugriffskontrollen erforderlich. Passwortrichtlinien sollten verbindlich sein und auch externe Zugriffe einschließen. Kontrollieren Sie regelmäßig die Einhaltung der Regeln. Eine Multifaktor-Authentifizierung ist obligatorisch.
Awareness
Sich bestehende Gefahren bewusst zu machen, ist ein wichtiger Schritt der Prävention. Deswegen sind Awareness-Maßnahmen wichtig. NIS2 legt besonderen Wert auf Schulungen sowohl des Managements als auch der Mitarbeiter. Security ist eine gemeinschaftliche Anstrengung, für die richtige Verhaltensweise müssen alle sensibilisiert werden und bleiben.
Business Continuity Management
Durch präventive und reaktive Maßnahmen lassen sich die Folgen eines Sicherheitsvorfalls beschränken. Das Ziel eines Business Continuity Management ist es, Geschäftstätigkeit und Betrieb im Notfall aufrechtzuerhalten oder möglichst schnell wiederaufzunehmen.
Dafür sind folgende Maßnahmen umzusetzen:
- Backup-Management & Recovery
Wichtige Prozesse und Daten müssen auch nach einem Systemausfall verfügbar sein, um Anlagen nach einem Ausfall zügig wieder hochfahren zu können.
- Krisenmanagement und Notfallpläne
Notfallpläne beschreiben Maßnahmen der Notfallvorsorge sowie erforderliche organisierte Reaktionen, um eine eingetretene Krisensituation zu bewältigen. Die einschlägigen Meldepflichten müssen beachtet werden.
Verantwortung der Unternehmensleitung
Die NIS2 nimmt die Unternehmensführung in die Pflicht, um Cybersecurity die nötige Priorität einzuräumen. Leitungsorgane müssen Maßnahmen beschließen und die Umsetzung überwachen, sie haften bei Verstößen. Um Risiken zu erkennen und bewerten zu können, ist die Teilnahme an Schulungen für Leitungsorgane verpflichtend.
Es bleibt abzuwarten, wie diese Vorgaben konkret durch NIS2UmsuCG in die nationale Gesetzgebung einfließen.
Unterstützung für die Umsetzung
Security funktioniert über vielschichtige Maßnahmen, die im Rahmen eines ganzheitlichen Konzeptes auf Ihren Betrieb abgestimmt werden müssen. Ein ausreichend hohes Sicherheitsniveau aufzubauen und aufrechtzuerhalten ist keine temporäre Aufgabe, sondern eine permanente Herausforderung für viele Beteiligte.
Smart und professionell vorgehen
Statt Mega-Projekte mit komplexen Themen zu starten, empfehlen wir, realistische Ziele anzuvisieren. Wichtig sind Schritte, die mit den verfügbaren Ressourcen zu guten Ergebnissen führen. Darauf aufbauend können nächste Themen in Angriff genommen werden. Grundlegende Maßnahmen wie beispielsweise Passwortrichtlinien, die Sicherung externer Zugänge und Awareness-Maßnahmen sind starke Hebel, die Ihr Sicherheitsniveau deutlich erhöhen.
Grundlagen schaffen
Bevor Sie OT- und Security- Projekte starten, sollten Sie die nötigen Grundlagen schaffen. Für die Umsetzung der meisten Security-Maßnahmen benötigen Sie aktuelle Informationen zu Ihren OT-Assets. Deswegen gehört der Aufbau eines professionellen OT-Asset-Managements auf Ihre Tagesordnung.
Verfügbare Leitfäden nutzen
Für viele Themen gibt es praxisnahe Orientierung und einschlägige Leitfäden.
Das BSI veröffentlicht fortlaufend Dokumente, die bei einer konformen Umsetzung von Maßnahmen helfen. Dazu gehört die jährlich aktualisierte Ausgabe des IT-Grundschutzkompendiums. Hilfreich für Anforderungen der NIS2 ist auch der modernisierte BSI-Standard 200-4, der eine Anleitung für den Aufbau eines Business Continuity Managements bietet.
Orientierung zum Stand der Technik liefern branchenspezifische Sicherheitsstandards (B3S), BSI IT-Grundschutz und einschlägige Normen und Standards.
Fazit
Netz- und Informationssysteme konform abzusichern ist nicht länger ein Thema, das hauptsächlich KRITIS-Betriebe betrifft, sondern künftig eine sehr große Anzahl von Unternehmen.
Auch Betriebe, die selbst nicht zu den wesentlichen oder wichtigen Einrichtungen zählen, sind betroffen, weil Sicherheit in Lieferketten und Produktsicherheit verpflichtend wird.
Das birgt große Herausforderungen, aber auch Chancen. Security wirksam umzusetzen heißt, die Zukunft Ihres Unternehmens aktiv und nachhaltig zu sichern. Die Motivation ist dabei nicht nur, der Marktanforderung oder der Regulierung gerecht zu werden.
Der technologische Fortschritt macht nicht halt. Komplexe Industrieumgebungen werden weiter vernetzt und durch intelligente Systeme erweitert. Unternehmen tätigen umfangreiche Investitionen, die sich auszahlen sollen. Das bedingt, dass die bestehende Infrastruktur professionell betrieben und ausreichend gegen sich verändernde Risiken geschützt wird. Wenn ein moderner Betrieb aktuellen und künftigen Anforderungen gerecht werden kann, ergibt sich ein nachhaltiger Nutzen.
Checkliste: Angriffserkennung in KRITIS Betrieben
CEO & Founder
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.
