NIS2-Richtlinie erfolgreich umsetzen

Die neue NIS2-Richtlinie für optimierte Cybersicherheit für Netzwerke und Informationssysteme kritischer und wichtiger Infrastrukturen in den EU-Mitgliedsländern muss bis 17. Oktober 2024 umgesetzt werden.

Wer ist von NIS2 betroffen?

Vorwiegend betroffen von NIS2 sind mittlere und große Unternehmen ab 50 Beschäftigten oder mit mehr 10 Millionen Euro Jahresumsatz/Jahresbilanz. Aber auch kleine Unternehmen können unter die Regelung fallen, beispielsweise als Lieferanten oder wenn sie essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten sind.

Ziel der aktualisierten Richtlinie ist, es die Cyber-Resilienz und die Reaktion auf Sicherheitsvorfälle von öffentlichen und privaten Einrichtungen in der EU zu verbessern. Die Anforderungen können daher für alle Unternehmen, die ihre Cyberabwehr verbessern und ihre Betriebsfähigkeit schützen wollen, interessant sein.

Die Wirtschaftskammer Österreich (WKO) hat einen Ratgeber veröffentlicht, mit dem heimische Unternehmen ausloten können, ob sie von NIS2 betroffen und daher zur Umsetzung verpflichtet sind: WKO Online Ratgeber zur Cybersicherheitsrichtlinie NIS 2.

Wie kann NIS2 erfüllt werden?

Nachdem die Betroffenheit geklärt ist – aktuelle Schätzungen gehen laut OCG von mehr als 3.000 betroffenen Organisationen statt bisher 99 aus –, sollten unternehmensintern Verantwortlichkeiten und Ressourcen definiert werden.

Für die Umsetzung der NIS2-Richtlinie gilt es rechtliche, organisatorische und technische Aspekte zu betrachten. „Ein gutes Informationssicherheits-Managementsystem (ISMS) bildet eine solide Basis, die bereits viele NIS2-Anforderungen abdecken kann“, weiß Herbert Dirnberger, Industrial Cyber Security Experte bei IKARUS Security Software: „ISO 27001 ist auch für Unternehmen, die keine entsprechende Zertifizierung brauchen oder anstreben, eine gute Handlungsgrundlage, um die Einführung eines ISMS strukturiert und nachhaltig anzugehen.“

Die Umsetzung von ISO 27001 ist durchaus anspruchsvoll. Fehlende Mittel und Fachkenntnisse stellen besonders KMU häufig vor Umsetzungsprobleme. „Für viele Unternehmen könnte CISIS12, früher ISIS12, eine spannende Alternative sein“, empfiehlt Dirnberger.

ISO 27001 und CISIS 12 definieren und strukturieren IT-Security-Maßnahmen

CISIS12 ist ein Informationssicherheits-Managementsystem mit klaren Handlungsempfehlungen in 12 Schritten. Es ist besonders auf die Anforderungen von KMU abgestimmt und kann mithilfe eines Handbuches oder mithilfe von zertifizierten Berater*innen in Eigenregie implementiert werden. „Das Regelwerk ist so aufgebaut, dass, wenn später ein höherer Sicherheitsbedarf erkannt wird, ein Umstieg auf ISO 27001 gut möglich ist“, erklärt Dirnberger.

ISO 27001 wurde im Vorjahr überarbeitet. Die neue Version ISO 27001:2022 tritt nach einer Übergangsfrist von 36 Monaten mit Oktober 2025 in Kraft und ist daher als Grundlage heranzuziehen. Verglichen mit der bisher geltenden Norm legt sie einen stärkeren Fokus auf Cybersicherheit, Datenschutz und Cloudsicherheit. Sie folgt einer klaren Struktur und definiert 37 Organisational Controls, 8 People Controls, 14 Physical Controls und 34 Technological Controls.

Welche technischen Maßnahmen unterstützen NIS2?

Ein Beispiel für grundlegende technische Cybersecurity-Maßnahmen ist das Erstellen von (dynamischen) Asset-Inventaren mit Informationen zu allen Geräten, Protokollen und Kommunikationsverbindungen im Netzwerk. Erst die Sichtbarkeit aller OT-Assets sowie ihrer Verbindungen und Erreichbarkeiten ermöglicht eine umfassende Risikoanalyse samt Schwachstellenmanagement. Diese Maßnahmen gelten auch Teil der Best practice-Strategie für die Sicherheit der Lieferkette.

Anomalie-Erkennung durch Künstliche Intelligenz (KI) und verhaltensbasierte Analytik kann als Frühwarnsystem gegen Cyber-Angriffe dienen, aber auch Fehlkonfigurationen oder Insider-Threats sichtbar machen. Dies ist besonders in Settings, in denen ein routinemäßiges Patching nicht möglich ist, relevant – aber auch als Schutzmaßnahme gegen Zero-Day-Angriffe.

Threat Intelligence unterstützt Security-Teams mit aktuellen Bedrohungsdaten dabei, Indikatoren und Taktiken sowie Ziele und Motive von Angreifenden zu verstehen, um gezielt und vorausschauend aktiv werden zu können. Zusammen mit einem Incident Response Plan beschleunigt der Einsatz von Threat Intelligence die Reaktion auf Sicherheitsvorfälle und ermöglicht informierte Entscheidungen.

Schulungen und Bewusstseinsbildung für Mitarbeitende

Schulung und Bewusstseinsbildung der Mitarbeitenden ergänzen die technischen und organisatorischen Lösungen zur Implementierung von Cybersicherheitsmaßnahmen. Lange waren industrielle Steuersysteme strikt von der IT und der Außenwelt getrennt, ebenso die Umsetzung von Informationstechnologie (IT) und operativer Technologie (OT).

Auf die Konvergenz von IT und OT durch die Digitalisierung und das Industrial Internet of Things (IIoT) muss nun eine Annäherung auf operativer sowie personeller Ebene folgen. OT-Security-Projekte beginnen daher häufig mit der Klärung der Zuständigkeit für die industrielle Cybersicherheit. Ein gutes Zusammenspiel von IT- und OT-Expert*innen sowie gegenseitiges Verständnis für die unterschiedlichen Ziele und Anforderungen ist erfolgsentscheidend.

IT- and OT-Security zusammenführen

„IT und OT sind durch die Digitalisierung fest miteinander verbunden und nicht mehr zu trennen. Dadurch entsteht eine gänzlich neue Technologiewelt mit teils neuen Anforderungen, speziell an die Sicherheit“, so Herbert Dirnberger: „So komplex die Herausforderungen auf den ersten Blick scheinen – es ist zu schaffen. Best practice Beispiele, Playbooks und moderne Technologien ermöglichen effektive Abwehrstrategien, die die Lücke zwischen IT- und OT-Sicherheit effizient und zufriedenstellend füllen können.“

Darüber hinaus können OT-Security-Lösungen wertvollen Input für die IT liefern, weshalb sich Investitionen in industrielle Sicherheit doppelt lohnen.

Das könnte Sie auch interessieren:

Cyber Security Schecks 2023: Förderung für NIS2-betroffene KMU

EU-Maschinenverordnung 2023: Neue Herausforderungen für Maschinenhersteller, Systemintegratoren und Betreiber

Sichere Energiewende: Cybersicherheit für Energieversorger

Links:
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555
https://www.iso.org/standard/27001
IAF_MD_26_Transition_requirements_for_ISOIEC_27001-2022_09082022.pdf
https://cisis12.de/
https://www.ocg.at/de/nis-2-richtlinie
https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity