Die NIS2-Richtlinie der Europäischen Union tritt im Oktober 2024 in Kraft und zielt darauf ab, ein ausreichend hohes Maß an Cybersicherheit in als kritisch eingestuften Sektoren zu gewährleisten und das Management von Cyberrisiken und -bedrohungen zu verbessern. Die Sektoren werden in hochkritische und kritische Sektoren unterteilt.
Zu den als hochkritisch definierten Sektoren gehören Energie, Gesundheitswesen, Verkehr, Trink- und Abwasser, Raumfahrt, der Finanzsektor und seine Infrastruktur, die öffentliche Verwaltung, IKT-Betreiber, die Sicherheits- und Verwaltungsdienste anbieten, sowie die digitale Infrastruktur. Zu den kritischen Sektoren gehören die Lebensmittelindustrie, die Abfallwirtschaft, Post- und Kurierdienste und die Fertigungsindustrie, z.B. medizinische Geräte, digitale Dienste wie Marktplätze und Suchmaschinen, der Chemiesektor und Forschungsaktivitäten.
Das Gesetz betrifft die folgenden Maßnahmen:
- Risikomanagement
- Unternehmensverantwortung, insbesondere sanktionierte Managementverantwortung für das Cyber-Risikomanagement
- Benachrichtigungs- und Meldepflichten bei Cyber-Vorfällen gegenüber Dienstnutzern, Interessengruppen und der Aufsichtsbehörde
- Sicherstellung und Aufrechterhaltung der Geschäftskontinuität und der Fähigkeit zum Krisenmanagement
- Angemessene technische und methodische Cybersicherheitsmaßnahmen zur Gewährleistung der Cyber-Resilienz, wie z.B. Verschlüsselungslösungen, Multi-Faktor-Authentifizierung sowie Zugangs- und Identitätsmanagement
- Sorgfältige Berücksichtigung der Sicherheit bei der Beschaffung
- Schulungsmaßnahmen zur Sicherstellung der Kompetenz und Cyber-Sicherheitsorientierung der Mitarbeitenden
- Verfahren zur Bewertung der Wirksamkeit von Cyber-Maßnahmen
Die Verantwortung der Organisation erstreckt sich auch auf ihre Partner
Es ist wichtig zu beachten, dass sich die Gesetzgebung nicht nur auf die kritische Organisation selbst auswirkt, sondern auch auf die Lieferketten der Unternehmen, die in den Geltungsbereich der Gesetzgebung fallen.
Es ist wichtig zu wissen, dass sich die Gesetzgebung nicht nur auf das kritische Unternehmen selbst auswirkt, sondern auch auf die Lieferketten der Unternehmen, die in den Anwendungsbereich der Gesetzgebung fallen – d.h. auf alle Interessengruppen, die in einem Abhängigkeitsverhältnis zu dem kritischen Unternehmen stehen. Daher unterliegen die Organisationen entweder direkt oder indirekt den Anforderungen der NIS2-Richtlinie.
Wenn eine Organisation bereits über ein Cybersicherheits-Managementsystem wie ISO27001 verfügt, ist die Einhaltung der Anforderungen der NIS2-Richtlinie in der Regel einfacher, da Prozesse zur systematischen Verwaltung und Verbesserung der Cybersicherheit bereits vorhanden sind. Unabhängig vom Cybersicherheits-Managementsystem müssen Unternehmen die Einhaltung der Vorschriften sicherstellen und die notwendigen Maßnahmen ergreifen, um ein ausreichendes operatives Risikomanagement und Cyber-Resilienz zu erreichen. Dies erfordert ein umfangreiches Änderungsmanagement. Die Einhaltung der Vorschriften setzt voraus, dass die Beteiligten über ein ausreichendes Bewusstsein, Verständnis und Kompetenz verfügen.
Bist Du bereit für eine kontinuierliche Risikobewertung?
Die Herausforderung bei der Bewertung angemessener Risikomanagementmaßnahmen besteht darin, dass sie in einem angemessenen Verhältnis zur operativen Struktur der Organisation und den identifizierten Risiken und Bedrohungen stehen müssen. Die Gesetzgebung verlangt von den Organisationen, dass sie eine Risikobewertung durchführen und die Angemessenheit der implementierten Maßnahmen kontinuierlich bewerten. Wenn eine Organisation die Risiken und Bedrohungen im Zusammenhang mit ihrer Geschäftstätigkeit noch nicht kennt, kann die Bewertung der Angemessenheit von Maßnahmen ernsthafte Konsequenzen mit sich ziehen und zusätzliche Kosten verursachen, die für andere Entwicklungsaktivitäten verwendet werden könnten.
Wenn eine Organisation angemessene Maßnahmen bewertet, gehören zu den wichtigsten Ansätzen eine umfassende Bedrohungs- und Risikobewertung, die Modellierung von Faktoren für die Geschäftskontinuität und die Identifizierung der kritischen Vermögenswerte der Organisation, die geschützt werden müssen. Die Risikobewertung muss sich auch auf die Lieferkette erstrecken. Leider ist die Lieferkette oft das schwache Glied in einem Unternehmen, was Cyberkriminellen bekannt ist. Unternehmen kennen in der Regel ihre eigenen Abläufe, haben aber keinen Überblick über das tatsächliche Niveau der Cybersicherheit und des Risikomanagements ihrer Partner. Das Risikomanagement in der Lieferkette und das Niveau der Cybersicherheit können durch systematische Messungen auf der Grundlage definierter Metriken und Anforderungen geklärt und überwacht werden.
Die Zeit für das Änderungsmanagement im Rahmen der NIS2-Richtlinie ist jetzt gekommen.
Derzeit herrscht ein reges Treiben rund um die Richtlinie und die nationale Gesetzgebung, da sowohl Organisationen als auch Beratungsunternehmen eifrig versuchen zu verstehen, welche Anforderungen die Richtlinie an Organisationen stellt und was tatsächlich verbessert und entwickelt werden muss. Letztlich ist die Antwort auf allgemeiner Ebene einfach: Verstehe die Bedrohungen und Risiken für Deinen Betrieb, kenne die Aktivitäten Deiner Organisation und ihre kritischen Faktoren, und baue eine ausreichende Cyber-Resilienz auf.
Die Cyber-Resilienz beruht auf Fähigkeiten, die die Identifizierung von Cyber-Bedrohungen, Schwachstellen und Risiken, den Schutz vor Cyber-Angriffen, die Erkennung erfolgreicher Angriffe, die Reaktion auf erfolgreiche Angriffe und die Wiederherstellung nach Angriffen gewährleisten. Darüber hinaus muss das Unternehmen das Bewusstsein für Cybersicherheit aufrechterhalten und die Abläufe auf strategischer, taktischer und operativer Ebene leiten und verwalten – nicht zu vergessen die Lieferketten. Wenn Du noch nicht mit der Umsetzung dieses Wandels begonnen hast, ist es jetzt an der Zeit.
Du fragst Dich, wie Du Dich auf die Anforderungen der NIS2-Richtlinie vorbereiten kannst?
