NIS-2: Europäisches Parlament verpflicht Unternehmen zum sorgfältigen Störungsmanagement

Nur wer jetzt vorausschauend plant und die NIS-2-Vorgaben umsetzt, wird langfristig auf der sicheren Seite stehen

[datensicherheit.de, 11.07.2024] Die NIS-2-Regelung der EU verlangt von deutschen Unternehmen ab Oktober 2024 Reaktionszeiten von sogar nur 24 Stunden bei IT-Schadensvorfällen. Um das gewährleisten zu können, müssen Firmen offensichtlich erst einmal erkennen, wo überhaupt Systemausfälle und Sicherheitslücken auftreten. „Ein intaktes Incident-Management ist dabei ausschlaggebend“, so Birol Yildiz, Gründer und „CEO“ von ilert, einem Kölner SaaS-Unternehmen für komplettes Incident-Response-Management, in seiner aktuellen Stellungnahme. Er erläuert, was Unternehmen jetzt beachten müssen und wie sie dieser Pflicht nachkommen können:

Foto: ilert

Birol Yildiz empfiehlt Unternehmen, die Umsetzung eines Störfallmanagementkonzeptes als nachhaltigen Lernprozess, statt als eine weitere rechtliche Vorgabe zu verstehen

Betriebe sollten unverzüglich für funktionierende Alarmierungsketten sorgen, um NIS-2-Regelung gerecht zu werden

„Störungen, Bugs und Vorfälle gehören zum Alltag jeder IT-Abteilung. Einige sind schnell behoben, andere strapazieren die Nerven der Mitarbeitenden. Manche können zu einer echten Gefahr werden.“ Das Europäische Parlament habe dies erkannt und verpflichte mit der NIS-2-Verordnung Unternehmen ab Oktober 2024 zu einem sorgfältigen Störungsmanagement.

„Auch der Anfang Mai veröffentlichte deutsche Gesetzentwurf zur Umsetzung der EU-Regeln verlangt Maßnahmen zur Vermeidung von IT-Störungen“, unterstreicht Yildiz. Zudem sollten Vorkehrungen zur Minimierung der Auswirkungen von Sicherheitsvorfällen ergriffen werden, um die Einhaltung der neuen EU-Vorschrift sicherzustellen.

Betriebe sollten daher unverzüglich für funktionierende Alarmierungsketten sorgen, um den strikten Anforderungen der NIS-2-Regelung gerecht zu werden. Yildiz warnt: „Die Annahme, dass hierfür genug Zeit bleibt, ist ein Trugschluss!“ Sein dringender Rat: „Nur wer jetzt vorausschauend plant und die anstehenden Vorgaben umsetzt, wird langfristig auf der sicheren Seite stehen.“

Neue NIS-2-Meldepflicht fordert Unternehmen heraus

Ein kritischer Aspekt, der ab Oktober 2024 Unternehmen gefährlich werden könne, sei die neue Meldepflicht für IT-Vorfälle. Als „wichtig“ und „besonders wichtig“ deklarierte Einrichtungen seien angewiesen, Sicherheitsvorfälle unverzüglich an die Behörden mitzuteilen.

Die NIS-2-Richtlinien legten fest, dass Störungen meist innerhalb von 24 Stunden nach Feststellung angezeigt werden müssten. Yildiz erläutert: „Hierbei müssen sowohl die Art und Schwere des Vorfalls als auch die betroffenen Systeme und Daten sowie die möglichen Auswirkungen auf die Aufrechterhaltung der Dienste gemeldet werden.“

Zusätzlich seien die ergriffenen oder geplanten Maßnahmen zur Bewältigung der Störung anzugeben. „Um das zu gewährleisten, sind Firmen auf ein 24-7-Monitoring ihrer IT-Leistungen angewiesen.“ Effektive Warnsysteme böten eine lückenlose Überwachung und ermöglichten die Speicherung detaillierter Vorfalldaten für schnelle Analysen und bessere Entscheidungsfindung.

Zur NIS-2-Einhaltung Überwachungstools und Bereitschaftsplanung zusammenführen

„Ist ein Vorfall erst einmal identifiziert, muss zügig gehandelt werden. Automatisierte Prozesse für Diagnosen, Tickets und Alarmierungsketten helfen, zeitfressende Aufgaben auszulagern und die Verantwortlichen schnell und verlässlich zu benachrichtigen.“ Effektives Incident-Management könne die Reparaturzeit (MTTR) um bis zu 60 Prozent reduzieren. „Alarme werden hier nach Schweregrad kategorisiert, von niedrigschwelligen Vorfällen bis hin zu kritischen Problemen.“ Dies könne DevOps-Teams bei der Priorisierung von Maßnahmen unterstützen.

Die Kommunikation mit Mitarbeitern könne über verschiedene Kanäle stattfinden, „so dass Verantwortliche keine Anomalien verpassen oder übersehen“. Dies funktioniere jedoch nur, „wenn Zuständigkeiten und Einsatzpläne im Voraus geregelt sind“. Ein geschultes Response-Team sei essenziell für eine schnelle Reaktion auf Vorfälle, wodurch die Reaktionszeit erheblich verkürzt und Eskalationen schneller verhindert würden.

„Integrierte Incident-Management-Systeme verbinden Überwachungstools mit dem On-Call-Management und informieren automatisch die entsprechenden Angestellten in einer Reaktionskette.“ Es sei hilfreich, neben primären Ansprechpartnern auch immer eine „Nummer 2“ in der Dienstkette zu bestimmen, um auf Ausfälle zu reagieren. Besonders bei internationalen Teams könnten Incident-Management-Plattformen komplexe Bereitschaftspläne Zeitzonen übergreifend erstellen und die Kommunikation automatisieren. „Solche Tools entlasten Abteilungen bei der Bewältigung immer anspruchsvollerer Systemanfragen und Koordinationsprozesse, wie sie durch die Verordnung der EU entsteht.“

Zur NIS-2-Konformität Lernkultur etablieren – aus Fehlern lernen

Yildiz betont: „Um die Auswirkungen von IT-Vorfällen möglichst gering zu halten, müssen Unternehmen aus ihren Fehlern lernen.“ Der Gesetzentwurf fordere Organisationen auf, „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik“ zu entwickeln.

Daher sei die Auswertung von Vorfällen besonders wichtig. Response-Teams sollten nach relevanten Betriebsstörungen sogenannte Postmortem-Analysen durchführen, um die angewandten Maßnahmen, Reaktionszeiten und Folgen zu dokumentieren und daraus ihre Erkenntnisse zu ziehen.

„Je näher man der Ursache eines Vorfalls kommt, desto besser kann man ihn in Zukunft vermeiden.“ Strategien könnten so überprüft und angepasst werden. Der Einsatz von KI bei der Dokumentation und Analyse – etwa durch das Zusammentragen von Statusmeldungen, Benachrichtigungen und Zeitleisten – könne das Response-Team zusätzlich unterstützen und die Arbeit erleichtern.

Die Integration von Incident-Management-Plattformen Im NIS-2-Kontext

Mit der zunehmenden Komplexität der Anforderungen an das Vorfallsmanagement steige auch die Anzahl der zu bewältigenden Aufgaben in IT-Abteilungen. „Plattformen, die alle Schritte des Incident-Managements verbinden, können hierbei eine große Hilfe sein.“

Yildiz gibt zu bedenken: „Wer weiterhin die einzelene Elemente des Störungsmanagements voneinander isoliert umsetzt und dennoch versucht, sein Response-Team in kürzester Zeit zur Lösung eines Vorfalls zu bringen, riskiert, den Vorgaben der NIS-2-Regelung nicht gerecht zu werden.“

Eine reibungslose Zusammenarbeit zwischen Überwachung, Alarmierung, Kommunikation und Auswertung im Vorfallsmanagement sei unerlässlich, um kritische Situationen ab Oktober 2024 erfolgreich zu meistern. Yildiz Fazit: „Einen Vorsprung werden dabei die Unternehmen haben, welche die Umsetzung eines Störfallmanagementkonzeptes als nachhaltigen Lernprozess, statt als eine weitere rechtliche Vorgabe verstehen.“

Weitere Informationen zum Thema:

Bundesministerium des Innern und für Heimat, 07.05.2024
Referentenentwurf des Bundesministeriums des Innern und für Heimat / Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)

datensicherheit.de, 03.07.2024
EU-Richtlinie NIS-2: Dirk Wockes Empfehlungen zur Zusammenstellung der eigenen Task Force / Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden, ist es entscheidend, rechtzeitig ein Kernteam für Sicherheitsbelange zu bestimmen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen