Die EU hat mit NIS-2 eine neue Richtlinie zur Netzwerk- und Informationssicherheit auf den Weg gebracht, die Unternehmen vor große Herausforderungen stellt. Diese Vorgaben sollen dazu beitragen, die Cybersicherheit in Europa zu stärken, doch es gibt noch viele offene Fragen, insbesondere hinsichtlich der betroffenen Organisationen und der konkreten Umsetzung.
Die Umfrageergebnisse des eco-Verbands unter 250 IT-Entscheidern zeigen alarmierende Zahlen:
- Fast die Hälfte der Befragten hat die gesetzliche Neuregelung noch nicht auf dem Schirm.
- Ein Drittel hat bisher keine Maßnahmen zur Erfüllung der neuen Anforderungen ergriffen.
Darüber haben sich Bernd Erk, CEO der NETWAYS GmbH, und Kerstin Stief von data.disrupted, bei der it-sa Expo 2024 in Nürnberg ausgetauscht. Hier ist eine Zusammenfassung ihres aufschlussreichen Gesprächs.
Was ist NIS-2 und warum ist es wichtig?
NIS-2 ist die überarbeitete EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen. Sie erweitert die Anforderungen an Cybersicherheit, betrifft mehr Unternehmen als zuvor und sieht bei Verstößen höhere Strafen vor. Ziel ist es, die digitale Resilienz in der EU zu stärken und Angriffe auf kritische Infrastrukturen zu minimieren.
„NIS-2 ist keine bürokratische Hürde, sondern eine notwendige Antwort auf die aktuellen Cyberbedrohungen. Staat und EU tragen die Verantwortung für funktionierende Infrastrukturen – Bürger haben ein Recht auf Grundversorgung wie Strom und Wasser. In einer Zeit, wo IT-Ausfälle Flughäfen lahmlegen, Schifffahrt blockieren oder die Energieversorgung gefährden können, müssen kritische Infrastrukturen besonders geschützt werden. Unternehmen, die essenzielle Dienste bereitstellen – wie etwa Lebensmittelversorger für über 500.000 Bürger – tragen hier besondere Verantwortung. Wer die NIS-2-Anforderungen nicht erfüllt, riskiert nicht nur hohe Bußgelder, sondern gefährdet auch die Grundversorgung der Bevölkerung.“ – Bernd Erk, CEO NETWAYS GmbH.
Warum sind deutsche Unternehmen so schlecht für NIS-2 vorbereitet?
Die nationale Umsetzung von NIS-2 nimmt relativ viel Zeit in Anspruch, was bei den Unternehmen zu Unsicherheiten hinsichtlich der genauen Vorgaben und möglicherweise auch zu Hoffnungen auf weitere Verzögerungen führt.
Zum anderen betrifft NIS-2 auch Branchen, in denen IT nicht zum Kerngeschäft gehört. Ein Lebensmittelproduzent konzentriert sich beispielsweise eher darauf, seine Produktion zu optimieren, als auf die Sicherheit seiner IT-Infrastruktur. Hingegen haben IT-Dienstleister oder Cloud-Anbieter NIS-2 vielleicht schon länger auf dem Radar.
Viele Unternehmen verlieren sich zudem im „Regulierungs-Dickicht“ aus ISO 27001, IT-Grundschutz und anderen Vorgaben, was oft zu einer „lieber nichts machen, bevor man etwas falsch macht“-Haltung führt.
Wer ist verantwortlich für die Umsetzung von NIS-2?
Die Verantwortung für die Umsetzung von NIS-2 liegt nicht nur bei der IT-Abteilung, sondern bei der gesamten Geschäftsführung eines Unternehmens. Die Richtlinie betrifft nicht nur klassische IT-Themen, sondern auch Prozesse, Lieferketten und strategische Entscheidungen. Es ist entscheidend, dass alle relevanten Bereiche zusammenarbeiten, um NIS-2 erfolgreich umzusetzen.
„Es geht darum, Cybersicherheit als ganzheitliches Thema zu betrachten, das jeden im Unternehmen betrifft“, betont Bernd Erk.
Wie können Unternehmen prüfen, ob sie von NIS-2 betroffen sind?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet auf seiner Website einen Fragebogen an, mit dem Unternehmen schnell herausfinden können, ob sie von NIS-2 betroffen sind. Dieser Leitfaden hilft dabei, den eigenen Sektor und die Unternehmensgröße zu überprüfen und festzustellen, welche Anforderungen erfüllt werden müssen. Alle Unternehmen, die unter die KRITIS-Verordnung fallen, sind automatisch auch von NIS-2 betroffen.
Was sind die ersten Schritte zur Umsetzung von NIS-2?
Der erste Schritt ist eine klare Identifikation der eigenen Kerngeschäftsprozesse und IT-Assets. Unternehmen sollten eine Risikobewertung durchführen und feststellen, ob sie bereits Standards wie ISO 27001 implementiert haben, die auch NIS-2 abdecken. Ein weiteres wichtiges Kriterium ist die Meldepflicht: Unternehmen müssen sicherstellen, dass sie im Falle eines Sicherheitsvorfalls erreichbar sind und schnell reagieren können.
- Betroffenheit prüfen: Identifizieren, ob das eigene Unternehmen unter die Richtlinie fällt.
- Verantwortlichkeiten klären: Ein interdisziplinäres Team aufstellen, das sich mit der Umsetzung beschäftigt.
- Risiken bewerten: Eine Bestandsaufnahme der IT-Infrastruktur und Prozesse durchführen.
- Maßnahmen umsetzen: Sicherheitslücken schließen und ein umfassendes Sicherheitskonzept entwickeln.
Wie sehen Systeme zur Angriffserkennung unter NIS-2 aus, und wie komplex ist deren Implementierung?
Systeme zur Angriffserkennung sind zentral für die IT-Sicherheit und umfassen verschiedene Technologien und Maßnahmen. Ein wichtiger Bestandteil ist die Client-Security, die durch Tools wie z.B. Wazuh unterstützt werden kann – ein Open-Source-Programm, das Sicherheitsüberwachung und Angriffserkennung ermöglicht.
Darüber hinaus spielt die IT-Infrastruktur eine entscheidende Rolle: Unternehmen müssen klären, ob sie ihre Systeme inhouse betreiben oder auf Cloud-Lösungen setzen. Abhängig davon können unterschiedliche Maßnahmen erforderlich sein, wie etwa Infrastruktur-Logging, regelmäßige Audits, Penetrationstests oder Schwachstellen-Scans, um die Sicherheit zu gewährleisten.
Die Komplexität der Implementierung hängt von der bestehenden IT-Landschaft, den gewählten Tools und den spezifischen Anforderungen des Unternehmens ab. Während einige Lösungen vergleichsweise einfach zu integrieren sind, erfordert ein umfassendes Intrusion Detection System (IDS) oft eine genaue Planung, Anpassung und kontinuierliche Überwachung. Dies kann insbesondere für Unternehmen, die bisher keine Erfahrung mit solchen Systemen haben, eine Herausforderung darstellen.
Warum braucht es Gesetze für grundlegende Sicherheitsmaßnahmen?
Gesetze sind notwendig, weil grundlegende Sicherheitsmaßnahmen in vielen Unternehmen oft nicht konsequent umgesetzt werden. Ein zentraler Punkt ist, dass Notfallszenarien und Prozesse häufig nicht klar definiert oder dokumentiert sind. Ohne gesetzliche Vorgaben fehlt oft der Anreiz, sich mit Worst-Case-Szenarien auseinanderzusetzen. Gesetze zwingen Unternehmen, verbindliche Standards einzuführen, um im Ernstfall nicht improvisieren zu müssen. Häufig werden Notfälle nur vage durchdacht, was zu Lücken in der Krisenkommunikation und der Zuständigkeit führt. Regelmäßige Planspiele und dokumentierte Prozesse helfen, solche Schwächen zu beheben.
Wichtige Fragen bleiben unbeantwortet:
- Wer informiert die Kunden?
- Wie wird eine Überlastung des Systems durch Anfragen verhindert?
- Wo sind die notwendigen Dokumente gespeichert?
- Was passiert, wenn die digitale Dokumentation nicht verfügbar ist?
Regelmäßige Planspiele und das Niederschreiben von Prozessen können solche Schwächen aufdecken und rechtzeitig beheben.
Welche Überschneidungen gibt es zwischen ISO 27001 und NIS-2?
Beide Regelwerke decken Aspekte wie Risikomanagement, ISMS und Zugangsschutz ab. NIS-2 legt jedoch zusätzlichen Fokus auf Meldepflichten und Haftung. Unternehmen mit ISO 27001-Zertifizierung haben eine solide Basis, müssen jedoch spezifische NIS-2-Anforderungen ergänzen.
Welche Rolle spielen Open Source und offene Standards im NIS-2-Umfeld?
„Im Kontext von NIS-2 setzen wir auf Open Source und offene Standards, wie bei OpenStack. Das bietet unseren Kunden Transparenz und Flexibilität, da sie genau wissen, auf welcher Basis ihr System läuft. Für uns bedeutet dies, dass wir durch offene Standards die Datensouveränität unserer Kunden gewährleisten und einen einfachen Anbieterwechsel ermöglichen“, Bernd Erk.
Herausforderungen bei der Definition von Standards
Einige Standards, wie Amazon’s S3 für Blockstorage, entwickeln sich durch breite Akzeptanz, sind jedoch nicht formell standardisiert. Standards bieten Verlässlichkeit, auch wenn sie langsamer sind und Kompromisse erfordern. Ein Beispiel dafür ist SQL – ein Standard, der trotz neuerer Technologien weiterhin eine solide Grundlage für Datenbankabfragen bietet.
Vorteile von Open Source und offenen Standards
- Transparenz und Interoperabilität: Kunden können sicherstellen, dass ihre Systeme sicher und miteinander kompatibel sind.
- Datensouveränität: Open Source ermöglicht es, den Quellcode einzusehen und anzupassen, was den Kunden mehr Kontrolle über ihre Softwareumgebung gibt.
- Förderung von Innovationen: Eine breite Entwicklergemeinschaft arbeitet kontinuierlich an Verbesserungen.
- Flexibilität und Anpassungsfähigkeit: Offene Software lässt sich leichter an sich ändernde Bedürfnisse und Technologien anpassen.
Fazit: Erfolgreiche Umsetzung von NIS-2 durch Bewusstsein und kontinuierliche Anpassung
Die Umsetzung von NIS-2 erfordert ein Bewusstsein für die eigenen Verantwortlichkeiten. Mittelständler sollten sich zunächst fragen, ob sie betroffen sind und eine IST-Analyse durchführen. Es geht darum, einen klaren Überblick zu bekommen und technische Anforderungen wie Endpunktsicherheit oder SIEM/Logging schrittweise anzugehen.
NIS-2 betrifft nicht nur die IT, sondern auch die industrielle Fertigung, da IT-Ausfälle direkte Auswirkungen auf die Produktion haben. Eine regelmäßige Überprüfung und Sicherung der Systeme ist daher unerlässlich.
Ziel ist es, eine Kultur der Informationssicherheit zu etablieren, bei der die IT für das gesamte Unternehmen von Bedeutung ist.
Schlusswort von Bernd, für alle, die sich mit ISO oder NIS-2 beschäftigen:
„Bleibt dran! Am Anfang wirken Themen wie ISO und NIS-2 trocken und kompliziert. Doch mit der Zeit erkennt man ihren Sinn und merkt, wie sie einen wirklich voranbringen.“ – Bernd Erk.
Erfahre, wie NETWAYS dich mit NIS-2 und Open Source unterstützen kann
Willst du wissen, wie wir von NETWAYS dich bei der Umsetzung der NIS 2-Anforderungen mit Open Source-Lösungen unterstützen können?
Entdecke unsere Lösungen, die dir Flexibilität, Sicherheit und Transparenz bieten. Mehr erfahren.
0 Kommentare