Die NIS-2-Richtlinie der EU - Was jetzt zu tun ist!
Eine Richtlinie der EU, nämlich die NIS-2-Richtlinie (The Network and Information Security (NIS) Directive) (NIS") schreibt weitreichende IT-Sicherheitsanforderungen an IT-Systeme vor. Die Umsetzung in Deutschland erfolgt mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG), liegt aber wie so vieles derzeit auf Eis. Trotzdem besteht die Notwendigkeit, dass sich Unternehmen schon jetzt mit NIS2 zu beschäftigen. Das deutsche NIS-2UmsuCG sieht keine Übergangsfrist vor: Ab dem Inkrafttreten, also kurz nach der Verabschiedung, wird vollständige Konformität von NIS2-betroffenen Unternehmen gefordert.
Ist Ihr Unternehmen von NIS2 betroffen? Auch wenn Sie davon ausgehen (können), dass dem nicht so ist, weil bei Weitem nicht alle Unternehmen einbezogen sind, reicht das leider nicht aus. Bei der Beurteilung zählen beispielsweise alle Geschäftstätigkeiten mit, sogar die Solaranlage auf dem Dach. Das Bundesamt für Sicherheit in der Informationstechnik hat eine Online-Hilfe zur Betroffenheitsprüfung erstellt: https://betroffenheitspruefung-nis-2.bsi.de/. Diese kann erste Hinweise geben. Bei Unklarheiten kommen Sie gerne auf uns zu.
Betroffene Unternehmen müssen "geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen […] ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit [ihrer] informationstechnischen Systeme, Komponenten und Prozesse […] zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten." Die Begriffe "geeignet" und "verhältnismäßig" weisen schon auf eine Grauzone in der Umsetzung hin. Ein Blick auf die aufgelisteten Mindestmaßnahmen zeigt jedoch, dass die Grauzone letztendlich doch relativ konkret ist:
- Notfall-/Krisenmanagement
- Schwachstellenmanagement
- Multi-Faktor-Authentifizierung
- gesicherte Sprach-, Video- und Textkommunikationssysteme
- aktiver Cyberschutz (z. B. Systemen zur Angriffserkennung, Netzwerksegmentierung)
- Cyberhygiene (z. B. Zero-Trust, Sensibilisierung)
Unternehmen müssen mit ihren IT-Abteilung und/oder ihren IT-Dienstleistern ins Gespräch gehen, um sicherzustellen, dass die NIS2-Anforderungen gegebenenfalls erfüllt werden.