NIS2 effektiv umsetzen und Cyber-Resilienz stärken

Während die NIS-Richtlinie von 2016 eine Grundlage für EU-Mitgliedstaaten bildete, ihre Anforderungen an Cybersicherheit anzupassen, ließ sie dennoch einige Fragen offen: Jedes Land hatte seine eigene Auffassung über die Höhe der Bußgelder, die Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit war nicht effektiv und es fehlte ein einheitlicher Leitfaden für das Vorgehen in Krisensituationen. Mit NIS2 will die EU nun mehr Klarheit schaffen und die Cybersicherheit in der gesamten Union erhöhen. Darüber hinaus verpflichtet die Richtlinie sowohl die Mitgliedstaaten als auch Unternehmen in kritischen Sektoren und legt gemeinsame Anforderungen an die Cybersicherheit fest. Neben den Bereichen (https://www.ncsc.gov.ie/pdfs/NCSC_NIS2_Guide.pdf#page=6) Abwasser, Raumfahrt, öffentliche Verwaltung und ITK berücksichtigt die Richtlinie auch andere kritische Sektoren wie Forschung, Lebensmittelproduktion, Post- und Kurierdienste, Abfallmanagement, Fertigung sowie Chemie. Auch Operation Technology (OT) kann unter die NIS2-Richtlinie fallen, sobald sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen hat.

NIS2-Maßnahmen-Katalog

Mit der NIS2-Richtlinie geben die EU-Mitgliedstaaten Unternehmen einen Katalog an Maßnahmen (https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3337-80-1 – Kapitel IV, Artikel 21) an die Hand – dazu zählen Risikoanalysen, Maßnahmen zur Verbesserung der Lieferkettensicherheit oder das Erstellen von Unternehmensrichtlinien für den angemessenen Einsatz von Kryptographie und Verschlüsselung. Ob für IT-Abteilungen zusätzliche Kosten anfallen, hängt davon ab, wie gut sie bereits aufgestellt sind. Darüber hinaus spielt auch die Risikobereitschaft des Unternehmens eine Rolle: Der Vorstand sollte bereit sein, flexibel auf notwendige Veränderungen zu reagieren und neue Technologien beispielsweise zum Schutz vor Cyberangriffen einsetzen – auch, wenn dies mit zusätzlichen Kosten verbunden sein kann. Unternehmen sollten bei der Umsetzung der NIS2-Maßnahmen nicht nur die Anforderungen erfüllen, um ein Bußgeld zu umgehen, sondern immer das übergeordnete Ziel im Hinterkopf behalten: Die Cybersicherheit in der gesamten EU zu erhöhen. Durch die richtigen Maßnahmen können Unternehmen die Risiken für ihre Dienste und Systeme kontrollieren – und so die Auswirkungen von Zwischenfällen auf ihre und womöglich auch andere Unternehmensabläufe minimieren oder verhindern. Dafür müssen Unternehmen kontinuierlich ihre Cybersicherheitsstrategie hinterfragen und ausreichend Zeit, Budget sowie Ressourcen zur Verfügung stellen. Doch im komplexen Cyberspace ist Schutz allein gegen aktuelle Angriffe nicht ausreichend: Sicherheitsmaßnahmen sollten immer eine Kombination aus Schutz, Erkennung und Reaktion darstellen. Es ist unerlässlich, dass Cybersicherheit für alle Mitarbeitenden keine lästige Pflicht, sondern selbstverständlich ist – von der Managementebene bis zu jedem Angestellten.

Tipps zur zielgerichteten Umsetzung 

Der Weg zur Umsetzung von NIS2 ist nur so gut oder nützlich wie die Risikobewertung der Unternehmen. Nur, wenn sie verstehen, welche Cyberrisiken ihre Geschäftsabläufe bedrohen, können sie die nötigen Maßnahmen ergreifen. Diese zehn Punkte helfen Unternehmen bei der Vorbereitung auf die NIS2-Richtlinie: 

1. Ermitteln, ob das Unternehmen aufgrund der Unternehmensgröße, seines Umsatzes und seiner Branche die NIS2-Richtlinie einhalten muss. 
2. Eine Risikobewertung (unter Berücksichtigung der Lieferkette kritischer Lieferanten) durchführen und die Risikobereitschaft bestimmen. 
3. Alle Mitarbeitenden über Regulierung, Sanktionen sowie Bußgelder aufklären und diese Informationen im Unternehmen verbreiten. 
4. Mit Hilfe von NIS2 Artikel 21 (https://www.nis-2-directive.com/NIS_2_Directive_Article_21.html) beurteilen, wo das Unternehmen noch Aufholbedarf hat, um die Richtlinie zu erfüllen. 
5. Zeit und Budget für die Implementierung der fehlenden Maßnahmen kalkulieren. 
6. Mithilfe von Playbooks für die häufigsten Cyber-Risikoszenarien einen umfassenden Plan für die Reaktion auf Vorfälle erstellen und diesen testen, um zu beurteilen, ob eine angemessene Reaktion möglich ist.
7. Auf die Meldepflicht von Sicherheitsvorfällen vorbereiten: Unternehmen müssen innerhalb von 24 Stunden eine erste Warnung herausgeben. 
8. Festlegen, wie das Unternehmen im Falle eines Sicherheitsvorfalls das Geschäft weiterführen kann und einen Krisenmanagement-Plan erstellen. 
9. Eine Vulnerability Disclosure Policy (VDP) (https://www.cisa.gov/vulnerability-disclosure-policy-template) erstellen, mit der Unternehmen über ein Sicherheitsproblem oder eine Schwachstelle informieren können. 
10. Regelmäßige Sicherheitstests und Audits durchführen.

Bei den meisten Regularien muss jedes Unternehmen individuell herausfinden, wie es die Maßnahmen bestmöglich implementieren kann. Dies gilt auch für NIS2: Es gibt keine allgemein geltende Schritt-für-Schritt-Anleitung für die Umsetzung. Umso wichtiger ist es, dass sich Unternehmen jetzt mit dem Thema auseinandersetzen – und nicht bis zum Oktober damit warten. Wenn Verantwortliche Unsicherheiten bei der Einschätzung, Bewertung und Umsetzung der NIS2-Richtlinie haben, lohnt es sich, auf einen externen Cybersicherheits-Partner zu setzen. Dieser kann ihnen darüber hinaus wertvolle Handlungsempfehlungen geben, die speziell auf das jeweilige Unternehmen zugeschnitten sind.