Die Anforderungen an Cybersicherheit und Datenschutz in der EU wachsen. Mit der erst kürzlich veröffentlichten Durchführungsverordnung zur NIS-2-Richtlinie für bestimmte Unternehmen wird die Cybersicherheit für Anbieter digitaler Dienste zur Pflicht. Die EU-Verordnung enthält detaillierte, verpflichtende Grundanforderungen zur Informationssicherheit. In diesem Beitrag stellen wir die wichtigsten Aspekte vor und zeigen, warum die Umsetzung für Unternehmen durchaus anspruchsvoll ist.
Der Inhalt im Überblick
Einordnung der neuen Anforderungen
Über die Verordnung EU 2022/2555 (NIS-2) haben wir bereits in verschiedenen Beiträgen berichtet. Die NIS-2-Verordnung bildet einen einheitlichen Umsetzungsrahmen mit Mindestanforderungen an die Cybersicherheit von Unternehmen in der Union. Der nun finalisierte Durchführungsrechtsakt baut auf diesem Rahmen auf und konkretisiert die zuvor nur schwammig formulierten Anforderungen für von der NIS-2 betroffene
- DNS-Diensteanbieter,
- TLD-Namenregister,
- Anbieter von Cloud-Computing-Diensten,
- Anbieter von Rechenzentrumsdiensten,
- Betreiber von Inhaltszustellnetzen,
- Anbieter verwalteter Dienste,
- Anbieter verwalteter Sicherheitsdienste,
- Anbieter von Online-Marktplätzen,
- Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und
- Vertrauensdiensteanbieter.
Mit diesen Konkretisierungen der Anforderungen gibt die EU diesen betroffenen Unternehmen die Chance, ihre Informationssicherheitssysteme im Rahmen der Fristen der EU frühzeitig gesetzeskonform aufzustellen und noch fehlende Maßnahmen zur Erfüllung der Anforderungen zu planen und umzusetzen.
Einen besonderen Fokus legt die EU in diesem Durchführungsrechtsakt auf die Netz- und Informationssysteme der Unternehmen sowie eine regelmäßige, unabhängige Überprüfung der Maßnahmen. Diese sind Pflicht und sollen sicherstellen, dass Sicherheitsstandards auf dem aktuellen Stand bleiben. Tests, am besten durchgeführt durch externe Fachleute, erhöhen die Sicherheit und verhindern Compliance-Probleme.
Struktur und Verantwortung: Sicherheitskonzepte für Digital Services
Die NIS-2-Verordnung legt Wert auf ein durchdachtes Konzept für die Sicherheit von Netz- und Informationssystemen. Betroffene Unternehmen werden hier verpflichtet, klare Rollen und Zuständigkeiten zu definieren. Dabei wird eine eindeutige Weisungskette gefordert, die sicherstellt, dass Sicherheitsmaßnahmen konsequent umgesetzt werden.
In der Praxis bedeutet das: Es braucht Verantwortliche für die Informationssicherheit, die das Sicherheitskonzept überwachen und regelmäßig anpassen. Auch die technische Umsetzung und Dokumentation dieser Maßnahmen muss konsequent nachgehalten werden. Auf Geschäftsführerebene heißt das, dass Sicherheitsrichtlinien in Unternehmensstrukturen eingebettet und Mitarbeitende im richtigen Umgang geschult werden müssen.
Risikomanagement: Mehr als nur die handvoll Maßnahmen aus NIS-2
Ein weiteres Kernstück der NIS-2-Vorgaben ist das Risikomanagement. Unternehmen sind verpflichtet, einen Rahmen zu schaffen, der Risiken für die Informationssicherheit erkennt, bewertet und minimiert. Dies schließt regelmäßige Überprüfungen der eigenen Systeme und Prozesse ein.
Gerade in Unternehmen des digitalen Service-Sektors, die oft in hochdynamischen, vernetzten Umgebungen arbeiten, bringt dies erhebliche Herausforderungen mit sich. Neben der Erstellung eines detaillierten Risikomanagement-Plans müssen Unternehmen auch sicherstellen, dass dieser in der Praxis funktioniert. Unternehmen sollten hierbei klare Prozesse etablieren, um Risiken kontinuierlich zu überwachen und Sicherheitsmaßnahmen bei Bedarf anzupassen.
Bewältigung von Sicherheitsvorfällen: Vorbereitung auf den Ernstfall
Sicherheitsvorfälle sind für Unternehmen eine der größten Bedrohungen. Die NIS-2-Richtlinie fordert deshalb ein umfassendes Konzept zur Bewältigung solcher Vorfälle. Dies reicht von der Protokollierung und Überwachung möglicher Bedrohungen bis hin zur Bewertung und Klassifizierung von Ereignissen, um deren Schwere einzuschätzen.
Besonders kritisch für Unternehmen kann hier die zeitnahe Meldung an die zuständigen Behörden werden. Die Fristen sind kurz. Ein klar definierter Ablaufplan, der festlegt, wie Vorfälle zu erkennen, zu bewerten und zu melden sind, ist daher Pflicht. Die kontinuierliche Überwachung von Netzwerken, einschließlich Protokollierung und Ereignismeldung, hilft, Bedrohungen frühzeitig zu erkennen.
Im Nachgang solcher Vorfälle ist eine gründliche Analyse erforderlich, um ähnliche Probleme in der Zukunft zu verhindern. Dies umfasst detaillierte Protokolle, regelmäßige Reviews und Nachbesserungen am Sicherheitskonzept. Rückblicke auf Sicherheitsereignisse und anschließende Verbesserungen schaffen eine dynamische und resiliente Sicherheitsstrategie.
Kontinuitäts- und Krisenmanagement: Versorgungssicherheit auch bei digitalen Diensten
Ein weiteres, oft unterschätztes Element der NIS-2-Vorgaben ist das Krisenmanagement. Unternehmen müssen Notfallpläne erstellen, um bei Angriffen oder IT-Ausfällen handlungsfähig zu bleiben. Dies umfasst Backup-Lösungen, redundante Systeme und eine Krisenstrategie, die auf betriebliche Kontinuität abzielt.
Ein umfassendes Krisenmanagement trägt dazu bei, dass die digitalen Dienste der betroffenen Unternehmen, und damit im Kern die Versorgungssicherheit der Bevölkerung, selbst im Ernstfall verfügbar bleiben oder mindestens schnellstmöglich wieder verfügbar sind. Damit solche Pläne in der Praxis wirksam sein können, wird auch hier regelmäßiges Training und eine klare Rollenverteilung gefordert.
Ganz klar, die Aufgabe liegt nicht nur bei der IT, sondern betrifft die gesamte Unternehmensstruktur.
Die Anforderungen der NIS-2 sind komplex
Von Sicherheitskonzepten über Risikomanagement bis hin zu detaillierten Notfall- und Krisenplänen – jedes Element erfordert sorgfältige Vorbereitung und regelmäßige Anpassungen. Allerdings waren das bisher nur etwa die Hälfte der Anforderungen aus dem Durchführungsrechtsakt, in der nächsten Woche werfen wir einen Blick auf die zweite Hälfte.
Bereits an diesem Punkt zeigt sich: Für Unternehmen der digitalen Branche sind die Anforderungen der NIS-2-Richtlinie komplex und stellen hohe Ansprüche an Planung und Umsetzung. Die Lösung für diese Problematik stellt die NIS-2 jedoch auch direkt als Anforderung: Es muss ein Informationssicherheitsmanagementsystem aufgebaut werden, denn nur so können alle Anforderungen angemessen erfüllt werden.
Weiter geht es mit den Themen Kryptografie, Zugriffskontrolle und Asset-Management, Lieferkettensicherheit sowie der kontinuierlichen Verbesserung der getroffenen Cybersicherheitsmaßnahmen in NIS-2: Anforderungen für Anbieter digitaler Dienste (Teil 2).