Die europäische NIS-2-Richtlinie weitet verbindliche Cybersicherheitsvorgaben auf viele mittelständische Unternehmen aus. Allein in Deutschland müssen sich bis zum geplanten Inkrafttreten des entsprechenden nationalen Gesetzes schätzungsweise 30.000 Firmen mit NIS-2 auseinandersetzen. Das Ziel: ein besseres gemeinsames Cybersicherheitsniveau in der EU.
Ein Gastbeitrag von Tim Berghoff, Security Evangelist bei G DATA CyberDefense
Die NIS-2-Direktive der EU hat das klare Ziel, die IT-Sicherheit entlang der Wertschöpfungs- und Lieferketten zu stärken. Dabei werden deutlich mehr Unternehmen von NIS-2 betroffen sein, als viele IT-Verantwortliche vermuten. Zunächst einmal gilt: Wer mehr als 50 Mitarbeitende und / oder eine Jahresbilanzsumme größer 10 Millionen hat sowie zu einem der 18 betroffenen Sektoren gehört, fällt künftig unter NIS-2. Zu den schon bekannten kritischen Sektoren wie Energie, Transport, Verkehr, Gesundheit oder Versorgung mit Trinkwasser kommen neu hinzu: die Finanzmarkt-Infrastruktur, Post und Kurierdienste, Ernährung und Anbieter von Erzeugnissen sowohl Lebensmittel als auch die chemische Industrie sowie Waren im Bereich Maschinenbau, Optik, Datenverarbeitung, Messgeräte, Medizinprodukte.
Chefetagen in der Pflicht
Eigentlich gehört die Verantwortung für IT-Sicherheit schon seit Jahren auf die Management- und Geschäftsleitungsebene. Folgerichtig gießt die EU-Direktive dieses Verständnis in entsprechende gesetzliche Regelungen. Künftig können Geschäftsführungen und Vorstände direkt in die Verantwortung genommen werden, da der Grundsatz „Unwissenheit schützt vor Strafe“ nicht mehr gilt. Eigentlich erinnert die NIS-2-Direktive Vorstände und Geschäftsführungen nur an eine Kernaufgabe, die vielleicht mancher nicht als solche identifiziert hat. Aber: Kein Vorstand, keine Geschäftsführerin muss das persönlich und alleinverantwortlich umsetzen. Sie können die Umsetzung auch delegieren, etwa an einen Projektverantwortlichen. Einzig die Verantwortung für das Gesamtprojekt darf nicht delegiert werden. Hier ist die NIS-2 eindeutig. Auch Verzichtserklärungen des Unternehmens gegenüber dem Vorstand oder der Geschäftsleitung sind qua Gesetz ungültig. Einzig eine entsprechende Manager-Haftpflicht ist eventuell zulässig, sofern eine solche Versicherung besteht. Vorstände und Geschäftsleitungen müssen Sicherheitsmaßnahmen überwachen und billigen. Das heißt: Sie müssen verstehen, was los ist und sehen, dass die Maßnahmen umgesetzt werden. Die Richtlinie verlangt von keinem ein Informatik-Studium, aber ein regelmäßiger Abstimmungstermin mit der Projektgruppe ist durchaus zielführend. Ein Scheitern des NIS-2-Projektes in einem Unternehmen ist keine Option.
Schnell sein lohnt sich
Künftig werden Verstöße hart bestraft. Zwar beginnt das Sanktionspaket bei einer Warnung, aber auch Geldbußen von 10 Millionen beziehungsweise mindestens zwei Prozent des Konzernumsatzes sind in besonders schweren Fällen möglich. Diese Regelung gilt bereits ab dem Tag, an dem die nationale Gesetzgebung in Kraft tritt.
Daher müssen Firmen schnell reagieren, etwa bei einem IT-Sicherheitsvorfall. Ein Unternehmen muss einen solchen Fall innerhalb von 24 Stunden melden, auch an Feiertagen und Wochenenden. Regelmäßige Aktualisierungen der Benachrichtigung nach 72 Stunden und 30 Tagen sind obligatorisch. Die Abschlussberichte müssen vollständig sein und den genauen Ablauf sowie die Ursachen des sicherheitsrelevanten Vorfalls detailliert beschreiben.
Weiße Flecken auf der IT-Landkarte
NIS-2 sieht konkrete IT-Sicherheitsmaßnahmen vor, die jedes betroffene Unternehmen besser heute als morgen angehen sollte. Dazu zählen regelmäßige Überprüfungen der bestehenden IT-Sicherheitsmaßnahmen, einschließlich Penetrationstests. Auch Security Awareness Trainings sind obligatorisch. Höchste Priorität sollte aber die Überwachung von Netzwerkaktivitäten haben. Denn diese ist gleichzeitig eine der größten Herausforderungen in vielen IT-Abteilungen. Ein Angriff, der massive Schäden verursacht, lässt sich oft anhand bestimmter Indikatoren eindeutig zurückverfolgen und auch frühzeitig erkennen. Allerdings übersehen viele diese Anzeichen oder werden von der IT-Abteilung falsch interpretiert – insbesondere, wenn entsprechende Protokolldateien nicht überprüft wurden. Ein gutes Monitoring scheitert nicht an den technischen Gegebenheiten, sondern oft an einer zu dünnen Personaldecke. Auch fehlende Erfahrung im Interpretieren von Protokolldaten und deren Zuordnung zu einem laufenden Angriff spielen hier eine Rolle. Es gibt jedoch am Markt Produkte und Dienstleistungen, die bei der Erkennung von Angriffen unterstützen können, wie etwa Managed Endpoint Detection and Response.
Fachpersonal für IT-Sicherheit
Wer im Unternehmen ein eigenes Security-Information-and Event-Management (SIEM) nutzt, braucht geschultes Personal. Ohne dieses ist es praktisch unmöglich, einen Nutzen aus dem System zu ziehen. Es empfiehlt sich daher oft, einen externen Dienstleister mit dem Monitoring zu beauftragen. Für die meisten Unternehmen ergibt es finanziell keinen Sinn, alle erforderlichen Infrastrukturen selbst zu unterhalten und entsprechendes Personal entweder aus den eigenen Reihen zu rekrutieren und zu qualifizieren oder neues Personal einzustellen.
Auch für den Fall eines Notfalls müssen Verantwortliche künftig Vorsorge treffen. Ein eigenes Incident-Response-Team ist jedoch für die meisten Unternehmen finanziell nicht sinnvoll. Interne Mitarbeitende für Incident Response zu qualifizieren, ist eine Herausforderung, da dieser Bereich spezifische Erfahrungen im Umgang mit Sicherheitsvorfällen erfordert. Diese können nicht aus Büchern oder Kursen erlernt werden. Es empfiehlt sich daher, in entsprechende Dienstleistungen und Retainer-Verträge zu investieren, um sicherzustellen, dass sie im Falle eines Vorfalls optimal geschützt sind. Diese Investitionen machen sich bezahlt. Unternehmen, die Unterstützung in Anspruch nehmen, sind schneller wieder arbeitsfähig.
Zeit zum Handeln
Auch wenn zum aktuellen Zeitpunkt unklar ist, wann die NIS-2-Direktive endgültig in nationales Recht umgesetzt ist, sollten Unternehmen besser heute als morgen in den Dialog mit Dienstleistungsunternehmen und Beratern treten. Wie bei jedem Gesetz ist es schwierig, etwas so Vielschichtiges wie die NIS-2 sofort perfekt im entsprechenden Gesetzestext abzubilden. Unternehmen sollten daher keine Lücken zulassen, um nicht selbst zu einem Präzedenzfall in einem solchen Verfahren zu werden. (ah)
