Mehr Cyber-Sicherheit für „wichtige“ Branchen

Mit der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) will die EU in den Mitgliedsstaaten ein einheitliches Sicherheitsniveau schaffen und dieses verbessern. Sie nimmt im Vergleich zu NIS-1 nicht nur kritische Infrastrukturen wie Energieversorgung, Finanzwirtschaft, Gesundheitswesen oder Wasserversorgung in die Pflicht (sogenannte „besonders wichtige Einrichtungen“) Zusätzlich sind mit NIS-2 unter anderem auch Branchen wie Abfall- und Abwasserwirtschaft, Post- und Kurierdienste, Verwalter von Informations- und Kommunikationsdiensten sowie Produzenten und Verarbeiter etwa von Lebensmitteln oder Medizin betroffen. Damit sind einer Schätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zusätzlich ca. 29 000 Unternehmen und Einrichtungen als sogenannte „wichtige Einrichtungen“ erstmals von gesetzlichen Pflichten betroffen.

„Faktisch gelten die neuen Pflichten schon jetzt“, stellte Christian Seitz vom Geschäftsbereich Innovation | Umwelt der IHK Nürnberg für Mittelfranken, beim IHK-Webinar „Fit für NIS-2“ klar. Denn die Netz- und Informationsrichtlinie der EU ist im Januar 2023 in Kraft getreten und regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Die Überführung in nationales Recht bis Oktober 2024 hat Deutschland allerdings verpasst. Das deutsche Umsetzungsgesetz für die NIS-2-Richtlinie befindet sich derzeit auf der parlamentarischen Zielgeraden. Doch auch wenn sich die NIS-2-Vorgaben noch im Gesetzgebungsprozess (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, NIS2UmsuCG) befinden, sei es für Unternehmen sinnvoll, sich frühzeitig mit den neuen IT-Sicherheitsfragen auseinanderzusetzen, so Seitz.

Referent Eugen Liske ist Schulungsexperte bei der DISO GmbH in Roth, die auch im Netzwerk „Deutschland sicher im Netz“ (DsiN) aktiv ist. Für ihn geht es bei der NIS-2-Richtlinie darum, einen EU-weiten Mindeststandard an IT-Sicherheit zu erreichen, um Wirtschaft und Gesellschaft besser zu schützen. NIS-2 bringe vor allem zwei wesentliche Neuerungen mit sich: Zum einen wird der Bereich der betroffenen Unternehmen und Institutionen erweitert, zum anderen kommen auf sie detailliertere Pflichten bei Registrierung, Risikomanagement und Meldungen zu.

Wen betrifft die NIS-2-Richtlinie?

„Die Unternehmen müssen ihre Betroffenheit selbst feststellen“, mahnte Liske mit Blick auf die Drei-Monats-Frist. Denn sobald das deutsche NIS2UmsuCG in Kraft ist, bleiben nur noch 90 Tage, um den eigenen Betrieb zu registrieren. Es kommt also keine Aufforderung von außen, sondern alle Firmen müssen eigenverantwortlich prüfen, ob sie unter die NIS-2-Richtlinie fallen. Diese verpflichtende Prüfung sollte nicht auf die leichte Schulter genommen werden: „Denn Unwissenheit schützt nicht vor Strafe.“ Wesentliche Kriterien sind die Zugehörigkeit zu bestimmten Branchen kombiniert mit der Betriebsgröße: In der Pflicht sind Unternehmen mit mindestens 50 Mitarbeitern oder mit einem Umsatz von mehr als zehn Mio. Euro. Darüber hinaus ist man auch unabhängig von der Firmengröße betroffen, wenn etwa bestimmte Dienste, wie z. B. DNS-Registrierungsdienste, erbracht werden. Über die Homepage des BSI gelangt man zu einer digitalen NIS-2-Betroffenheitsprüfung (https://betroffenheitspruefung-nis-2.bsi.de). Betroffene Betriebe müssen sich selbst bei der gemeinsamen Registrierungsstelle von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.

Das „Herzstück“ ist für Liske das Risikomanagement: Gefordert sind geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, um zu vermeiden, dass es zu Störungen bei Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme kommt. Außerdem müssen die Maßnahmen geeignet sein, dass die Auswirkungen möglichst gering bleiben, sollte es doch zu Sicherheitsvorfällen kommen. Grundlage der Maßnahmen ist der jeweilige Stand der Technik und der gültigen Normen. „Nicht jeder braucht das Gleiche, aber alle brauchen irgendetwas“, fasste Liske zusammen. Die ergriffenen Maßnahmen sind zu dokumentieren. Das Risikomanagement beinhaltet u. a. eine Risikoanalyse, die Bewertung der Cyber-Sicherheit, die Sicherheitsprüfung des Personals sowie die Sicherheit der Lieferketten. Wenn es zu einem erheblichen Sicherheitsvorfall kommt, muss dieser dem BSI innerhalb von 24 Stunden gemeldet werden. Danach müssen Vorfalls-, Zwischen- und Abschlussmeldung erfolgen. Die Geschäftsführung ist ausdrücklich verpflichtet, die Maßnahmen des Risikomanagements im Bereich Cybersicherheit abzusegnen und ihre Umsetzung zu überwachen. Die Geschäftsleitung muss sich die entsprechenden Kenntnisse in regelmäßigen Schulungen aneignen.

NIS-2 verlangt auch eine entsprechende Schulung der Mitarbeiter, wie David Scribane bei dem Webinar betonte. Der Sicherheitsberater von der auf IT-Sicherheit spezialisierten Etomer GmbH in Berlin erläuterte, wie man in der Praxis die Risiken definiert und auf dieser Basis bei den Mitarbeitern ein Bewusstsein dafür schafft. Diesen müssen regelmäßige Schulungen zum Thema Informationssicherheit angeboten werden. Die Richtlinie lässt jedoch offen, wie häufig oder tiefgehend diese Schulungen sein sollten. Als Leitlinie kann gelten: Die Schulungen sollten wirksam die Wahrscheinlichkeit verringern, dass die identifizierten Risiken eintreten. Und wenn es doch zu einem Schadensfall kommt, sollen die Schulungen die Mitarbeiter in die Lage versetzen, dass sie das Ausmaß des Schadens begrenzen können. (tt.)

www.bsi.bund.de (Rubrik „Themen“)