Der neue Durchführungsrechtsakt der NIS-2-Richtlinie konkretisiert die Anforderungen an die Cybersicherheit für Anbieter digitaler Dienste. Er enthält detaillierte, verpflichtende Grundanforderungen zur Informationssicherheit. In diesem Beitrag stellen wir die wichtigsten Aspekte vor und zeigen, warum die Umsetzung für Unternehmen durchaus anspruchsvoll ist.
Der Inhalt im Überblick
- Die neuen Anforderungen zur NIS-2
- Kryptografie: Schutz sensibler Daten, besonders bei digitalen Diensten, bitte
- Zugriffskontrolle und Asset-Management: Weniger ist mehr
- Lieferkettensicherheit bei digitalen Diensten: Dienstleister und Software gleichermaßen
- Cyberhygiene und Mitarbeiterschulungen im Fokus der NIS-2
- Effektivität der Cybersicherheitsmaßnahmen: Anforderungen messbar erfüllen
- Die Anforderungen sind komplex
Die neuen Anforderungen zur NIS-2
Die EU-Verordnung 2022/2555 (NIS-2) hat das Ziel, einen sicheren Rahmen für die Cybersicherheit innerhalb der EU vorzugeben. Eine erste Durchführungsverordnung setzt nun auf der NIS-2 auf und konkretisiert die zuvor nur schwammig formulierten Anforderungen für einige der betroffenen Unternehmen.
In dem Beitrag NIS-2: Anforderungen für Anbieter digitaler Dienste (Teil 1) haben wir uns bereits diese Themen genauer angeschaut:
- Struktur und Verantwortung
- Risikomanagement
- Bewältigung von Sicherheitsvorfällen
- Betriebskontinuität und Krisenmanagement
Darauf aufbauend beleuchten wir nun noch die fehlenden Themen, von Kryptografie bis zur kontinuierlichen Verbesserung der Maßnahmen. Nach wie vor wichtig bleibt die Forderung, dass alle Maßnahmen regelmäßig überprüft und bewertet werden.
Kryptografie: Schutz sensibler Daten, besonders bei digitalen Diensten, bitte
Kryptografie ist eine der grundlegendsten, aber auch anspruchsvollsten Maßnahmen. Zur Sicherstellung der Vertraulichkeit und Integrität sensibler Daten fordert die NIS-2-Richtlinie, dass Unternehmen ein Konzept zur Nutzung und Verwaltung von Kryptografie entwickeln. Von bedeutender Relevanz ist hier ein ausgeklügeltes Schlüsselmanagement für den gesamten Lebenszyklus kryptographischer Mittel.
Ein unabdingbarer Aspekt dabei ist die regelmäßige Überprüfung der eingesetzten Mittel, um durchweg eine dem Stand der Technik entsprechende Umsetzung sicherzustellen. Hier sollten Unternehmen auf den Einsatz von Fachexpertise setzen, um ihre Daten dauerhaft und kontinuierlich sicher zu halten.
Zugriffskontrolle und Asset-Management: Weniger ist mehr
Mindestens genauso wichtig, wie ein gutes Konzept zum Einsatz von Kryptografie ist ein durchdachtes Identity and Access Management (IAM). Die NIS-2-Verordnung fordert ein striktes Konzept zur Zugriffskontrolle und ein effektives Asset-Management. Der Zugang zu sensiblen Systemen und Daten soll nur den notwendigsten Mitarbeitern erlaubt sein. Multifaktor-Authentifizierung ist hier ein wesentlicher Bestandteil.
Um ein solches Konzept sinnvoll darzustellen, müssen jedoch im ersten Schritt die digitalen und physischen Unternehmenswerte identifiziert werden. Auf Basis eines Inventars der Unternehmenswerte kann eine Klassifizierung durchgeführt und Sicherheitsanforderungen festgelegt werden. So wird das Berechtigungskonzept abgerundet und Zugriffe auf die jeweiligen Werte können anhand des IAM eingeschränkt werden. Ein durchdachtes Konzept für die Zugriffskontrolle reduziert so das Risiko durch unnötige Zugriffe und sorgt für eine effiziente Verwaltung der Unternehmensressourcen.
Lieferkettensicherheit bei digitalen Diensten: Dienstleister und Software gleichermaßen
Die Sicherheit der Lieferkette spielt in der digitalen Wirtschaft eine große Rolle. Hier macht die NIS-2 weiter, wo das Lieferkettensorgfaltspflichtengesetz nur auf die Einhaltung der Menschenrechte eingeht. Unternehmen müssen sich gegen Bedrohungen durch Drittanbieter und Dienstleister absichern.
Ähnlich wie auch im DORA gefordert, sollten Unternehmen ein Verzeichnis aller Anbieter führen, die Zugang zu kritischen Systemen oder Einfluss auf diese haben können. Dabei sollten Sicherheitsanforderungen auch in Verträge mit Lieferanten integriert werden. Nicht zuletzt müssen auch Risiken, die durch Anbieter und Drittanbieter entstehen können, bereits vor Vertragsschluss berücksichtigt werden.
Die Sicherheit der Lieferkette umfasst neben anderen Unternehmen aber auch Systeme und Software. Auch beim Erwerb und der Wartung von Netz- und Informationssystemen fordert die NIS-2-Verordnung umfassende Sicherheitsmaßnahmen.
Unternehmen stehen hier vor der Aufgabe, ihre gesamten Lieferketten auf potenzielle Schwachstellen zu prüfen und Verträge entsprechend anzupassen. Dazu kommen Anforderungen wie Security by Design in der Softwareentwicklung, die Überwachung von Sicherheitslücken in Software und Systemen und damit verbunden ein ausgereiftes Patch- und Änderungsmanagement.
Cyberhygiene und Mitarbeiterschulungen im Fokus der NIS-2
Das Thema Cybersicherheit erfordert nicht nur technische Maßnahmen, sondern auch eine Sensibilisierung der Belegschaft. Das Schlagwort Cyberhygiene wird hier häufig verwendet und steht für all die Maßnahmen und Vorgaben, die Mitarbeitern ermöglichen sollen, sauber im Sinne der Informationssicherheit zu arbeiten.
Dazu sind regelmäßige Schulungen der Mitarbeiter nötig. Diese sollten Zielgruppenspezifisch genau die Themen aufgreifen, die für die jeweiligen Mitarbeiter besonders wichtig sind. Aber Achtung, nicht nur die eigenen Mitarbeiter müssen die Schulungen besuchen. Sofern für das Unternehmen relevant, muss außerdem sichergestellt werden, dass auch die Mitarbeiter von externen Dienstleistern ihre Rollen und Verantwortlichkeiten für die Informationssicherheit des Unternehmens verstehen und wahrnehmen.
Die Schulungspflicht hört aber auch hier noch nicht auf, denn Informationssicherheit ist Chefsache. Wer nicht nachweisen kann, dass die Geschäftsführung von Beginn an in die Sicherheitsmaßnahmen eingebunden war, könnte Probleme bekommen.
Effektivität der Cybersicherheitsmaßnahmen: Anforderungen messbar erfüllen
Um sicherzustellen, dass die Sicherheitsmaßnahmen effektiv sind, verlangt die NIS-2-Richtlinie einen strukturierten Ansatz zur Bewertung der umgesetzten Maßnahmen. Diese müssen innerhalb festgesetzter Zeiträume auf Effektivität und Angemessenheit überprüft und entsprechend angepasst werden. Die Sicherheitsziele sollten daher von beginn an so definiert werden, dass deren Erfüllung auch in Kennzahlen messbar ist.
Die Anforderungen sind komplex
Die NIS-2-Vorgaben umfassen alle Sicherheitsbereiche und verlangen von Unternehmen eine ganzheitliche Sicherheitsstrategie. Für viele digitale Dienstleister ist das eine große Herausforderung, die mit internen Ressourcen kaum zu bewältigen ist. Ob es um die Sicherheit der Lieferkette, Zugriffskontrolle oder Kennzahlen zur Bewertung der Effektivität geht – die Anforderungen sind komplex und erfordern nicht nur technisches Fachwissen.
Hier sind explizit die Geschäftsführer gefordert, um ausreichende Ressourcen an Zeit, Geld, Personal und Kompetenzen zur Verfügung zu stellen, damit das Unternehmen durch den Aufbau eines Informationssicherheitsmanagementsystems den Anforderungen der NIS-2 gerecht werden kann.