Zum Inhalt springen Zur Navigation springen
NIS-2: Anforderungen für Anbieter digitaler Dienste (Teil 2)

NIS-2: Anforderungen für Anbieter digitaler Dienste (Teil 2)

Der neue Durchführungsrechtsakt der NIS-2-Richtlinie konkretisiert die Anforderungen an die Cybersicherheit für Anbieter digitaler Dienste. Er enthält detaillierte, verpflichtende Grundanforderungen zur Informationssicherheit. In diesem Beitrag stellen wir die wichtigsten Aspekte vor und zeigen, warum die Umsetzung für Unternehmen durchaus anspruchsvoll ist.

Die neuen Anforderungen zur NIS-2

Die EU-Verordnung 2022/2555 (NIS-2) hat das Ziel, einen sicheren Rahmen für die Cybersicherheit innerhalb der EU vorzugeben. Eine erste Durchführungsverordnung setzt nun auf der NIS-2 auf und konkretisiert die zuvor nur schwammig formulierten Anforderungen für einige der betroffenen Unternehmen.

In dem Beitrag NIS-2: Anforderungen für Anbieter digitaler Dienste (Teil 1) haben wir uns bereits diese Themen genauer angeschaut:

  • Struktur und Verantwortung
  • Risikomanagement
  • Bewältigung von Sicherheitsvorfällen
  • Betriebskontinuität und Krisenmanagement

Darauf aufbauend beleuchten wir nun noch die fehlenden Themen, von Kryptografie bis zur kontinuierlichen Verbesserung der Maßnahmen. Nach wie vor wichtig bleibt die Forderung, dass alle Maßnahmen regelmäßig überprüft und bewertet werden.

Kryptografie: Schutz sensibler Daten, besonders bei digitalen Diensten, bitte

Kryptografie ist eine der grundlegendsten, aber auch anspruchsvollsten Maßnahmen. Zur Sicherstellung der Vertraulichkeit und Integrität sensibler Daten fordert die NIS-2-Richtlinie, dass Unternehmen ein Konzept zur Nutzung und Verwaltung von Kryptografie entwickeln. Von bedeutender Relevanz ist hier ein ausgeklügeltes Schlüsselmanagement für den gesamten Lebenszyklus kryptographischer Mittel.

Ein unabdingbarer Aspekt dabei ist die regelmäßige Überprüfung der eingesetzten Mittel, um durchweg eine dem Stand der Technik entsprechende Umsetzung sicherzustellen. Hier sollten Unternehmen auf den Einsatz von Fachexpertise setzen, um ihre Daten dauerhaft und kontinuierlich sicher zu halten.

Zugriffskontrolle und Asset-Management: Weniger ist mehr

Mindestens genauso wichtig, wie ein gutes Konzept zum Einsatz von Kryptografie ist ein durchdachtes Identity and Access Management (IAM). Die NIS-2-Verordnung fordert ein striktes Konzept zur Zugriffskontrolle und ein effektives Asset-Management. Der Zugang zu sensiblen Systemen und Daten soll nur den notwendigsten Mitarbeitern erlaubt sein. Multifaktor-Authentifizierung ist hier ein wesentlicher Bestandteil.

Um ein solches Konzept sinnvoll darzustellen, müssen jedoch im ersten Schritt die digitalen und physischen Unternehmenswerte identifiziert werden. Auf Basis eines Inventars der Unternehmenswerte kann eine Klassifizierung durchgeführt und Sicherheitsanforderungen festgelegt werden. So wird das Berechtigungskonzept abgerundet und Zugriffe auf die jeweiligen Werte können anhand des IAM eingeschränkt werden. Ein durchdachtes Konzept für die Zugriffskontrolle reduziert so das Risiko durch unnötige Zugriffe und sorgt für eine effiziente Verwaltung der Unternehmensressourcen.

Lieferkettensicherheit bei digitalen Diensten: Dienstleister und Software gleichermaßen

Die Sicherheit der Lieferkette spielt in der digitalen Wirtschaft eine große Rolle. Hier macht die NIS-2 weiter, wo das Lieferkettensorgfaltspflichtengesetz nur auf die Einhaltung der Menschenrechte eingeht. Unternehmen müssen sich gegen Bedrohungen durch Drittanbieter und Dienstleister absichern.

Ähnlich wie auch im DORA gefordert, sollten Unternehmen ein Verzeichnis aller Anbieter führen, die Zugang zu kritischen Systemen oder Einfluss auf diese haben können. Dabei sollten Sicherheitsanforderungen auch in Verträge mit Lieferanten integriert werden. Nicht zuletzt müssen auch Risiken, die durch Anbieter und Drittanbieter entstehen können, bereits vor Vertragsschluss berücksichtigt werden.

Die Sicherheit der Lieferkette umfasst neben anderen Unternehmen aber auch Systeme und Software. Auch beim Erwerb und der Wartung von Netz- und Informationssystemen fordert die NIS-2-Verordnung umfassende Sicherheitsmaßnahmen.

Unternehmen stehen hier vor der Aufgabe, ihre gesamten Lieferketten auf potenzielle Schwachstellen zu prüfen und Verträge entsprechend anzupassen. Dazu kommen Anforderungen wie Security by Design in der Softwareentwicklung, die Überwachung von Sicherheitslücken in Software und Systemen und damit verbunden ein ausgereiftes Patch- und Änderungsmanagement.

Cyberhygiene und Mitarbeiterschulungen im Fokus der NIS-2

Das Thema Cybersicherheit erfordert nicht nur technische Maßnahmen, sondern auch eine Sensibilisierung der Belegschaft. Das Schlagwort Cyberhygiene wird hier häufig verwendet und steht für all die Maßnahmen und Vorgaben, die Mitarbeitern ermöglichen sollen, sauber im Sinne der Informationssicherheit zu arbeiten.

Dazu sind regelmäßige Schulungen der Mitarbeiter nötig. Diese sollten Zielgruppenspezifisch genau die Themen aufgreifen, die für die jeweiligen Mitarbeiter besonders wichtig sind. Aber Achtung, nicht nur die eigenen Mitarbeiter müssen die Schulungen besuchen. Sofern für das Unternehmen relevant, muss außerdem sichergestellt werden, dass auch die Mitarbeiter von externen Dienstleistern ihre Rollen und Verantwortlichkeiten für die Informationssicherheit des Unternehmens verstehen und wahrnehmen.

Die Schulungspflicht hört aber auch hier noch nicht auf, denn Informationssicherheit ist Chefsache. Wer nicht nachweisen kann, dass die Geschäftsführung von Beginn an in die Sicherheitsmaßnahmen eingebunden war, könnte Probleme bekommen.

Effektivität der Cybersicherheitsmaßnahmen: Anforderungen messbar erfüllen

Um sicherzustellen, dass die Sicherheitsmaßnahmen effektiv sind, verlangt die NIS-2-Richtlinie einen strukturierten Ansatz zur Bewertung der umgesetzten Maßnahmen. Diese müssen innerhalb festgesetzter Zeiträume auf Effektivität und Angemessenheit überprüft und entsprechend angepasst werden. Die Sicherheitsziele sollten daher von beginn an so definiert werden, dass deren Erfüllung auch in Kennzahlen messbar ist.

Die Anforderungen sind komplex

Die NIS-2-Vorgaben umfassen alle Sicherheitsbereiche und verlangen von Unternehmen eine ganzheitliche Sicherheitsstrategie. Für viele digitale Dienstleister ist das eine große Herausforderung, die mit internen Ressourcen kaum zu bewältigen ist. Ob es um die Sicherheit der Lieferkette, Zugriffskontrolle oder Kennzahlen zur Bewertung der Effektivität geht – die Anforderungen sind komplex und erfordern nicht nur technisches Fachwissen.

Hier sind explizit die Geschäftsführer gefordert, um ausreichende Ressourcen an Zeit, Geld, Personal und Kompetenzen zur Verfügung zu stellen, damit das Unternehmen durch den Aufbau eines Informationssicherheitsmanagementsystems den Anforderungen der NIS-2 gerecht werden kann.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.