Home » Fachbeiträge » Security Management » DORA und NIS-2: Risikomanagement im Doppelpack

Anforderungen im Überblick: DORA und NIS-2: Risikomanagement im Doppelpack

Mit DORA und NIS-2 hat die EU die Vorgaben an die Cybersicherheit verschärft. Beide Regelwerke stellen detaillierte Anforderungen an das Risikomanagement. Unsere Autorin zeigt, welche Maßnahmen notwendig sind.

6 Min. Lesezeit
Risikomanagement - Abstrakt
Foto: ©AdobeStock/Business Pics

Hinweis: Dieser Artikel stammt aus der Ausgabe 6/2024 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

In der heutigen Geschäftswelt ist es unerlässlich, das Thema Risikomanagement ernst zu nehmen und frühzeitig entsprechende Schutzmaßnahmen zu ergreifen. Das hat auch die Europäische Union erkannt und im Rahmen der europäischen Datenstrategie mit DORA[1] und NIS-2[2] zwei Rechtsakte erlassen, die Unternehmen ab dem kommenden Jahr zu umfassenden Cybersicherheits- und Risikomanagementmaßnahmen verpflichten. Die Umsetzung von NIS-2 erfolgt in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz[3] (NIS2UmsuCG).

Parallelität und Abgrenzung: DORA und NIS-2 im Vergleich

Sowohl DORA als auch NIS-2 verfolgen das Ziel, die Cybersicherheit durch einheitliche Anforderungen zu harmonisieren. Grundsätzlich gelten DORA und NIS-2 nebeneinander. Aufgrund der sich teilweise überschneidenden Anwendungsbereiche – insbesondere bei Unternehmen des Finanzsektors – bedarf es einer Regelung, die das Verhältnis der Rechtsakte zueinander festlegt.

In Erwägungsgrund Nr. 28 der NIS-2-Richtlinie wird deswegen auf das Verhältnis zu DORA eingegangen. Demnach sollen die Mitgliedstaaten die Vorgaben der NIS-2-Richtlinie nicht auf Unternehmen anwenden, die dem Geltungsbereich von DORA unterfallen. Das Verständnis und Verhältnis der Rechtsakte zueinander werden in § 28 Abs. 5 Nr. 1 BSIG-E aufgegriffen. Die Risikomanagementmaßnahmen der NIS-2-Richtlinie (§§ 30 ff. BSIG-E) gelten nicht für solche Unternehmen, die dem Anwendungsbereich von DORA unterfallen. Für Finanzunternehmen sind somit die Vorgaben und Anforderungen aus DORA gültig.

Kernanforderungen von DORA an das Risikomanagement

DORA stellt detaillierte Anforderungen an das IKT-Risikomanagement und die Verträge mit IKT-Dienstleistern. Die folgenden fünf zentralen Bereiche sind besonders relevant.

1. IKT-Risikomanagement (Art. 5 bis 16 DORA)

Das Risikomanagement der Informations- und Kommunikationstechnik (IKT) ist das Kernelement von DORA. Zusammenfassend lässt sich festhalten, dass Unternehmen eine Strategie zur digitalen Resilienz entwickeln und regelmäßig überprüfen müssen. Zunächst müssen die Finanzunternehmen über einen internen Governance-und Kontrollrahmen zur Bewältigung von IKT-Risiken verfügen.

2. IKT-Drittparteienmanagement (Art. 28 bis 44 DORA)

Im Mittelpunkt stehen hier detaillierte Anforderungen an Outsourcing-Verträge zwischen Finanzunternehmen und externen IKT-Dienstleistern. Die Anforderungen sollen sicherstellen, dass alle externen Dienstleistungen, die von diesen Dienstleistern erbracht werden, den hohen Sicherheits- und Resilienzanforderungen entsprechen. Nach Art. 30 DORA müssen die Verträge mindestens Regelungen hinsichtlich der

  • Dienstleistungsbeschreibung, Qualität und Sicherheitsbestimmungen,
  • Unterauftragsvergabe und Datenverarbeitung,
  • Zusammenarbeit, Unterstützung und Schulungen sowie
  • der Kündigungsrechte und Datenzugang enthalten.

3. Management von IKT-Vorfällen (Art. 17 bis 23 DORA)

Die Finanzunternehmen sind verpflichtet, einen Prozess für den Umgang mit IKT-Vorfällen zu definieren. Dieser soll die Erkennung, Behandlung und Meldung des Vorfalls
ermöglichen und gewährleisten. Das umfasst auch die Klassifizierung eines IKT-Vorfalls nach Schweregrad (Art. 18 Abs. 1 DORA). Ausgehend von der Klassifikation (insbesondere bei schwerwiegenden Vorfällen) kann sich eine Meldepflicht gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als zuständige Aufsichtsbehörde ergeben.

4. Digital Operational Resilience Testing (Art. 24 bis 27 DORA)

Als integralen Bestandteil des IKT-Risikomanagementrahmens müssen Finanzunternehmen ein Programm zur Testung der eigenen operativen Resilienz implementieren. Die Maßnahmen werden in Art. 25 Abs. 1 DORA beispielhaft und nicht abschließend aufgelistet. Demnach sollen die Tests folgendes umfassen:

  • Analyse von Schwachstellen
  • Open-Source-Analysen
  • Lückenanalysen
  • Netzwerksicherheitsbewertungen
  • Überprüfungen der physischen Sicherheit
  • Scans von Softwarelösungen
  • Quellcodeüberprüfung

Finanzunternehmen müssen diese Tests einmal jährlich durchführen, sofern die betroffenen IKT-Systeme und -Anwendungen kritische oder wichtige Funktionen unterstützen.

5. Informationsaustausch (Art. 45 DORA)

Um die Resilienz branchenweit zu stärken, soll der Informationsaustausch zwischen den Finanzunternehmen über Sicherheitsvorfälle gefördert werden.

NIS-2: Schlüsselmaßnahmen für das Risikomanagement

Die wesentlichen Cybersicherheits- und Risikomanagementmaßnahmen sind in Art. 21 Abs. 1 NIS-2 (§ 30 BSIG-E) enthalten. Danach haben die betroffenen Unternehmen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die zur Diensterbringung genutzt werden, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder so gering wie möglich zu halten. Was sich hinter diesem weiten und ausfüllungsbedürftigen Grundsatz verbirgt, wird in Art. 21 Abs. 2 NIS-2 (§ 30 Abs. 2 BSIG-E) näher erläutert.

Künftig hat das Risikomanagement der betroffenen Unternehmen die nachfolgenden Maßnahmen zu umfassen – die Aufzählung ist nicht abschließend, sondern legt lediglich das Mindestmaß fest.

1. Konzepte für die Risikoanalyse und IT-Sicherheit

Damit Unternehmen geeignete Risikomanagement- und Cybersicherheitsmaßnahmen ergreifen können, müssen zunächst potenzielle Schwachstellen identifiziert und analysiert sowie das allgemeine Gefährdungsrisiko bewertet werden. Auf der Grundlage dieser Analyse müssen dann entsprechende Sicherheitsmaßnahmen ermittelt und ergriffen werden, um diesem Risiko entgegenzuwirken.

2. Bewältigung von Sicherheitsvorfällen

Sicherheitsvorfälle kommen für Unternehmen einem Stresstest gleich. Um dies einzudämmen, bedarf es eines Konzepts hinsichtlich des Umgangs mit Sicherheitsvorfällen, um die Auswirkungen eines solchen Vorfalls gering zu halten. Das Konzept sollte Schritte zur Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle enthalten.

3. Aufrechterhaltung des Betriebs und Krisenmanagement

Um zu verhindern, dass ein Sicherheitsvorfall ein Unternehmen und seinen Geschäftsbetrieb vollständig lahmlegt, müssen die betroffenen Unternehmen sowohl technische als auch organisatorische Maßnahmen entwickeln, die die Kontinuität des Geschäftsbetriebs gewährleisten. Dies erfordert unter anderem, dass betroffene Systeme oder Daten mithilfe von Backups wiederhergestellt werden können. Das Krisenmanagement dient dazu, die Beschäftigten und Leitungsorgane auf einen Notfall vorzubereiten. Es sollte klare Abläufe und Rollenverteilungen enthalten.

4. Sicherheit der Lieferkette

NIS-2 verpflichtet die Unternehmen nicht nur zum Ergreifen eigener Sicherheitsmaßnahmen, sondern bezieht auch die Lieferkette mit ein. Die Unternehmen müssen gewährleisten, dass ihre Zulieferer, Dienstleister und Partner ebenfalls ein ausreichendes Sicherheitsniveau aufweisen. Dies kann etwa durch vertragliche Verpflichtungen innerhalb der Lieferkette und durch eine Überwachung und Bewertung der getroffenen Sicherheitsmaßnahmen erfolgen.

5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung

Unternehmen haben bereits bei Erwerb, Entwicklung und Wartung von IT-Systemen darauf hinzuwirken, dass Schwachstellen gar nicht erst bestehen. Die Unternehmen müssen ihre IT-Systeme also von Anfang und fortlaufend überprüfen und überwachen, um sicherheitsrelevante Bedrohungen frühestmöglich zu erkennen und diesen entgegenzuwirken.

6. Konzepte und Verfahren zur Bewertung

der Wirksamkeit von Risikomanagementmaßnahmen Mit dem Ergreifen von Sicherheitsmaßnahmen ist es nicht getan: Die Unternehmen haben vielmehr dauerhaft zu gewährleisten, dass die Maßnahmen wirksam sind. Dies lässt sich nur erreichen, wenn die Maßnahmen kontinuierlich überwacht, bewertet und bei Bedarf aktualisiert beziehungsweise ausgewechselt werden.

7. Grundlegende Verfahren der Cyberhygiene und Schulungen sowie Sicherheit des Personals und Zugriffskontrolle

Der Begriff Cyberhygenie beschreibt grundlegende Herangehensweisen, welche das Cybersicherheitsniveau allgemein verbessern – dazu gehören zum Beispiel Passwortrichtlinien, Netzwerksegmentierungen, Backup- und Sicherungskonzepte. Daneben sollte das gesamte Personal, einschließlich der Leitungsebene, regelmäßig durch
Schulungen über die IT-Sicherheit sensibilisiert werden.

8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung

Um sensible Daten und Informationen zu schützen, sollten – wie auch aus der Datenschutzgrundverordnung (DSGVO) bekannt – Kryptografie- und Verschlüsselungstechnologien eingesetzt werden.

9. Verwendung von Multi-Faktor-Authentifizierung (MFA) und gesicherte Kommunikationsmittel

Der Einsatz von MFA oder vergleichbaren Technologien trägt dazu bei, die Sicherheit der Benutzerkonten zu verbessern. Daneben müssen die Unternehmen sichere Kommunikationslösungen (zum Beispiel verschlüsselte E-Mails) verwenden, um eine vertrauliche und sichere interne Kommunikation zu gewährleisten.

Der Aufwand lohnt sich

Die Umsetzung der Risikomanagementmaßnahmen wird für die betroffenen Unternehmen mit einem erheblichen finanziellen und organisatorischen Aufwand verbunden sein. Nicht zu unterschätzen ist jedoch der langfristige Mehrwert, den Unternehmen durch die Einführung und Einhaltung der erforderlichen Cybersicherheitsstandards erzielen. Denn die Folgen eines Sicherheitsvorfalls können neben erheblichen finanziellen Einbußen auch Reputationsschäden sein. Ein robustes Risikomanagement kann diese Auswirkungen minimieren.

Literatur

[1] Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnung (G) Nr. 1060/2009, (EU) Nr. 648/2012, EU (Nr. 600/2014, (EU) Nr. 909/201 und (EU) 2016/1011 (L 333/1).
[2] Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (L333/80).
[3] BT-Drs. 20/13184, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Gründzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz).

Dorsa Taghehchian

Dorsa Taghehchian ist als Senior Legal Consultant bei der ISiCO GmbH tätig und berät Unternehmen im Bereich Informationssicherheit mit besonderem Schwerpunkt auf Risikomanagement. Ihre Tätigkeit wird durch ihre Qualifikation als Volljuristin und TÜV-zertifizierte Compliance Officer unterstützt.

Andere interessante Fachbeiträge

Symbol der E-Mail-Verschlüsselung

Effiziente E-Mail-Verschlüsselung weiterentwickelt mit GINA V2

Mit GINA V2 steht eine innovative Lösung für die sichere Spontanverschlüsselung bei der E-Mail-Kommunikation bereit, diese Verschlüsselungsform bietet höchsten Datenschutz und ermö...

Digitale Daten vor Strommasten

Zugriff verweigert

Kritische Infrastrukturen (KRITIS) sind nicht zuletzt aufgrund ihrer hohen gesellschaftlichen und politisch-strategischen Relevanz ein beliebtes Ziel für Cyberangriffe. Die zunehme...

Datenschutz-Symbol vor Industrieanlage

So schützt das KRITIS-Dachgesetz kritische Infrastrukturen

Am 6. November 2024 hat das Bundeskabinett das neue KRITIS-Dachgesetz beschlossen: ein zentrales Gesetz, das den Schutz kritischer Infrastrukturen (KRITIS) stärkt. Mit dieser Regel...