Bild Lesebrille und ein Buch

Die Umsetzung von NIS-2 in das nationale Recht lässt weiterhin in Deutschland auf sich warten.

Aus Sicht der EU hätten dabei schon längst alle Mitgliedstaaten die “NIS-2-Direktive” in ihr nationales Recht umsetzen müssen. Offizielle Informationen erhält man diesbezüglich vornehmlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Neues aus der EU

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat nun vor nicht allzu langer Zeit ein weiteres Dokument mit Bezug zu NIS-2 herausgebracht: “NIS2 Technical Implementation Guidance”. Wer sich jetzt bereits mit konkreten Umsetzungen für NIS-2 in Deutschland beschäftigen möchte, sollte einen Blick in dieses Dokument werfen.

Zwar können sich auf dem Weg in das Deutsche Recht immer noch Änderungen in Bezug auf Anforderungen durch die nationale Seite ergeben, allerdings kann man davon ausgehen, dass grundlegende Inhalte und Konzepte (die auf EU-Ebene für NIS-2 erstellt werden) im Wesentlichen auf nationaler Seite erhalten bleiben werden. Das neue Dokument der EU befasst sich insbesondere mit methodischen Anforderungen zum Erreichen der Konformität zu “NIS-2”.

Inhalt des ENISA Dokumentes

Neben Geltungsbereichsabgrenzungen beinhaltet das Dokument Ausführungen zu folgenden technischen und methodischen Anforderungen:

  • Richtlinie zur Sicherheit von Netzwerken und Informationssystemen,
  • Risikomanagementrichtlinie,
  • Umgang mit Vorfällen,
  • Geschäftskontinuität und Krisenmanagement,
  • Sicherheit der Lieferkette,
  • Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen,
  • Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement der Cybersicherheit,
  • grundlegende Cyber-Hygiene-Praktiken und Sicherheitsschulungen,
  • Kryptografie,
  • Sicherheit der Humanressourcen,
  • Zugangskontrolle (“access control”),
  • Verwaltung von Schutzobjekten (“assets”) und
  • Physische und umweltbezogene Sicherheit.

Was fällt auf?

Wenn man den Dokumentinhalt genauer betrachtet und sich bereits im Vorfeld mit Standards und Frameworks für Informationssicherheit beschäftigt hat, erkennt man auch hier die “high-level” Anforderungen an ein Informationssicherheits-Managementsystem (ISMS)

Auch NIS-2 kann nicht als “reines IT-Problem” betrachtet werden, sondern beschreibt eine Aufgabe für alle Bereiche einer Organisation. Natürlich kann man es zu einem reinen “IT-Problem” machen, wenn bspw. der Strom für IT-Geräte, das Einstellen von IT-Personal, die Beschaffung von IT-Geräten, usw. in die IT hinein verschoben werden. Damit würde man sich Gebäudemanagement, Personalabteilungen oder Einkauf innerhalb der Organisation einsparen, da sie vor dem Hintergrund der “erweiterten IT-Abteilung” redundant geworden wären.

Doch Spaß und Ironie beiseite: Informationssicherheit und ganzheitliches Management ebendieser ist nach wie vor eine gesamtheitliche Aufgabe für betroffene Einrichtungen und Organisationen.

Auswirkungen auf Organisationen

Natürlich gibt es keine vollständige, “100%-ige” Cybersicherheit. Aber bei einer guten Ausgangslage lassen sich Anforderungen zur Erreichung eines akzeptablen Sicherheitsniveaus ohne unmöglich hohe Aufwände umsetzen. Manche Unternehmen werden Teil einer Lieferkette, die Anforderungen im Bereich Cybersicherheit an sie stellt und andere Organisationen können von Regulierung (in Deutschland: “NIS-2” oder “KRITIS”) erfasst werden. Die günstigste Ausgangslage ist natürlich die Beschäftigung mit dem Thema Cybersicherheit aus eigenem Antrieb heraus.

Wer hat es leichter bei der Umsetzung?

Organisationen, die bereits ein ISMS etabliert haben, werden es einfacher haben die durch NIS-2 an sie gestellten Anforderungen umzusetzen. In vielen Fällen wird man zunächst die Anforderungen von NIS-2 auf bereits bestehende und umgesetzte Anforderungen des bereits etablierten ISMS abbilden (“mapping”), um mögliche Lücken bzw. “blinde Flecken” zu identifizieren. Vermutlich wird sich mit wenigen Änderungen am bestehenden ISMS auch eine Konformität zu NIS-2 herstellen lassen.

Wenn man noch kein ISMS etabliert hat, werden ein etabliertes und gut funktionierendes Prozessmanagement und eine Unternehmenskultur, die effizient auf Veränderungen reagieren kann, sehr hilfreich für Organisationen sein.

Wie können erste Schritte aussehen?

“Viele Wege führen nach Rom.” Wir empfehlen zunächst die Erstellung eins übergeordneten Dokumentes - oftmals als “Leitlinie” oder “Politik-Dokument für die Informationssicherheit” bezeichnet. Wenn man diesen Schritt gut hinbekommt, die Stakeholder sensibilisiert und “von Beginn an ins Boot holt”, erhält man einen Ausgangspunkt für alle weiteren Abläufe zur Etablierung eines ISMS.

Im nächsten Schritt ist ein Risikomanagement empfohlen. Dieses setzt sich oftmals aus der Beschreibung eines Vorgehens und der letztendlichen Abbildung des Risikomanagements zusammen. Oftmals besteht diese “Abbildung” aus einer Art von Datensammlung oder Liste aus identifizierten Risiken, die man nach der Identifikation behandelt. Vielleicht existiert bereits auch ein Risikomanagement in der Organisation, welches sich um den Bereich der Informationssicherheit erweitern lässt.

Fazit

Anfangen ist wichtig!

Governance auf Unternehmensleitungsebene und Awareness als Geschäftsführungsaufgabe bekommen durch NIS-2 einen höheren Stellenwert. Nicht nur Spionageabwehr (“Wo lagere ich überhaupt meine sensiblen Informationen hin aus?”) sondern auch mögliche Haftungsrisiken werden durch NIS-2 einige Unternehmensleitungen sensibilisieren.

Wenn man immer noch auf die Umsetzung der NIS-2-Richtlinie in das nationale Recht in Deutschland wartet, verliert man hingegen wertvolle Zeit. Insbesondere wenn man sich Fähigkeiten und Fertigkeiten in der Organisation aneignen muss oder Ressourcen von Dienstleistern hinzukaufen möchte, existieren bereits heute Ressourcenengpässe.

Die Ursache liegt auf der Hand. Erstens muss man den “Stand der Technik” kennen und umsetzen können, zweitens erhöht sich die Regulierung im Themenfeld der Cybersicherheit stetig und drittens entwickelt sich die technische und organisationale Landschaft permanent weiter. Remote-Working ist seit ein paar Jahren verstärkt hinzugekommen, Blockchain, Cloud, Künstliche Intelligenz, Zero-Trust-Konzept und quantensichere Kryptographie sind aktuelle Themen. Expertinnen und Experten für diese komplexen Aufgabenfelder sind entsprechend rar gesät.