Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden, ist es entscheidend, rechtzeitig ein Kernteam für Sicherheitsbelange zu bestimmen

[datensicherheit.de, 03.07.2024] Mit der neuen EU-Direktive NIS-2 stehen Unternehmen ganz offensichtlich vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen dieser Richtlinie gerecht zu werden, sei es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen – wie Unternehmen dabei vorgehen sollten, erläutert Dirk Wocke, „IT Compliance Manager“ und Datenschutzbeauftragter bei indevis, in seiner aktuellen Stellungnahme.

Foto: indevis

Dirk Wocke zum NIS-2-Nutzen: Bei einem Cyber-Vorfall entsteht erst einmal Chaos – wer bereits vorher Verantwortlichkeiten und Abläufe geklärt und ein Team aufgestellt hat, kann schnell und geordnet definierten Prozessen folgen!

Neue NIS-2-Direktive stellt konkrete Anforderungen an TOM

Wocke führt zum Hintergrund aus: „Die neue NIS-2-Direktive stellt konkrete Anforderungen an die technischen Maßnahmen, Richtlinien und Prozessbeschreibungen der Sicherheitsvorkehrungen in Unternehmen. Betriebe müssen sicherstellen, dass sie dafür über die notwendige Expertise verfügen – entweder aus den eigenen Reihen heraus oder durch externe Berater.“

Vor allem die sogenannten Kleinen und Mittleren Unternehmen (KMU) – welche nach den Neuerungen nun auch in den Geltungsbereich von NIS fallen können – sollten für die Einführung eines „Information Security Management System“ (ISMS) oder dessen Erweiterung einen Top-down-Ansatz fahren. „Die Geschäftsführung sollte sich zunächst eingehend mit ihren Pflichten und möglichen Sanktionen auseinandersetzen und sich schulen lassen“, rät Wocke. Mit diesem Wissen ausgestattet, könne sie dann entscheiden, „welche Maßnahmen zur Umsetzung der Anforderungen notwendig sind und wie die Verantwortlichkeiten und Prozesse innerhalb des Unternehmens verteilt werden“.

Verantwortung für NIS-2 sollte in erfahrene Hände gelegt werden

Im nächsten Schritt gehe es darum, ein Kernteam aufzustellen, welches „in Zusammenarbeit mit der Geschäftsführung die vielfältigen Sicherheitsanforderungen im Blick behält“. Die Rolle des Informationssicherheitsbeauftragten (ISB) und damit die Leitung sollte eine außerhalb der eigenen IT-Abteilung stehende Person mit IT-Hintergrund übernehmen, um im Ernstfall Interessenskonflikte zu vermeiden.

„Ist eine Person mit dieser Qualifikation nicht im Unternehmen zu finden, können Unternehmen auf externe Expertise zurückgreifen. Vor allem kleinere Betriebe profitieren vom Einsatz eines externen ISB.“ Dieser könne beispielsweise die Kommunikation mit den Aufsichtsbehörden übernehmen oder bei der Auswahl von Sicherheitstools wie auch bei Zertifizierungen unterstützen. Sein Einsatz erfolge flexibel im Rahmen einer Beratungspauschale – und die Organisation profitiere von der Erfahrung eines professionellen Experten.

Per Gap-Analyse den Bedarf im NIS-2-Spannungsfeld klären

Um neben dem ISB weitere passende Mitglieder für das IT-Sicherheitskernteam aufzustellen, sollten Unternehmen ihren aktuellen Stand in Sachen Sicherheit erfassen: „Mittels einer Gap-Analyse, für die sich Unternehmen ebenfalls Hilfe von externen Experten holen können, lassen sich bestehende Lücken im Security-Konzept oder in der IT-Security-Infrastruktur identifizieren.“ Diese umfassende Untersuchung gebe zusätzlich Hinweise darauf, wo und in welcher Reihenfolge noch fehlende Maßnahmen umgesetzt werden sollten. Die Umsetzung und Dokumentation dieser Maßnahmen erfolge dabei am besten innerhalb eines kontinuierlichen Verbesserungsprozesses.

Die Gap-Analyse helfe ebenfalls zu erkennen, „wer zu den verschiedenen Fragestellungen fachlich beitragen kann“. Meist seien dies gleich mehrere Personen im Unternehmen, „etwa der Facility-Manager, der sich um die physische Sicherheit kümmert; der Einkauf, der die Lieferanten im Blick hat; die Personalabteilung, wenn es um die Personalsicherheit geht oder die Marketingabteilung, falls Krisenkommunikation notwendig wird“. Ist im Unternehmen ein Qualitätsmanagement-Beauftragter (QMB) vorhanden, könne dieser bei entsprechender Qualifikation im IT-Umfeld auch die Funktion des ISB übernehmen. „Die Aufgabe, die Belegschaft über die geplanten Maßnahmen zu informieren und die Sicherheitsorganisation zu unterstützen, fällt der Geschäftsführung zu“, stellt Wocke klar.

NIS-2-Richtlinie schreibt Meldepflicht vor: Ablaufplan für den Ernstfall empfohlen

Die NIS-2-Richtlinie schreibe unter anderem vor, dass ein die IT-Sicherheit betreffender Vorfall innerhalb von 72 Stunden zu melden sei und eine Evaluation nachgereicht werden müsse. Unternehmen müssten daher sicherstellen, „dass sie in der Lage sind, sicherheitsrelevante Vorfälle zu erkennen und zu verfolgen“. Es gelte also, entsprechende Verantwortlichkeiten und Informationsketten festzulegen. Wocke unterstreicht: „Das macht eine interne Prozessbeschreibung notwendig, die das Prozedere im Ernstfall detailliert aufführt – und alle Mitglieder des Kernteams ausgedruckt in der Schreibtischschublade haben, falls ein Cyber-Vorfall die IT lahmlegt. Wie Vorfälle einzustufen sind, beurteilt federführend der ISB.“ Regelmäßige Notfallübungen und Planspiele hielten das Kernteam fit für den Ernstfall und würden helfen, immer wieder die eigene Sicherheitsstrategie mit möglichen künftigen Szenarien abzugleichen.

Die von NIS-2 geforderten Maßnahmen umzusetzen, stelle viele Unternehmen erst einmal vor Herausforderungen. „Dabei sollten sie sich aber vor Augen halten: Bei einem Cyber-Vorfall entsteht erst einmal Chaos. Wer bereits vorher Verantwortlichkeiten und Abläufe geklärt und ein Team aufgestellt hat, kann schnell und geordnet definierten Prozessen folgen“, so Wocke abschließend. So ließen sich die Folgen eines Angriffs auf ein Minimum reduzieren – und die neuen NIS-2-Standards erfüllen.

Weitere Informationen zum Thema:

indevis
Informationssicherheitsbeauftragter as a Service

indevis
NIS-2 Consulting / NIS-2-Richtlinie erfüllen und mehr Cybersicherheit erzielen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

Künftig müssen KRITIS-Betreiber mit noch höheren Anforderungen an IT-Security rechnen

[datensicherheit.de, 11.01.2023] Im Kontext der Kriegshandlungen in der Ukraine besteht offensichtlich auch ein erhöhtes Risiko für Cyber-Angriffe auf Kritische Infrastrukturen (KRITIS). „Auch der Gesetzgeber reagiert auf die verschärfte Bedrohungslage. Künftig müssen KRITIS-Betreiber mit noch höheren Anforderungen an die IT-Security rechnen“, so Wolfgang Kurz, Geschäftsführer und Gründer von indevis, und erläutert in seiner aktuellen Stellungnahme, was auf diese zukommt und warum auch alle anderen Unternehmen reagieren sollten.

Foto: indevis

Wolfgang Kurz: Das BSI bewertet die Lage als so angespannt wie noch nie!

KRITIS immer häufiger Ziel von Cyber-Angriffen

„Seit Beginn des Ukraine-Kriegs zeigen sich verstärkt Hacker-Aktivitäten, die politisch motiviert sind und Staaten destabilisieren sollen“, berichtet Kurz.

Gerade die KRITIS, wie jene des US-amerikanischen Energieversorgers Colonial Pipeline, würden immer häufiger Opfer gezielter Cyber-Angriffe. Kurz betont: „Das Bundesamt in der Informationstechnik (BSI) bewertet die Lage als so angespannt wie noch nie.“

Gesetzgeber reagiert auf KRITIS-Bedrohung mit Ausweitung der Cybersecurity-Vorschriften

Die veränderte Bedrohungssituation habe auch der Gesetzgeber erkannt und greife verstärkt ein. Derzeit plane das Bundesinnenministerium ein sogenanntes KRITIS-Dachgesetz, welches der EU-CER-Richtlinie vorgreifen solle. Mehr Unternehmen müssten sich bald auf strengere Regularien einstellen und in puncto IT-Sicherheit nachrüsten. Kurz kommentiert: „Indessen kämpfen viele derzeit noch damit, die Vorgaben des aktuellen IT-Sicherheitsgesetzes (IT-SIG) 2.0 umzusetzen. Ab Mai 2023 sind zum Beispiel Systeme zur Angriffserkennung vorgeschrieben. Außerdem gelten seit Januar 2022 strengere Meldepflichten bei Störungen und es drohen schärfere Sanktionen.“

Darüber hinaus sei zu erwarten, dass auch Maßnahmen zur Lieferketten-Resilienz künftig Pflicht würden. „Denn der Ukraine-Krieg und die Krisen der vergangenen Jahre haben gezeigt, wie verletzlich die Wirtschaft ist, wenn wichtige Rohstoffe und Komponenten fehlen“, so Kurz. Im Nahrungsmittelsektor oder bei der Medikamentenversorgung gefährde dies im Zweifel sogar Menschenleben. „Fehlen die notwendigen Sicherheitsmaßnahmen, kann das für Institutionen im Zweifel bis zur Privathaftung gehen“, warnt Kurz.

Managed Detection & Response (MDR): Verbesserung der KRITIS- Angriffserkennung

Ob KRITIS-Betreiber, Mittelständler oder Großunternehmen: Maßnahmen zur Angriffserkennung und -abwehr seien für Unternehmen ein Muss. Die Installation von verschiedenen Security-Systemen allein reiche dafür nicht mehr aus. Vielmehr müssten sämtliche mittels der in der IT-Landschaft verteilten Security-Sensoren gesammelten Sicherheitsdaten sinnvoll zusammengeführt und analysiert werden.

Kurz rät: „In Zeiten des Fachkräftemangels lohnt es sich oft, hierfür auf externe Anbieter von Managed Detection & Response (MDR) zurückzugreifen. Auf einer zentralen Plattform integrieren sie die Security-Informationen der vorhandenen Endpoints sowie anderer angeschlossener Datenquellen und werten diese mithilfe moderner SOAR-Technologie aus.“ So wüssten Unternehmen über potenzielle Angriffsvektoren Bescheid und Attacken ließen sich – teils sogar automatisiert – vereiteln.

Höhere Anforderungen an KRITIS-Betreiber – ein guter Zeitpunkt zur Investition in IT-Security

Kurz führt aus: „Wie ernst die Lage ist, zeigt der Gesetzgeber, indem er höhere Anforderungen an KRITIS-Betreiber stellt und definiert, welches Schutzlevel Institutionen erreichen müssen. Auch Unternehmen, die nicht unter die KRITIS-Verordnung fallen, sollten sich an den ,Best Practices’ orientieren.“ Insbesondere die Fähigkeit, Bedrohungen schnell zu erkennen und zu reagieren, werde künftig unverzichtbar. „Denn wir haben es heute mit hochautomatisierten, professionellen Cyber-Angriffen zu tun, die sich über viele verschiedene Ebenen der IT-Umgebung erstrecken“, unterstreicht Kurz und stellt abschließend fest:

„Mit einem Service für MDR stellen sich Unternehmen und Institutionen souverän auf, um Attacken rechtzeitig zu erkennen und zu stoppen.“ Ein spezialisierter Security-Dienstleister stelle die Technologie für die Angriffserkennung zur Verfügung, betreibe sie und unterstütze bei der Bedrohungsbewältigung.

Weitere Informationen zum Thema:

OPENKRITIS
Das IT-Sicherheitsgesetz 2.0