Meldepflichten, Registrierung und konkrete Umsetzung — warum NIS-2 jetzt relevant ist

Das Umsetzungsgesetz der NIS-2 befindet sich nun im Regierungsentwurf, womit es nur noch im Bundestag beschlossen werden muss. 

Wichtig dabei: das Gesetz tritt unmittelbar in Kraft. Es gibt somit keine Übergangsfrist, insbesondere für Unternehmen. Somit kann das Gesetz noch dieses Jahr wirksam werden. 

Im Gegensatz zu den konzeptionellen Anforderungen gibt es jedoch beim deutschen Umsetzungsgesetz eine Ausnahmeregelung, die festhält, dass Unternehmen mit vernachlässigbaren Geschäftstätigkeiten die NIS-2 nicht umsetzen müssen. Diese Öffnung steht im Gegensatz zum Gedanken der NIS-2, ein einheitliches Niveau der Cybersicherheit in Europa zu schaffen (vgl. Erwägungsgrund 7, NIS-2 Richtlinie). Entsprechend kann die EU fordern, dass Deutschland das Gesetz nachbessert. 

Auch ist nicht definiert, was vernachlässigbare Geschäftstätigkeiten sind. Diese Grauzone in einem Unternehmen abzustecken, sodass sie unanfechtbar wird, ist umfangreich. Denn neben einer Dokumentation der Begründung muss in regelmäßigen Abständen geprüft werden, ob die Geschäftstätigkeit immer noch vernachlässigbar ist. 

Beispiel: Ein Unternehmen stellt für Mutterkonzern und Schwestergesellschaften IT-Services als IT Managed Services zur Verfügung (bspw. das Aufsetzen von Computern, wodurch sie NIS-2 betroffen sind), ihr Kerngeschäft ist allerdings die Beratung. Normalerweise umfasst diese Tätigkeit nur 9% des Jahresumsatzes. Allerdings geht das Geschäft in der Beratung in einem Jahr so sehr zurück, sodass auf einmal der Anteil der IT Managed Services am Jahresumsatz 20% beträgt. Damit wäre die Geschäftstätigkeit wahrscheinlich nicht mehr vernachlässigbar.   

Weiterhin ist die Regelungslücke auch für Unternehmen problematisch, die in mehreren EU-Ländern agieren. Für sie ist die NIS-2 in der jeweiligen nationalen Umsetzung relevant. Somit ist sie zumindest in den jeweiligen EU-Ländern von den Unternehmen umzusetzen. 

2.1 Risikomanagement als Kern 

Durch die NIS-2 haften Geschäftsleitungen betroffener Einrichtungen für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Somit werden sie dazu angehalten, Cybersicherheit in ihrem Unternehmen zu verankern, insbesondere im Risikomanagement, wo sie Maßnahmen umsetzen und überwachen sollen.  

Kernelement für die Umsetzung der NIS-2 innerhalb eines Unternehmens ist das Risikomanagement, inklusive Identifikation, Bewertung und Maßnahmenplanung. Dabei sollen bei der Risikobewertung die Risikoexposition, Unternehmensgröße und Umsetzungskosten neben der Eintrittswahrscheinlichkeit und Schwere einfließen.  

Zu der Überwachung der getroffenen Maßnahmen zur Risikobekämpfung wird explizit auch die Wirksamkeit erwähnt, wobei hier die Geschäftsführung einzubinden ist.  

2.2 Anforderungen für Unternehmen  

Um sicherzustellen, dass alle Anforderungen bedacht wurden, sollten im eigenen Unternehmen die Lücken analysiert, Maßnahmen zur Lückenschließung definiert und die Umsetzung dieser kontrolliert werden.  

2.2.1 Vorfalls- und Krisenmanagement 

Um die Cyberresilienz zu stärken, müssen Sicherheitsvorfälle bewältigt werden können. Konkret bedeutet dies, zu definieren, wie die eigene Notfallorganisation aussieht. Intern muss den Mitarbeitern klar sein, an wen potenzielle Vorfälle gemeldet werden, ab wann ein Ereignis zu einem Notfall wird, welche Positionen in einem Vorfallsteam oder Krisenstab sitzen — und wie diese zu kontaktieren sind.  

Auch sind Überlegungen zur Aufrechterhaltung des Betriebs anzustellen, insbesondere zum Back-Up-Management und der Wiederherstellung des Betriebs nach einem Notfall. Ein Back-Up-Management sollte dabei immer eine angemessene Häufigkeit der Sicherung von Informationen, sorgfältige Wahl der Speicherorte, Absicherung gegen unberechtigten Zugriff und das Testen der Back-Ups berücksichtigen. Wiederanlaufpläne für einen Notfall sollten eine Priorisierung der Wiederherstellung von Prozessen und Systemen enthalten und gemeinsam mit Fachabteilungen erarbeitet sowie regelmäßig überprüft werden.   

2.2.2 Melde- und Registrierungspflicht  

Vorfälle müssen innerhalb von 24 Stunden in einer Erstmeldung gemeldet und spätestens 72 Stunden nach Eintreten detailliert beschrieben werden. Nach einem Monat erfolgt dann eine Abschlussmeldung oder, sollte der Vorfall noch andauern, eine Fortschrittsmeldung.  

Aufbauend auf dem Vorfalls- und Krisenmanagement muss auch die Meldung an das BSI im Prozess des Vorfallsmanagements aufgenommen werden. Dazu können vorab bereits Vorlagen erstellt und mit den Beteiligten besprochen werden.  

Des Weiteren müssen sich Unternehmen drei Monate, nachdem die Betroffenheit festgestellt wurde, identifizieren und registrieren. 

2.2.3 Lieferantenmanagement  

Eine Absicherung der Lieferkette in der eigenen Organisation ist anzustreben. Dies bedeutet, dass Unternehmen sich über Risiken ihrer direkten Zulieferer Gedanken machen müssen, bspw. wenn ein großes Abhängigkeitsverhältnis zu einem Zulieferer besteht. Solche Risikobewertungen müssen aktuell erstellt werden und Maßnahmen zur Minimierung enthalten. Das kann über vertragliche Zusicherungen durch Einhaltung der Informationssicherheit bis hin zur Durchführung von Audits reichen. 

2.2.4 Personalmanagement  

Mitarbeiter, inklusive der Geschäftsführung für Risikomanagement, müssen geschult und sensibilisiert werden. Dies bedeutet, dass ein Schulungskonzept zu erstellen ist, welches alle Mitarbeiter in regelmäßigen Abständen Informationssicherheit näherbringt. Es sind Wiederholungen für neue Mitarbeiter sowie spezifische Schulungen zu bedenken (neben Geschäftsführung z.B. Administratoren).  

Es müssen Konzepte zur Personalsicherheit existieren, bspw. zum Screening bei sensitiven Positionen wie in der Informationssicherheit (in Deutschland z.B. ein Führungszeugnis). Ebenso gehören Geheimhaltungsklauseln sowie die vertragliche Verpflichtung zum Befolgen unternehmensinterner Richtlinien dazu.  

2.2.5 Organisation 

Die Zugriffskontrolle auf digitale und physische Informationen muss geregelt und dokumentiert werden. Als Grundlage sollte hier eine Einstufung der Informationen in Kategorien vorliegen, damit für Mitarbeitende ersichtlich ist, wie Informationen zu schützen sind. Aufbauend sind allgemeingültige Regeln aufzustellen (bspw. interne Informationen sind allen zugänglich und nur der Zugriff von außen wird kontrolliert, für vertrauliche Informationen erfolgt eine jährliche Berechtigungsprüfung).  

Weiterhin sind die Beschaffung, Entwicklung und Wartung von Systemen, Komponenten und Prozessen durch Sicherheitsmaßnahmen zur Risikominimierung abzusichern. Unternehmen müssen sich klare Kriterien auferlegen, wie ein sicherer Erwerb oder die Entwicklung von Systemen aussieht und die Einhaltung dokumentieren. Dies wiederum beeinflusst auch das sichere Management von Lieferanten.  

Auch ein Schwachstellenmanagement inklusive transparenter Offenlegung ist aufzubauen. Hierbei handelt es sich nicht um ein ausschließlich technisches Thema, sondern es ist eng verbunden mit dem Risikomanagement und Behandlung dieser. Bspw., wenn ein Patch für eine Schwachstelle nicht sofort installiert werden kann, so müssen Maßnahmen ergriffen werden, um die Schwachstelle abzusichern (z.B. häufigere Analyse von Protokollen).  

Des Weiteren müssen Konzepte für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen erstellt und gepflegt werden. Diese sollten es ermöglichen, dass die in Prozessen bestehenden Verantwortlichkeiten und Schritte nachvollziehbar und wiederholbar bleiben, und bei Produkten und Systemen die Anwendung, Verantwortlichkeiten und zugehörige Systeme und Sicherheitsmaßnahmen verständlich sind. Vorzugsweise sind hier auch das Notfallmanagement und Wiederanlaufpläne zu betrachten und zu dokumentieren.

2.2.6 Technik  

Es ist eine Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung zu nutzen. In vielen Unternehmen existieren an dieser Stelle aufgrund von Remote Work schon Ansätze. Eine enge Abstimmung mit der IT-Abteilung ist hier sinnvoll.  

Ebenso müssen Sprach-, Video- und Textkommunikation gesichert werden. Hier sollten Unternehmen verstehen, welche Verfahren und Kommunikationsprotokolle eingesetzt werden und welche als sicher verstanden werden.  

Auch gefordert durch die NIS-2 sind Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren. Unternehmen müssen festlegen, wie Verschlüsselung gehandhabt wird, insbesondere die Kriterien für die Auswahl sicherer Algorithmen festlegen sowie eine klare Definition des Schlüsselmanagement mit einer regelmäßigen Schlüsselrotation, dem Festhalten von Ausnahmen sowie eine Überprüfung der Einhaltung.

Grundsätzlich ist für die Umsetzung der NIS-2 in Unternehmen die Einführung eines risikobasierten Informationssicherheitsmanagementsystems (ISMS) notwendig. Zusätzliche Anforderungen in der Meldepflicht und Registrierung sind hierbei zu berücksichtigen. Wenn ein solches ISMS bereits in einem Unternehmen etabliert ist, wird dennoch zu prüfen sein, ob alle NIS-2-Anforderungen wirklich umgesetzt sind. Dabei kann der Blick von außen durch Experten wie eagle lsp hilfreich sein. Ist noch kein ISMS im Unternehmen vorhanden, unterstützen wir bei der Implementierung und dem Betrieb.

Falls eventuell betroffene Unternehmen sich noch nicht mit der NIS-2 beschäftigt haben, sollten sie die Umsetzung jetzt angehen! Auch wenn es einladend ist, sich darauf zu berufen, dass man nicht unter die Regelung fällt oder es sich um eine vernachlässigbare Geschäftstätigkeit handelt, so ist das Problem nur verschoben – nicht behoben. Denn aufgrund der steigenden Cyberkriminalität werden die Unternehmen zur Absicherung anfangen, von Zulieferern und Partnern in ihrer Lieferkette die Einhaltung von Anforderungen an die Informationssicherheit vertraglich festzulegen. 

Angesichts der Lage: Hinter einem brennt die Hütte — will man wirklich mit den eigenen Kunden und dem BSI diskutieren, ob man die NIS-2 hätte umsetzen müssen oder nicht?