NIS2-Richtlinie: Wie Unternehmen diese für Security-Initiativen nutzen

Unternehmen und Organisationen in der Europäischen Union sollen mit der neuen NIS2-Richtlinie besser auf die hohe Bedrohungslage der IT-Sicherheit reagieren können. Doch viele Unternehmen haben noch nicht mit der Umsetzung der Vorschriften begonnen. Gemäß nationalem Recht muss aber die Anpassung spätestens im Oktober 2024 abgeschlossen sein. Deswegen ist es wichtig, jetzt mit adäquaten Maßnahmen zu beginnen.

Am 27. Dezember 2022 wurde die NIS2-Richtlinie im EU-Amtsblatt veröffentlicht und ist seit dem 16. Januar 2023 in Kraft. In den nächsten 20 Monaten muss sie in nationales Recht umgesetzt werden. Die neue Richtlinie ist zudem an sektorspezifische Rechtsvorschriften angepasst. Das gilt besonders für die Verordnung zur Betriebsstabilität digitaler Systeme des Finanzsektors (DORA – Digital Operational Resilience Act) und die Richtlinie zur Resilienz kritischer Einrichtungen (CER – Critical Entities Resilience Directive).

NIS2-Richtlinie deckt alle systemrelevanten Branchen ab

Die NIS2-Richtlinie betrifft nahezu alle Unternehmen mit mehr als 50 Mitarbeitern, einem Jahresumsatz von mehr als zehn Millionen Euro und einer Zugehörigkeit in systemrelevanten Sektoren. Dazu zählen:

• Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
• Gesundheit (Versorger, Labore, Pharma)
• Verkehr (Luft, Schiene, Wasser, Straße)
• Banken- und Finanzmärkte
• Trinkwasser-Versorgung und Abwasser
• Digitale Infrastrukturen (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD- Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud- Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken und Anbieter von Vertrauensdiensten)
• Raumfahrt und öffentliche Verwaltung
• Post und Kurierdienste
• Abfallwirtschaft
• Chemie
• Ernährung
• Industrie (Technik und Ingenieurwesen)
• Digitale Dienste (Online-Marktplätze, Suchmaschinen und soziale Netzwerke)
• Forschung

IT-Sicherheit im Fokus der Unternehmenssteuerung

Die NIS2-Richtlinie stellt die Informationssicherheit in den Fokus der Unternehmenssteuerung. Für alle Unternehmen in dem Branchen gelten ab Oktober 2024 verschärfte Anforderungen an die Sicherheit von Informationssystemen. Sie müssen geeignete und diverse technische, operative und organisatorische Maßnahmen ergreifen. Sie sind also gefordert, ausreichende Schutzmaßnahmen für ihre IT-Umgebung zu etablieren:

• Erstellung von Risikoanalyse- und Informationssicherheitskonzepten, einschließlich Maßnahmen zur Bewältigung von Sicherheitsvorfällen
• Maßnahmen zur Aufrechterhaltung des Betriebs
• Sicherheit der Lieferketten
• Sonstige Sicherheitsmechanismen, wie beispielsweise: Mitarbeiterschulungen, Verschlüsselung, Multi-Faktor Authentifizierung, sichere Kommunikationsmittel und Zugriffskontrollen
• Meldepflicht bei Sicherheitsvorfällen, die Auswirkungen auf die von Unternehmen erbrachten Dienste haben: Innerhalb von 24 Stunden müssen die Behörden eine Frühwarnung erhalten. Im Anschluss ist spätestens nach 72 Stunden Bericht über den Sicherheitsvorfall zu erstatten. In besonders schweren Fällen sind zudem die Nutzer der Dienste zu informieren.

Initiative bei der Umsetzung der NIS2-Richtlinie ergreifen

Die Zeit drängt: Betroffene Unternehmen sollten jetzt damit beginnen, ihre IT auf Basis des aktuellen Technikstands gegen Cyberangriffe zu schützen und sich technisch entsprechend aufzustellen. Da die Umsetzung auf Grundlage eines dokumentierten Risikoanalyse- und Informationssicherheitskonzeptes erfolgen muss, sollte die Zusammenarbeit mit einem spezialisierten Dienstleister geprüft werden, der die notwendigen Kompetenzen für das Projekt mitbringt. Es besteht keine Notwendigkeit, im eigenen Unternehmen fehlendes Know-how aufzubauen. Die Mitarbeiterressourcen können sich weiterhin auf ihre Kernaufgaben konzentrieren.

Darüber hinaus sollten die Unternehmen die Richtlinie auch als Chance verstehen. Denn die geforderte Umsetzung ist der perfekte Anlass, die Grundlagen des eigenen IT-Sicherheitskonzepts zu hinterfragen, falls ein solches überhaupt vorhanden ist. Ausgangspunkt ist eine Bestandsaufnahme des Status Quo. Aus den daraus resultierenden Ergebnissen lässt sich eine Roadmap erstellen, die alle notwendigen Maßnahmen auflistet. Abhängig von der genauen Auslegung der Richtlinie gehören dazu auch die technischen Anforderungen. Hierzu zählen

• Präventionslösungen und Detektion
• Strategien zur Bewältigung von Informationssicherheitsvorfällen und die Verschlüsselung
• Vulnerability Management
• Sichere interne und externe Kommunikation und
• Multi-Faktor-Authentifizierung (MFA).

Einführung eines Zero-Trust-Modells

Um die Sicherheit der IT-Systeme zu optimieren, sollten Unternehmen zudem über die Einführung eines Zero-Trust-Modells nachdenken. Hier lautet das Grundprinzip: „Vertraue niemanden und keinem Gerät, prüfe alles.“ Ein durchgängig implementiertes und im gesamten Unternehmen wirksames Zero-Trust-Modell bietet ein beträchtliches Schutzniveau für alle IT-Komponenten, Daten und Geräte. Zu den weiteren strategischen Überlegungen gehört es, die IT vom On-Premise-Ansatz hin zur Cloud zu transformieren. Die Cloud ist nicht nur sicherste Ort für Unternehmensinformationen, sie bietet zusätzlich die besten Möglichkeiten, das Geschäft und die Beziehung zu den Kunden auszubauen und zu skalieren.

Technische Prävention umsetzen

Wirksame Security-Maßnahmen im Unternehmen lassen sich in die technische Prävention sowie detektive und korrektive Maßnahmen aufteilen. Der technischen Prävention dient unter anderem die Transformation vieler Unternehmensprozesse in die Public-, Private- oder Hybrid-Cloud und zwar so, wie es am besten zu den Anforderungen des jeweiligen Unternehmens passt. Erste Schritte bei der technischen Prävention sind:

• Verbesserung der Security und Verfügbarkeit durch die Cloud
• Zero-Trust-Ansatz inklusive Mehr-Faktor-Authentifizierung für externe Zugriffe und für privilegierte Benutzerkonten.

Begleitet werden diese mit regelmäßig durchgeführten Penetration-Tests kritischer oder neuer Systeme. Um kritische Geschäftsprozesse permanent verfügbar zu halten, benötigen Unternehmen zudem zuverlässige Backup-Systeme und getestete Recovery-Prozesse. Diese sollten ebenfalls den regelmäßigen Sicherheitsprozeduren unterliegen. So ist ein Unternehmen abgesichert, falls doch einmal ein Sicherheitsvorfall passiert. Auf der organisatorischen Ebene sind

• dokumentierte Maßnahmen zu adressieren,
• Rollen und Verantwortlichkeiten zuzuweisen,
• Dokumentationen und Regelwerke aufzusetzen und
• ein Awareness-Programm für die Mitarbeiter zu etablieren.

Umsetzung detektiver Maßnahmen

Detektive Maßnahmen sind dagegen systematische Abläufe, die helfen, Angriffe präventiv zu entdecken und Schwachstellen zu identifizieren. Vieles davon decken Cloud-Anbieter ab. Als State-of-the-Art gelten Lösungen wie Extended oder Proaktive Detection & Response (XDR oder PDR) sowie Advanced Monitoring & Resolution (AMR). Auf diese Weise lassen sich Sicherheitsvorfälle besser aufspüren und notwendige Reaktionsmaßnahmen schneller einleiten. Auch bei diesem Szenario ist die Zusammenarbeit mit professionellen und spezialisierten Dienstleistern eine probate Option, um deren Fokussierung und umfassende Vergleichs- und Erfahrungswerte zu nutzen. Der Einsatz hochspezialisierter Experten an dieser Stelle schafft deutliche Mehrwerte im Vergleich zu häufig sehr aufwendigen, teuren und Ressourcen verschlingenden internen Lösungen. 

Umsetzung korrektiver Maßnahmen

Korrektive Maßnahmen aktualisieren und optimieren die Security-Aktivitäten, die gesamte Cyber-Resilience der Organisation sowie die Compliance kontinuierlich. Dabei kommt das Plan-Do-Check-Act (PDCA)–Schema zum Einsatz. Erfahrungen und Verbesserungsbedarfe, auch aus Auswertungen vergangener Sicherheitsvorfälle, sowie Prävention und Detektion fließen hierbei mit ein. Diese Maßnahmen sind notwendig, denn es gibt kaum Bereiche, die sich so dynamisch verändern wie das Zusammenspiel aus Cyberangriffen und -abwehr.

Cybercrime wird als eine der größten Industrien der Welt bezeichnet, sie ist arbeitsteilig und industriell organisiert und wird fortlaufend mit immer neuen Ideen und Modi Operandi gefüttert. Wird die kontinuierliche Verbesserung der Sicherheitsmaßnahmen vernachlässigt, kann nicht nur die Compliance mit den geforderten Standards eingehalten werden. Vielmehr drohen auch erhebliche Reputationsschäden und finanzielle Einbußen.

Für Organisationen, die den definierten Sektoren angehören, ist die Umsetzung von NIS-2 bis spätestens Oktober 2024 Pflicht. Die damit einhergehenden umfangreichen Sicherheitsanforderungen und deren Umsetzung werden von der zuständigen Behörde regelmäßig geprüft. Spätestens jetzt sollten die Verantwortlichen in den Unternehmen die geeigneten Maßnahmen ergreifen, um die gesetzlich vorgeschriebenen Sicherheitsanforderungen in ihrem Haus umzusetzen. Ein Security Discovery Workshop ist der erste Schritt auf dem Weg zum neuen Sicherheitskonzept.

NIS2-Richtlinie: Plädoyer für zukunftsfähige Lösungen

Gemeinsam mit einem qualifizierten Dienstleister wie Rackspace erfolgt eine Bestandsaufnahme. Sie dient als Grundstein für die Entwicklung einer passgenauen Security-Roadmap zur Erfüllung der NIS2-Richtlinie. Auch die anschließende Umsetzung der erforderlichen Lösungen, von der unternehmensweiten Security Strategy & Governance über Infrastructure & Platform Security, Identity & Access Management, Security Operations bis hin zu Application-Security, sollte von externen Spezialisten begleitet werden. Denn die Zusammenarbeit mit einem qualifizierten Partner beschleunigt die Implementierung, schont die Nerven und spart letztlich Zeit und Geld.

Über den Autor: Kristof Riecke ist Field CISO DACH bei Rackspace Technology, einem Anbieter von End-to-End-Multicloud-Diensten. Das Unternehmen entwickelt und betreibt Cloud-Umgebungen auf allen wichtigen Technologieplattformen, unabhängig vom jeweils vorhandenen Technologie-Stack oder Bereitstellungsmodell. (sg)

Lesen Sie auch: NIS2: Schutz der kritischen Infrastruktur vor Cyberangriffen