NIS-2 Richtlinie: Network and Information Security 2

Die NIS-2 Richtlinie legt Mindestanforderungen an Sicherheitsmaßnahmen fest, die implementiert werden müssen, um die wesentlichen Informationssicherheits-schutzziele eines Unternehmens zu stärken. Im Mittelpunkt dabei stehen Vertraulichkeit, Integrität, und Verfügbarkeit - vor allem in Bezug auf jede Art von Informationen, Dokumente, Software und Hardware. Grundlegend gilt es dabei mit der physischen Sicherheit, der IT-Sicherheit, der organisatorischen Sicherheit und der personellen Sicherheit die vier Dimensionen der Informationssicherheit (nach ISO 27001) zu wahren.

Die Regelungen im Bereich des Incident Reporting verpflichten wesentliche und wichtige Unternehmen erhebliche IT-Sicherheitsvorfälle (inklusive ausgelagerter Services) rechtzeitig bei den zuständigen nationalen Behörden zu melden und die betroffenen Anlagen und Komponenten zu registrieren. Dabei ist ein zweistufiger Meldeprozess zu durchlaufen, im Rahmen dessen bereits nach 24 Stunden ein vorläufiger Bericht vorzulegen ist. Auf einer zweiten Stufe müssen innerhalb von 72 Stunden detailliert Informationen über den Vorfall, einschließlich dessen Auswirkungen und der ergriffenen Sofortmaßnahmen zur Minderung vorgelegt werden. Erweiterte Meldepflichten können sich aus der Klassifizierung der Vorfälle und dem damit einhergehenden Potenzial einer wesentlichen Auswirkung ergeben. Sanktionen drohen bei verspäteter oder unterlassener Meldung. Unternehmen müssen daher sicherstellen, dass ihre Kommunikationskanäle für das Incident Reporting robust und schnell genug sind, um den Anforderungen der NIS-2 Richtlinie gerecht zu werden.

Um sicherzustellen, dass nur autorisierte Benutzer auf kritische Informationen und Systeme zugreifen können, verlangt die NIS-2 Richtlinie die Implementierung effektiver Zugriffskontrollen. Diese umfassen neben den Zutrittsberechtigungen für Gebäude und Räume auch die Einführung von rollenbasierten Zugriffskontrollen (RBAC), um den Zugriff auf Informationen gemäß den jeweiligen Berechtigungen zu steuern. Darüber hinaus fordert die Regulatorik eine umfassende Dokumentation der gewährten Zugriffsrechte inkl. deren Änderungen. Es gilt durch Schulungen das Bewusstsein der Mitarbeiter für Cybersicherheitsrisiken zu schärfen.

Neben der Reaktion auf IT-Sicherheitsvorfälle zielt die NIS-2 Richtlinie im Rahmen eines Backup und Business Continuity Management (BCM) auch darauf ab proaktiv Maßnahmen zu ergreifen, die die Resilienz gegenüber potenziellen Cyberangriffen erhöhen sollen. Im Zentrum steht die ununterbrochene Verfügbarkeit eines Services. Konkret wird die Ausarbeitung und Implementierung von Notfallplänen gefordert, die regelmäßigen Tests und Reviews unterzogen werden müssen. Ebenso sind in Zusammenhang mit dem Provider Exitpläne nachzuweisen. Alle Backup- und Wiederherstellungsverfahren sind zu dokumentieren.

Die NIS-2 Richtlinie dient besonders dem Schutz kritischer Infrastrukturen (KRITIS) vor Störungen und Cyberangriffen. Sie stellt somit seit Oktober 2024 eine Erweiterung der deutschen KRITIS Regulierung dar. Für bestehende kritische Infrastrukturen ändert sich wenig, aber ca. 29.000 „besonders wichtige“ Unternehmen werden durch NIS-2 zusätzlich einbezogen. Genauer gesagt sind dies Unternehmen deren Ausfall Beeinträchtigungen auf die öffentliche Sicherheit oder das Gemeinwohl hätten und einem der in Anhang 1 der NIS-2 Richtlinie gelisteten Sektoren der Regulatorik zuzuordnen sind. Diese Unternehmen unterliegen verschärften Regelungen (BCM, Resilienz Maßnahmen, IAM, physischer Schutz) und regelmäßigen Nachweispflichten. Zudem sind die Institutionen zur Durchführung einer Due Diligence Analyse verpflichtet, um die Risiken in Supply Chain und Einkauf zu bewerten, die einen direkten Einfluss auf kritische Bereiche haben. Für die Gewährleistung einer permanenten Leistungserbringung sollten auch alternative Lieferketten ermittelt werden.

Unternehmen müssen ein systematisches Risikomanagement entsprechend internationaler Normen (ISO 31000, ISO 27005, BSI-Standard 200-3) einführen, das eine regelmäßige Risikoanalyse umfasst. Dies bezieht sich sowohl auf interne als auch auf externe Risiken und umfasst die Identifikation, Bewertung und Behandlung von Risiken in Bezug auf die Informationssysteme. Dabei soll ein systematischer gefahrenübergreifender Ansatz verfolgt werden, um strukturiert und kontinuierlich eine Verbesserung der Sicherheitsmaßnahmen zu gewährleisten. Dabei gilt es den Stand der Technik einzuhalten. Backup Lösungen, Verschlüsselungsverfahren, Multi Factor Authentication (MFA) und Identity & Access Management (IAM) sind in das Risikomanagement mit einzubeziehen.