NIS2 – ein einfacher, mehrtägiger Kraftakt, so habe ich es gehört. Dies ist jedoch möglicherweise nicht der Fall und erfordert einen etwas umfassenderen Ansatz. Insbesondere in Organisationen, in denen die administrative Informationssicherheit bisher vielleicht etwas in den Hintergrund getreten ist. Die NIS2-EU-Richtlinie tritt im Oktober dieses Jahres in Kraft. Spätestens jetzt sollten Organisationen die Angelegenheit genauer prüfen.
Was ist NIS2?
Die NIS2-Richtlinie der Europäischen Union für Netz- und Informationssicherheit tritt im Oktober dieses Jahres in Kraft. NIS2 ist eine erweiterte und aktualisierte Version der früheren NIS-EU-Richtlinie, die 2016 in Kraft trat. Ziel der Richtlinie ist es, die Fähigkeit der Mitgliedstaaten zur Abwehr von Cyberbedrohungen zu verbessern und das Niveau der Cybersicherheit zwischen den Mitgliedstaaten zu harmonisieren. NIS2 richtet sich an kritische Sektoren der Gesellschaft, wie zum Beispiel Gesundheitswesen, Energie, Verkehr, Finanzen, öffentliche Verwaltung und den IKT-Sektor. Die Richtlinie legt Mindestanforderungen für Organisationen hinsichtlich des Niveaus der Informationssicherheit fest. Die Erfüllung dieser Mindestanforderungen muss von den Organisationen bei Bedarf nachgewiesen werden können.
Ich persönlich halte das Inkrafttreten der Richtlinie für eine wirklich gute und willkommene Sache. Sie deckt ein sehr breites Spektrum an Bereichen der Informationssicherheit ab und bietet eine gute Grundlage für die Weiterentwicklung der Informationssicherheit. Die Verantwortung für die Verpflichtungen der NIS2-Richtlinie erstreckt sich auch über die IT-Abteilungen der Organisationen hinaus. Spätestens jetzt wird die Kluft zwischen IT-Management und Geschäftsleitung in Fragen der Informationssicherheit geschlossen, da die Verpflichtungen des Rahmenwerks bis auf die Führungsebene reichen. Als Zweites möchte ich die allgemeine Einführung des administrativen Aspekts der Informationssicherheit in Organisationen hervorheben. Besonders in kleinen und mittleren Unternehmen werden oft technische Verbesserungen der Informationssicherheit vorgenommen, was an sich nicht falsch ist, aber ein umfassendes Gesamtbild mit einer Informationssicherheitsstrategie wird nicht unbedingt berücksichtigt. Die Organisation sollte sich daher Fragen stellen wie: Welchen Zweck verfolgen wir und welche technischen Änderungen nehmen wir vor? Welche Anforderungen werden von verschiedenen Stakeholdern an uns gestellt? Welches Rahmenwerk für Informationssicherheit befolgen wir?
Ist alles klar bezüglich der Richtlinie?
Es scheint eine gewisse Unklarheit darüber zu geben, ob die NIS2-Richtlinie genau unsere Organisation betrifft oder nicht. Die Branchen wurden auf einer sehr allgemeinen Ebene angegeben, und für einige Bereiche wurden zumindest Präzisierungen erbeten. In bestimmten Bereichen gibt es Interpretationsspielraum, für den hoffentlich noch Klarstellungen erfolgen werden. Es ist jedoch zu beachten, dass selbst wenn eine Organisation nicht direkt in den Geltungsbereich der NIS2-Richtlinie fällt, sie als Teil der Lieferkette möglicherweise einer Organisation, die unter die NIS2-Richtlinie fällt, ihr Niveau der Informationssicherheit nachweisen muss.
Einer der Bereiche der NIS2-Richtlinie ist das Partnermanagement, das die Überprüfung des Informationssicherheitsniveaus von Partnern umfasst. Generell richtet sich NIS2 an Organisationen in gesellschaftlich kritischen Sektoren, die mehr als 50 Mitarbeiter haben oder deren Jahresumsatz und Bilanz 10 Millionen Euro übersteigen. Die von der Richtlinie betroffenen Sektoren sind in wesentliche Sektoren (sehr kritisch) und wichtige Sektoren (kritisch) unterteilt. Hinsichtlich der Anforderungen gibt es zwischen diesen beiden keine Unterschiede, aber bei Nichteinhaltung der Richtlinie sind die Strafen für Akteure in wesentlichen Sektoren eine Stufe härter.
Wesentliche Sektoren
-
- Energie
- Verkehr
- Finanzen
- Gesundheitswesen
- Wasser
- IT
- Öffentliche Verwaltung
- Raumfahrt
Wichtige Sektoren
- Postdienste
- Abfallwirtschaft
- Chemikalien
- Lebensmittel
- Verarbeitendes Gewerbe
- Digitale Dienste
- Forschung
NIS2 – Bereiche der Informationssicherheit
NIS2 besteht aus dreizehn verschiedenen Bereichen der Informationssicherheit, für die Mindestanforderungen festgelegt wurden. Als Hauptthemen können administrative, technische und menschenzentrierte Aspekte betrachtet werden. Der administrative Teil umfasst unter anderem die Definition und Dokumentation von Informationssicherheitszielen, die Durchführung von Management-Reviews und das Engagement für das Informationssicherheitsmanagement. Darüber hinaus wird im administrativen Bereich die Meldepflicht für Informationssicherheitsvorfälle an die Behörden innerhalb bestimmter Fristen betont. Zu den technischen Anforderungen gehören unter anderem die für die Systemprotokollierung und die Erkennung von Informationssicherheitsvorfällen erforderlichen Maßnahmen sowie die Implementierung von Backup-Lösungen für Systeme im Zusammenhang mit dem Kontinuitätsmanagement. Als Beispiel für das menschenzentrierte Thema können regelmäßige Informationssicherheitsschulungen für die Mitarbeiter der Organisation genannt werden. Es gibt natürlich noch viele weitere Themenbereiche als nur die oben genannten. Zusammenfassend lässt sich feststellen, dass es sich um ein sehr umfassendes Gesamtpaket handelt.
Wie kann man in Bezug auf NIS2 vorgehen?
In Bezug auf NIS2 empfiehlt es sich, mit einer GAP-Analyse zu beginnen, die einen Überblick über den aktuellen Stand der Informationssicherheit gibt, auf welche Aspekte geachtet werden sollte und welche Dinge in der Organisation möglicherweise bereits gut umgesetzt wurden. Ich empfehle dringend die Nutzung eines Informationssicherheits-Managementsystems, das das Rahmenwerk der NIS2-Richtlinie unterstützt. Als hervorragendes Produkt kann das Digiturvamalli des finnischen Unternehmens Cyberday genannt werden, das wir auch selbst verwenden. Die Konformität kann auch mit dem kostenlosen Cybermeter (Kybermittari | Kyberturvallisuuskeskus) des Cybersicherheitszentrums bearbeitet werden.
Warum haben wir bei Above IT mit der Vorbereitung auf NIS2 begonnen?
Above IT fällt vielleicht nicht direkt in den Geltungsbereich der NIS2-Richtlinie. Wir interpretieren es jedoch so, dass alle IT-Unternehmen auf praktischer Ebene den NIS2-Anforderungen entsprechen sollten. Zum Beispiel können größere Kunden in unserer Zielgruppe und Kunden aus gesellschaftlich kritischen Sektoren sehr wahrscheinlich Anforderungen an uns in ihrer Lieferkette stellen. Für uns war es auch selbstverständlich, dass wir sicherstellen und bei Bedarf nachweisen wollen, dass unsere Arbeitsweisen und die von uns angebotenen Dienstleistungen diesen Anforderungen entsprechen. Darüber hinaus legte NIS2 eine gute Grundlage für uns, um in naher Zukunft die Anforderungen des ISO27001-Informationssicherheitsrahmenwerks zu bearbeiten.
Fazit
Die Welt ist in Bezug auf die Informationssicherheit keineswegs fertig, auch wenn die NIS2-Anforderungen in Organisationen erfüllt werden, aber sie bietet eine sehr gute Grundlage für das Management von Cyberbedrohungen. Meiner Meinung nach sollte jede Organisation diese Mindestanforderungen erfüllen, unabhängig davon, ob die Anforderung offiziell an die Organisation gerichtet ist oder nicht. Aus Erfahrung kann ich sagen, dass allein die Durchführung einer GAP-Analyse gemäß dem NIS2-Rahmenwerk als Übung dazu beiträgt, einen umfassenden Überblick über den aktuellen Stand der Informationssicherheit zu erhalten.
Wir haben am Donnerstag, den 22. August um 09:00 Uhr ein Webinar abgehalten, in dem das Thema ausführlicher behandelt wurde und wie die Richtlinie im Hinblick auf den Microsoft 365-Dienst berücksichtigt werden sollte.
Sehen Sie sich die Aufzeichnung des Webinars hier an: Webinar: Microsoft 365 und NIS2-Anforderungen – ABOVE IT
Above IT ist ein Partner und eine Ressource für IT-Abteilungen. Im Bereich der administrativen Informationssicherheit bauen wir eine Brücke über die Kluft zwischen der Geschäftsleitung und der IT-Abteilung einer Organisation. Als unser Kunde erhalten Sie echte Expertise in der Entwicklung von Informationssicherheit und Datenschutz sowie Unterstützung und Sicherheit in den Turbulenzen der Welt! Wenn Sie mit uns über die IT hinausgehen möchten, kontaktieren Sie uns über den untenstehenden Link!