Das Jahr 2023 neigt sich zwar dem Ende entgegen, doch haben viele deutsche Unternehmen noch immer keine Antwort auf die Anforderungen der NIS-2, die Network and Information Security 2 Directive EU 2022/2555. Und dies, obwohl die Zeit drängt, so liegt seit Juli 2023 zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ein zweiter Referentenentwurf vor.
Ein Beitrag von Sven Bagemihl, Regional Director CEMEA bei Logpoint.
Das Ziel ist, dass „ein kohärentes System zur Stärkung der Resilienz kritischer Anlagen und weiterer Einrichtungen mit Blick auf physische Maßnahmen und Cyberschutz Maßnahmen geschaffen wird, welches die jeweiligen europarechtlichen Vorgaben umsetzt“. Die Umsetzung soll bis Oktober 2024 erfolgen, neben zahlreichen anderen Gesetzen, die aufgrund der NIS-2 verschärft werden.
Was ändert sich nun aber wirklich für Firmen. Zunächst einmal müssen alle Unternehmen prüfen, ob sie zu dem erweiterten Kreis gehören, die als Betreiber kritischer Infrastrukturen angesehen werden. Die Umsetzung der NIS-2 wird den Geltungsbereich darüber hinaus auf alle Unternehmen mit +100 Mitarbeitern oder +10 Millionen Euro Umsatz und damit auf weitere Branchen ausweiten. Die Schätzungen liegen hier zwischen 20.000 und 40.000 Firmen allein in Deutschland.
Bislang galten lediglich 5.000 deutsche Unternehmen als Betreiber kritischer Infrastrukturen. Mit der NIS-2 wird zudem für geschäftsrelevante Vorfälle eine Berichterstattungspflicht eingeführt. Bei einem Verstoß gegen die NIS-2-Vorgaben drohen nun Strafzahlungen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes eines Unternehmens.
Einer wichtigen Vorgabe, der nun viele betroffene Unternehmen nachweislich nachkommen müssen, ist das Monitoring und Reporting von sogenannten Cyber Incidents, also Vorfälle aus dem Bereich Cybersicherheit. Im Fall eines Cyberangriffs ist eine schnelle Reaktion inklusive Störungsmeldung vorgeschrieben.
Eine erste Meldung ist in Deutschland dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von 24 Stunden nach Entdeckung eines geschäftsrelevanten Vorfalls zu übermitteln, eine detaillierte Meldung muss binnen 72 Stunden erfolgen.
Hierfür ist dringend die Einführung und vor allem auch Umsetzung eines Information Security Management Systems (ISMS) nach ISO 27001:22 angeraten. Kernbaustein eines ISMS für das Monitoring & Reporting sollte eine technische Lösung sein. Hier wird eine SIEM-Lösung (Security Information and Event Management) empfohlen.
Sie sammelt über die gesamte IT-Infrastruktur hinweg Meldungen der Überwachungswerkzeuge und -sensoren, bündelt diese zu Alarmen, so dass Security Analysten sich diese ansehen und bewerten können. Mit einer solchen technischen Lösung im Rahmen eines organisatorischen Systems sind Unternehmen in der Lage, automatisiert die Anforderungen für NIS-2 im Hinblick auf Monitoring & Reporting zu erfüllen.