Cloud
NIS2: Was Security-Teams jetzt konkret tun sollten
Mit dem deutschen NIS2-Umsetzungsgesetz verändern sich Prioritäten und Verantwortlichkeiten im Security-Bereich: weg von „nice to have“ hin zu messbarer Resilienz und dokumentierter Risikosteuerung. Warum ist dies vor allem ein strategischer Weckruf?
Save to Folio
Wenn Sie zu denjenigen Menschen in der IT gehören, für die NIS2 etwas Neues ist, erst einmal: Guten Morgen! Jetzt wird es dringend Zeit, aufzuwachen! Unter dem Eindruck der veränderten IT-Landschaft, unter anderem in Folge der Corona-Pandemie, entschied sich die Europäische Union ihre bis dato gültige „Direktive über die Sicherheit von Netz- und Informationssystemen“ (NIS) zu aktualisieren. NIS2 verändert gerade nicht nur Regeln, sondern auch den Security-Markt. Budgets, Prioritäten und Verantwortlichkeiten verschieben sich. Für Security-Teams heißt das weniger Diskussion darüber, ob man handeln muss, und mehr Druck, wie man NIS2 konkret sauber umsetzt.
NIS2 erweitert die Regulierung auf mittelständische bis große Unternehmen in insgesamt 14 Sektoren. In Deutschland sind etwa ein Drittel aller Firmen ab 50 Mitarbeiter betroffen. Die Feststellung, ob ein Unternehmen darunter fällt oder nicht, ist Bringschuld der Unternehmensleitung. Hilfestellung dabei bietet die Online-Betroffenheitsprüfung des BSI. Ist ein Unternehmen von der Regulierung betroffen, gilt es, sich ebenfalls beim BSI zu registrieren.
Praktische Maßnahmen
Sobald Sie sich genug über das staatliche Eingreifen in Ihre Sicherheitsstrategie geärgert haben, sollten Sie sich das Gesetz etwas genauer ansehen: § 30 Absatz 2 beschreibt „Security Good Practice“. Das sind keine neuen, noch nie dagewesenen Empfehlungen, sondern „Hausmannskost“ für die IT-Sicherheit. In § 30 Absatz 1 wird zudem betont, dass Unternehmen bei der Beurteilung der für sie notwendigen Maßnahmen das Prinzip der Verhältnismäßigkeit anwenden dürfen. Das bedeutet, dass Sie einen Großteil der geforderten Maßnahmen vermutlich bereits im Einsatz haben.
Spannend ist aus IT-Sicherheitssicht auch der Paragraf § 38, der die Verantwortung der Unternehmensleitung beschreibt. Die Geschäftsführer müssen sich weiterbilden, um Cybersicherheitsrisiken einschätzen zu können. Natürlich wird es auch weiterhin Unternehmensleitungen geben, denen das egal ist.
Aber es lohnt doch, das Gespräch mit der Chefetage zu suchen. Denn die meisten Firmenchefs wissen um ihre Verantwortung, und die Erfüllung derartiger Vorschriften ist für sie selbstverständlich.
- Unternehmensleiter müssen Risiken eingehen. Egal, ob es um den täglichen Geschäftsbetrieb oder die Cybersicherheit geht – den Kopf hinzuhalten, sind sie gewöhnt. Damit sie das allerdings vernünftig und informiert tun können, benötigen sie die Unterstützung der Fachabteilung. Diese muss ihnen sagen können, wie groß mögliche Risiken, deren Eintrittswahrscheinlichkeit sowie die Auswirkungen sind. Eine solche Risikobeurteilung vorzunehmen, ist die erste Herausforderung von NIS2.
- Die Direktive verlangt von Ihnen, Cybersicherheit in drei Stufen zu denken:
1. Vorbeugen von Angriffen durch ein Cyberrisiko- und Exposure-Management
2. Werkzeuge zur Angriffserkennung, um solche entdecken und darauf reagieren zu können.
3. Schließlich muss auch für den Notfall geplant werden: Dabei geht es darum, so schnell wie möglich wieder geschäftsfähig zu werden. Sie sollten für alle Eventualitäten vordenken und entsprechende Prozesse entwickeln. Behalten Sie dabei wichtige Daten (wie Notfallpläne, Telefonnnummern, etc.) auch offline, also auf Papier. Das sauber archivierte Word-Dokument hilft nicht mehr viel, wenn die Maschine verschlüsselt ist. - Jedwelche Form des Risikomanagements sollte aus Gründen der Nachweisbarkeit dokumentiert werden. Unterstützen Sie Ihre Geschäftsleitung deshalb, indem Sie Risikoberechnungen schriftlich darstellen und etablieren Sie Prozesse, um diese Diskussionen zu archivieren. Unabhängig davon, wie die Entscheidung aussieht (Risiko mindern oder in Kauf nehmen), sollten Sie die Erwägungsgründe ebenfalls dokumentieren.
- Gewöhnen Sie sich die Vokabel „Verhältnismäßigkeit“ an. In der Kommunikation, aber auch beim Bewerten von Sicherheitsmaßnahmen, ist sie der entscheidende Maßstab.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.