Home » Fachbeiträge » KRITIS » Checkliste: NIS-2 einfach erklärt

Die Hausordnung für IT-Systeme: Checkliste: NIS-2 einfach erklärt

NIS-2 sorgt in vielen Köpfen für Verunsicherung. Dabei lässt sich die EU-Direktive gut mit der Hausordnung für ein Mehrfamilienhaus oder ein Firmengebäude vergleichen: als Regelwerk (Hausordnung), dessen Einhaltung Dienstleister (analog zum Hausmeister) für die Unternehmen (quasi die Bewohner:innen) sicherstellen. Das deutsche Gesetz zur Umsetzung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, NIS2UmsuCG) könnte noch in der aktuellen Legislaturperiode beschlossen werden und im Frühjahr 2025 in Kraft treten. Welche neuen Maßnahmen müssen Unternehmen dann implementieren? Diese Checkliste zeigt es.

4 Min. Lesezeit
NIS-2-Gesetz
Foto: ©AdobeStock/Best_Seller

Advertorial

Nur wenige Anforderungen von NIS-2 sind grundlegend neu – vor allem diese:

  1. Unternehmen müssen künftig relevante Security-Vorfälle melden. Lassen sie die Meldefrist verstreichen, drohen empfindliche Bußgelder.
  2. Zudem führt NIS-2 viele Einzelmaßnahmen, die Firmen bereits umsetzen, in ein Regelwerk zusammen. Daraus ergeben sich für Unternehmen zentrale Aspekte, auf die sie im Kontext von NIS-2 besonders achten sollten.

1. System-Inventur

Unternehmen müssen all ihre Systeme inventarisieren und Assets professionell managen, um Cyberrisiken verlässlich zu handhaben. Doch kennen Firmen ihre Unternehmenswerte, und sind sie vor Missbrauch und Diebstahl geschützt? In der Haus-Analogie gedacht: Wie oft verstaut die Mieterschaft Schätze auf dem Dachboden und verliert dann den Überblick, was sie alles Wertvolles besitzt? Ähnlich ist womöglich der Quellcode einer geschäftskritischen Unternehmens-Software auf einem Speichergerät unterhalb eines Schreibtischs abgelegt – fast ungeschützt. Eine umfassende Bestandsaufnahme ist also der erste Schritt.

2. System-Monitoring

Unternehmen müssen ihre Systeme auf Schwachstellen scannen und ein Vorgehen für deren Beseitigung definieren. Fakt ist: Unternehmen werden früher oder später Opfer eines Cyberangriffs. Systeme zur Angriffserkennung (SzA) sind unverzichtbar, um einen Angriff früh zu erkennen und richtig zu reagieren. Auch braucht es weitere Maßnahmen wie Pentesting, Security Audits, Log Monitoring und Compliance Monitoring. Vergleichbar ist dies mit der Installation von Rauchmeldern im Haus, als eine Art Frühwarnsystem – mit dem Restrisiko, dass die Batterie leer oder der Rauchmelder defekt ist. Auch im Unternehmen kann trotz Prevention- und Detection-Maßnahmen ein Hackerangriff unbemerkt bleiben.

3. Schadenserkennung

Unternehmen müssen Schwachstellen identifizieren, bewerten, priorisieren und beheben. Dazu sind automatisierte Detection- und Response-Maßnahmen ebenso in den Kernprozessen zu verankern wie das Patch Management. Ein typisches Problem: Ein Unternehmen mit komplexer IT-Systemlandschaft setzt für das Schwachstellenmanagement auf lokale Excel-Listen. Weil es so aber schnell den Überblick verliert, dringen Hacker in die Unternehmens-IT ein. Ein Vergleich: Ist im Haus etwa eine Fensterscheibe oder ein Schloss defekt, ist das leicht zu erkennen und zu beheben. Was aber, wenn es mehrere solcher Schwachstellen gibt? Dann gilt es, die Reparaturmaßnahmen zu priorisieren und verschiedene Handwerker zu koordinieren.

4. Sensibilisierung

Unternehmen brauchen zentrale Richtlinien – schon um Mitarbeitende und Geschäftsführung für die allgegenwärtigen Cybergefahren zu sensibilisieren. Zudem ist neben Identity und Access Management auch Incident Management Pflicht. Man stelle sich vor: Mitarbeitende verwenden unsichere Passwörter für ihre E-Mail-Konten in der Cloud; gleichzeitig dürfen sie ohne Zwei-Faktor-Authentifizierung auf Geschäftssoftware zugreifen. Ein Krimineller dringt dann über gehackte E-Mail-Konten in die Unternehmens-IT ein. Darum verankern Richtlinien das Bewusstsein für einen regelbasierten Umgang mit sensiblen Daten. Schließlich legt auch eine Hausordnung fest, dass es untersagt ist, bei Unbekannten den Haustüröffner zu betätigen.

5. Transparenz

Unternehmen müssen ihre Systeme mithilfe von Tools für Endpoint Detection and Response (EDR), Network Detection and Response (NDR) sowie Security Information and Event Management (SIEM) fortlaufend überwachen und Sicherheitsrisiken bewerten. Oft wissen Unternehmen aber nicht, welche Systeme ihre Mitarbeitenden einsetzen, vielleicht sogar in wichtigen Prozessen. Weil unbekannte oder „vergessene“ Tools im Scope nicht erfasst sind, werden sie weder auf Schwachstellen gescannt noch gepatcht. Auch im Treppenhaus kann ein unbedacht abgelegter Müllsack ein hohes, aber vielleicht nicht sofort einschätzbares Brandrisiko für alle Bewohner:innen darstellen.

Arvato Systems Hausgrafik
So sicherheitsrelevant wie die Hausordnung für das Mietshaus ist NIS-2 für die Cybersecurity im Unternehmen.

6. Notfallpläne

Unternehmen müssen im Fall eines Angriffs unmittelbar mit vorab definierten Response-Maßnahmen reagieren. Sie sind verpflichtet, sicherheitsrelevante Vorfälle innerhalb eines bestimmten Zeitfensters zu melden – einschließlich Zwischen- und Abschlussmeldungen. Diese Meldewege müssen vorbereitet, bekannt und implementiert sein. Sensible Assets sind speziell abzusichern. Außerdem sind Notfallplanung, Notfallmanagement und Pläne für die Wiederherstellung des Geschäftsbetriebs für Unternehmen Pflicht. Jeder weiß: Auch in Mehrfamilienhäusern und Firmengebäuden müssen alle Fluchtwege gekennzeichnet und ungehindert benutzbar sein.

7. Kommunikationswege

Es sind Verhaltensanweisungen für das Personal vorzubereiten und zu kommunizieren. Über Änderungen ist jederzeit zur informieren. Interaktive (Online-)Schulungen dienen dazu, die Belegschaft zu trainieren und das Wissen regelmäßig aufzufrischen. Während es von der Hausverwaltung meist Aushänge, Briefe oder E-Mails mit Handlungsanweisungen gibt, gilt für IT-Sicherheit: Es braucht abgestimmte Kommunikations- und Notfallpläne, die allen im Unternehmen zugänglich sind. Im Ernstfall ist es entscheidend, dass alle über die Notfallpläne informiert sich und sich entsprechend verhalten – damit nicht kopflos und kontraproduktiv gehandelt wird.

8. Supply-Chain-Risiken

Es gilt, Supply-Chain-Risiken ganzheitlich abzufragen und wirkungsvoll zu managen. Dafür gibt es branchenspezifische, bewährte Best Practices. Für Geschäftsgebäude wie auch für Unternehmenssysteme gilt: Lieferanten, Partner und andere Betriebsfremde, die Zugang oder Zugriff auf Applikationen haben, sind in das Risikomanagement zu integrieren. Zum einen sind nur gesicherte IT-Lösungen bereitzustellen, zum anderen ist zu gewährleisten, dass Externe nicht zum Sicherheitsrisiko werden. Zero Trust und Multi-Faktor-Authentifizierung sind unverzichtbar.

Fazit

Vor dem Hintergrund dieser acht Handlungsfelder müssen Unternehmen

  • rechtssicher beurteilen, inwieweit sie von den NIS-2-Anforderungen betroffen sind;
  • sich einen Überblick verschaffen, welche Maßnahmen schon umgesetzt sind;
  • die Umsetzung der Maßnahmen klar priorisieren;
  • den damit verbundenen finanziellen und personellen Aufwand bestimmen;
  • die Umsetzung der Maßnahmen unter Einbeziehung interner und externer Ressourcen wie etwa Managed Service Provider sicherstellen;
  • Rollen und Verantwortlichkeiten einschließlich der Kommunikation vollständig definieren und
  • alle getroffenen Maßnahmen und Regelungen ausführlich dokumentieren.

Adäquater Schutz verlangt eine Erörterung, welche Risiken es gibt, welche Bereiche besonders gefährdet sind und wie diese optimal geschützt werden können. Dann setzen Unternehmen die NIS-2 zuverlässig um.

 

Weitere Informationen

Porträt Andreas Nolte

Andreas Nolte, Head of Cyber Security bei Arvato Systems (www.arvato-systems.de)

Porträt Dr. Consuela Utsch

Dr. Consuela Utsch, Geschäftsführerin und Gründerin der Acuroc Solutions GmbH (www.acuroc-solutions.de)

Andere interessante Fachbeiträge

Symbol der E-Mail-Verschlüsselung

Effiziente E-Mail-Verschlüsselung weiterentwickelt mit GINA V2

Mit GINA V2 steht eine innovative Lösung für die sichere Spontanverschlüsselung bei der E-Mail-Kommunikation bereit, diese Verschlüsselungsform bietet höchsten Datenschutz und ermö...

Digitale Daten vor Strommasten

Zugriff verweigert

Kritische Infrastrukturen (KRITIS) sind nicht zuletzt aufgrund ihrer hohen gesellschaftlichen und politisch-strategischen Relevanz ein beliebtes Ziel für Cyberangriffe. Die zunehme...

Datenschutz-Symbol vor Industrieanlage

So schützt das KRITIS-Dachgesetz kritische Infrastrukturen

Am 6. November 2024 hat das Bundeskabinett das neue KRITIS-Dachgesetz beschlossen: ein zentrales Gesetz, das den Schutz kritischer Infrastrukturen (KRITIS) stärkt. Mit dieser Regel...