Can Adiguzel ist der Gründer von 360 Digital Transformation. Er ist TISAX-Berater und ISO 27001 Lead Auditor. Er ist seit mehr als 11 Jahren im IT-Projektmanagement tätig. Seine Leidenschaft ist die Informationssicherheit für den Mittelstand und er hilft dem Mittelstand bei der Bewältigung seiner Herausforderungen im Bereich der Informationssicherheit mit einem praxisnahen Beratungsansatz.
NIS 2 Anforderungen in der Informationssicherheit – Wie Unternehmen sich jetzt auf die neue Richtlinie vorbereiten sollten
Mit der Einführung der NIS 2 müssen Unternehmen neue Cybersicherheitsstandards einhalten. Wer jetzt nicht handelt, gefährdet die eigene Sicherheit und Wettbewerbsfähigkeit und erfüllt auch nicht die gesetzlichen Anforderungen. Nutzen Sie die Gelegenheit, um Ihre Systeme zu stärken und Vertrauen bei Kunden und Partnern zu sichern. In unserem Artikel erläutern wir detailliert die neuen Anforderungen, den erweiterten Anwendungsbereich und wer von den neuen NIS 2 Anforderungen betroffen ist.
Inhaltsverzeichnis:
- Ab Oktober 2024 gelten die neuen Anforderungen der NIS-2-Richtlinie in der IT-Sicherheit
- Neue Anforderungen für betroffene Unternehmen aus der Automobilbranche
- Besonders wichtige Anforderungen, die neu gegenüber der ISO 27001 sind
- Die NIS 2 Anforderungen bringen eine neue Verantwortung für das Management und spezifische Maßnahmen pro Branche
Ab Oktober 2024 gelten die neuen Anforderungen der NIS-2-Richtlinie in der IT-Sicherheit
Im Oktober 2024 tritt die NIS 2 Richtlinie offiziell in Kraft, nachdem sie 2022 vom Europäischen Parlament verabschiedet wurde. Die Umsetzung in nationales Recht liegt hauptsächlich bei den gesetzgebenden Organen, insbesondere dem Bundesministerium des Innern und für Heimat (BMI) in Zusammenarbeit mit dem Bundestag und Bundesrat zur Stärkung der Sicherheitsstandards in Netz- und Informationssystemen.
Bis zu diesem Zeitpunkt müssen Unternehmen eine Reihe von Maßnahmen ergreifen, um die Anforderungen der Direktive zu erfüllen. Diese Anforderungen betreffen mit NIS-2 eine breitere Palette von Branchen und stellen erweiterte Verpflichtungen im Bereich der Cybersicherheit dar.
Umsetzung in nationales Recht im Oktober 2024
- Umsetzungsfrist: Bis Oktober 2024 müssen alle EU-Mitgliedstaaten die NIS-2-Richtlinie in nationales Recht umgesetzt haben. Ab diesem Zeitpunkt müssen Unternehmen den neuen, verschärften Cybersicherheitsanforderungen entsprechen. Es gibt keine Schonfrist!
- Gültigkeit der neuen Vorschriften: Ab dem 18.10.2024 gelten die neuen Sicherheitsanforderungen verbindlich für Unternehmen, die in den Anwendungsbereich der NIS 2 fallen. Dazu gehören auch Unternehmen, die bisher nicht von der ursprünglichen NIS-Richtlinie betroffen waren.
1) Neue Anforderungen für betroffene Unternehmen aus der Automobilbranche:
Erweiterte Meldepflichten von Sicherheitsvorfällen in der NIS-2-Richtlinie:
Unternehmen in der Automobilbranche müssen sicherstellen, dass sie Cybervorfälle schnell und effektiv an das BSI melden, um die Wirksamkeit ihrer Sicherheitsstrategien zu gewährleisten.
Das BSI nimmt diese Meldungen entgegen, bewertet sie und koordiniert gegebenenfalls die Reaktion auf den Sicherheitsvorfall. Es stellt sicher, dass Vorfälle schnell und effektiv behandelt werden, um größere Schäden zu verhindern.
Die NIS-2-Richtlinie schreibt vor, dass Vorfälle innerhalb von 24 Stunden nach Kenntnisnahme an die zuständigen Behörden gemeldet werden müssen. Dies umfasst nicht nur die Meldung von Sicherheitsvorfällen, sondern auch eine erste Bewertung der Situation.
Innerhalb von 72 Stunden muss ein detaillierter Bericht über den Vorfall vorgelegt werden, der Informationen zur Ursache, den betroffenen Systemen und den ergriffenen Maßnahmen enthält. Diese strenge Frist stellt sicher, dass Bedrohungen frühzeitig erkannt und bekämpft werden können, um größere Schäden zu vermeiden.
Strengere Anforderungen an Informationssicherheit in der Automobilbranche
Die NIS-2-Richtlinie erweitert den Sicherheitsfokus auf alle IT- und OT-Systeme (Operational Technology), die im Automobilbereich eingesetzt werden.
Das bedeutet, dass nicht nur klassische IT-Systeme wie Server, Netzwerke und Endgeräte geschützt werden müssen, sondern auch Produktionssysteme. Da moderne Fahrzeuge zunehmend mit dem Internet verbunden sind und Teil eines globalen Netzwerks werden, müssen sie wie andere IT-Systeme vor Cyberangriffen geschützt werden. Sie müssen dafür Sorge tragen, dass alle Systeme auf Schwachstellen geprüft und regelmäßige Sicherheitsupdates durchgeführt werden.
Lieferkettenmanagement bei kritischer Infrastruktur:
Ein zentrales Element der NIS-2-Richtlinie ist die Absicherung der gesamten Lieferkette. Unternehmen in der Automobilbranche arbeiten mit zahlreichen Zulieferern und Dienstleistern zusammen, die Zugang zu sensiblen Daten oder kritischer Infrastruktur haben könnten.
Die Richtlinie verlangt, dass Unternehmen die Sicherheit ihrer Lieferkette aktiv überwachen und sicherstellen, dass alle beteiligten Partner entsprechende Sicherheitsmaßnahmen implementieren. Dies kann durch Verträge, Audits und regelmäßige Sicherheitsbewertungen zur Verbesserung der Cyberhygiene erfolgen. Ein Schwachpunkt bei einem Zulieferer kann potenziell die gesamte Lieferkette gefährden, weshalb dieses Thema von besonderer Bedeutung ist.
Risikomanagement für kritische Infrastruktur - NIS-2 erfordert ständige Überwachung in der Automobilbranche
Als Unternehmen sind sie aufgefordert, ein spezifisches Risikomanagement für kritische Infrastrukturen einzuführen, das auf die besonderen Bedrohungen im Automobilsektor abgestimmt ist.
Risiken in der Lieferkette müssen ständig überwacht und gemanagt werden, um Sicherheitsvorfälle zu vermeiden. Dies bedeutet, dass Risiken für alle IT- und OT-Systeme, die für den Betrieb und die Produktion unerlässlich sind, regelmäßig identifiziert, bewertet und gemindert werden müssen.
Dieses Risikomanagement muss dynamisch sein und sich an die sich ständig ändernden Bedrohungslandschaften anpassen. Unternehmen sind angehalten Prozesse entwickeln, um auf neue Risiken schnell reagieren zu können. Ihre Systeme müssen robust genug sein, um Cyberangriffe abzuwehren.
Zur Compliance-Verantwortung ist eine konsequenten Umsetzung erforderlich
Jedes Unternehmen hat eine verantwortliche Person zu benennen, die für die Einhaltung der NIS-2-Richtlinie zuständig ist. Oft übernimmt diese Rolle ein Chief Information Security Officer (CISO) oder Informationssicherheitsbeauftragter (ISB), der dafür verantwortlich ist, dass die Sicherheitsrichtlinien im gesamten Unternehmen implementiert werden. Oft stehen ihm erfahrene Berater zur Seite.
Sie überwacht auch die Einhaltung der neuen Anforderungen und ist Ansprechpartner für die zuständigen Behörden. Diese Person trägt eine erhebliche Verantwortung, da Verstöße gegen die Direktive zu erheblichen Strafen führen können.
Sanktionen bei Nichteinhaltung von Anforderungen der NIS-2:
Die NIS-2-Richtlinie führt strengere Sanktionen ein, um die Einhaltung der Sicherheitsvorschriften zu gewährleisten. Bei Nichteinhaltung können Bußgelder verhängt werden, die bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens betragen können.
Diese hohen Strafen sollen Firmen motivieren, die Anforderungen ernst zu nehmen und proaktiv Maßnahmen ergreifen, um ihre Systeme zu schützen. Darüber hinaus können Verstöße gegen Sicherheitsstandards zu Reputationsschäden führen, die langfristig schwerwiegende Auswirkungen auf das Geschäft haben könnten, insbesondere in einem stark regulierten Sektor.
2) Besonders wichtige Anforderungen, die neu gegenüber der ISO 27001 sind
Systematische Bedrohungsanalyse als neu Anforderung:
Während ISO 27001 bereits eine Risikobewertung erfordert, geht NIS-2 einen Schritt weiter, indem es eine systematische und regelmäßige Bedrohungsanalyse vorschreibt. Firmen müssen kontinuierlich die Bedrohungslandschaft überwachen und ihre Schutzmaßnahmen an neue Gefahren anpassen.
Diese Analysen müssen dokumentiert und in die Sicherheitsstrategie des Unternehmens integriert werden. Es geht darum, nicht nur bestehende Risiken zu identifizieren, sondern auch mögliche zukünftige Bedrohungen zu antizipieren und proaktive Maßnahmen zu ergreifen.
Verpflichtende Zusammenarbeit mit öffentlicher Verwaltung (Behörden):
Ein wesentlicher Unterschied zur ISO 27001 ist die verpflichtende Zusammenarbeit mit sowie zwischen Unternehmen und Behörden sowie anderen Akteuren innerhalb der Branche.
Die NIS-2-Richtlinie fordert den Austausch von Informationen über Bedrohungen, Vorfälle und Best Practices. Dies soll die kollektive Sicherheit erhöhen und sicherstellen, dass alle betroffenen Unternehmen schnell auf neue Bedrohungen reagieren können. Unternehmen sind angehalten, entsprechende Kommunikationskanäle einzurichten und sich an Initiativen zur Verbesserung der Cybersicherheit beteiligen.
Schutz kritischer Dienste und Systeme:
Die NIS2 Richtlinie verlangt, dass Unternehmen kritische Dienste und Systeme und wichtige Einrichtungen, die von nationalem Interesse sind, besonders schützen. Im Automobilsektor könnten dies beispielsweise Systeme sein, die für die Produktion von sicherheitsrelevanten Komponenten oder für den Betrieb von autonomen Fahrzeugen erforderlich sind und die durch Stärkungsmaßnahmen wie Multi-Faktor-Authentifizierung geschützt werden sollten.
Diese Systeme müssen besonders gesichert und überwacht werden, damit ihre Integrität und Verfügbarkeit nicht durch Cyberangriffe gefährdet wird. Dies erfordert oft zusätzliche Sicherheitsmaßnahmen, die über die Grundanforderungen von ISO 27001 hinausgehen.
Branchenspezifische verpflichtende Awareness-Schulungen für Mitarbeiter
Die NIS-2-Richtlinie betont die Bedeutung von regelmäßigen und spezifischen Schulungen für alle Mitarbeiter. Während ISO 27001 allgemeine Sicherheitsbewusstseinsprogramme vorsieht, verlangt NIS-2, dass diese Schulungen auf die spezifischen Bedrohungen und Herausforderungen der Branche zugeschnitten sind, um die Wirksamkeit zu erhöhen.
Mitarbeiter müssen nicht nur über grundlegende Sicherheitsprinzipien informiert werden, sondern auch über aktuelle Bedrohungen und die richtigen Reaktionsmechanismen bei Vorfällen. Diese Schulungen müssen regelmäßig aktualisiert werden, um den neuesten Entwicklungen in der Cybersicherheitslandschaft Rechnung zu tragen.
Erhöhte Berichtspflichten durch regelmäßige Sicherheitsberichte an Behörden
NIS-2 führt strengere Berichtspflichten ein, die über die Anforderungen von ISO 27001 hinausgehen. Es sind nicht nur Vorfälle an das BSI zu melden, sondern auch regelmäßige Berichte über ihre Sicherheitsmaßnahmen, Risikobewertungen und Bedrohungsanalysen einreichen.
Diese Berichte müssen detailliert sein und den Behörden ermöglichen, die Sicherheitslage des Unternehmens zu bewerten und gegebenenfalls zusätzliche Maßnahmen zu verlangen. Die erhöhte Transparenz soll dazu beitragen, ein umfassendes Verständnis der Cybersicherheitslandschaft zu entwickeln und gezielte Schutzmaßnahmen zu ergreifen.
Erweiterte Sorgfaltspflicht durch Überprüfung der Cybersicherheitsmaßnahmen bei Lieferanten
Die NIS-2 Richtlinie führt eine erweiterte Sorgfaltspflicht ein, die über die Anforderungen von ISO 27001 hinausgeht. Unternehmen sind verpflichtet, nicht nur ihre eigenen Systeme, sondern auch die ihrer Lieferanten und Dienstleister auf Sicherheitsrisiken zu überprüfen.
Dies erfordert eine enge Zusammenarbeit mit allen Beteiligten in der Lieferkette und die Implementierung von Sicherheitsstandards auf allen Ebenen. Unternehmen sind aufgefordert, Sorge zu tragen, dass ihre Partner ähnliche Sicherheitsmaßnahmen umsetzen und dass diese Maßnahmen regelmäßig überprüft werden. Unsere Berater für ISO 27001 helfen Ihnen gerne weiter.
Diese detaillierten Anforderungen verdeutlichen, wie NIS-2 die Cybersicherheitslandschaft für Unternehmen, insbesondere im Automobilsektor, verändert und verstärkt. Eine gründliche Umsetzung dieser Richtlinie ist entscheidend, um den steigenden Bedrohungen in der vernetzten Welt wirksam begegnen zu können.
Die NIS 2 Anforderungen bringen eine neue Verantwortung für das Management und spezifische Maßnahmen pro Branche
1. Erweiterter Anwendungsbereich und Sektorenspezifische Anforderungen
- Erweiterung auf neue Sektoren: Die NIS-2 Richtlinie erweitert den Anwendungsbereich auf mehr Branchen als zuvor. Neu betroffen sind beispielsweise der Gesundheitssektor, digitale Infrastruktur und Hersteller von medizinischen Geräten.
- Sektorenspezifische Anforderungen: Jede Branche hat ihre spezifischen Herausforderungen in der Cybersicherheit. Unternehmen haben branchenspezifische Sicherheitsmaßnahmen zu entwickeln, die auf ihre individuellen Risiken und Bedrohungen zugeschnitten sind.
2. Verantwortlichkeit auf Managementebene
- Haftung und Verantwortung des Managements: Das obere Management trägt die komplette Verantwortung für die Einhaltung der Cybersicherheitsvorschriften. Führungskräfte müssen sicherstellen, dass alle Anforderungen der NIS-2 Richtlinie im Unternehmen umgesetzt werden. Bei Verstößen können sie persönlich zur Rechenschaft gezogen werden.
- Einführung von Governance-Strukturen: Mit der Einführung von klaren Governance-Strukturen legen Unternehmen die Verantwortlichkeiten für Cybersicherheit fest. Dies beinhaltet die Einrichtung von Cybersicherheitsausschüssen und die Benennung von Verantwortlichen für die Implementierung und Überwachung der Sicherheitsmaßnahmen.
3. Maßnahmen zur Erhöhung der Widerstandsfähigkeit
- Resilienzstrategien: Unternehmen sind aufgefordert, Resilienzstrategien zu entwickeln, die über den Schutz der IT-Systeme hinausgehen. Diese Strategien sind so auszulegen, dass das Unternehmen auch nach einem Cyberangriff handlungsfähig bleibt und schnell wieder den Normalbetrieb aufnehmen kann.
- Business Continuity Management (BCM): Unternehmen und Organisationen müssen Pläne entwickeln, die dafür sorgen, dass kritische Geschäftsprozesse nicht nur bei IT-Ausfällen, sondern allen Ausfällen (elektrische, oder andere Ausnahmesituationen) fortgeführt werden können.
4. Technische und organisatorische Maßnahmen
- Verschlüsselung von Daten: Starke Verschlüsselungstechnologien zum Schutz sensibler Daten sowohl im Ruhezustand (Data at Rest) als auch während der Übertragung (Data in Transit) sollen zum Einsatz kommen. Alle kritischen Daten, die in ihren Systemen gespeichert oder übertragen werden, sind durch geeignete Verschlüsselungsmethoden zu sichern. Das reduziert das Risiko von Datenverlusten oder -diebstählen bei Cyberangriffen erheblich.
- Technische Schutzmaßnahmen: Neben allgemeinen IT-Sicherheitsvorkehrungen sind auch spezifische Maßnahmen wie die kontinuierliche Überwachung von Netzwerken und die Implementierung von Intrusion Detection Systemen (IDS) gefordert. Diese Maßnahmen sind notwendig, um potenzielle Bedrohungen frühzeitig zu erkennen und abzuwehren.
- Organisatorische Maßnahmen: Organisatorische Strukturen sind auf schnelle Reaktion und effektive Bewältigung von Sicherheitsvorfällen auszurichten. Dies schließt die Einrichtung von Incident-Response-Teams und die regelmäßige Durchführung von Notfallübungen ein.
5. Internationale Zusammenarbeit und Informationsaustausch
- Kooperation zwischen EU-Staaten: Die neue Direktive fördert die verstärkte Zusammenarbeit zwischen den Mitgliedstaaten der EU. Große Unternehmen, die international aufgestellt sind, müssen sich darauf einstellen, dass sie grenzüberschreitend zusammenarbeiten müssen, um Bedrohungen effektiv zu begegnen.
- Informationsaustausch auf EU-Ebene: Die NIS-2-Richtlinie fordert den aktiven Informationsaustausch über Cyberbedrohungen und Sicherheitsvorfälle auf europäischer Ebene. Die dazu notwendigen Kanäle sind einzurichten, um diesen Austausch zu unterstützen.
6. Erweiterte Dokumentations- und Nachweispflichten
- Erweiterte Nachweispflichten: Betroffene Unternehmen müssen umfassende Dokumentationen führen, die die Einhaltung der NIS-2 Anforderungen belegen. Diese Dokumentationen müssen regelmäßig aktualisiert und bei Bedarf den zuständigen Behörden vorgelegt werden.
- Aufbewahrungsfristen für Dokumentationen: Es gibt strikte Vorgaben zur Aufbewahrung von sicherheitsrelevanten Dokumentationen. Unternehmen sind verantwortlich dafür, dass diese Unterlagen über einen festgelegten Zeitraum aufbewahrt und leicht zugänglich sind.
7. Sicherheitsanforderungen für Cloud-Dienste und Drittanbieter
- Cloud-Sicherheit: Es gibt klare Anforderungen an die Sicherheit von Cloud-Diensten. Genutzte Cloud-Lösungen müssen den höchsten Sicherheitsstandards entsprechen und regelmäßig auf Schwachstellen überprüft werden.
- Verpflichtungen von Drittanbietern: Die Sicherheit der gesamten Lieferkette ist entscheidend. Überprüfen Sie regelmäßig, ob auch Ihre Drittanbieter die strengen Sicherheitsmaßnahmen implementiert haben.
8. Neue Anforderungen an Berichts- und Kommunikationskanäle
- Verfahren für die Meldung von Sicherheitsvorfällen: Betroffene Unternehmen und Organisationen müssen klare und effektive Verfahren zur Meldung von Sicherheitsvorfällen etablieren. Diese Verfahren sind so zu organisieren, dass Sicherheitsvorfälle schnell und vollständig gemeldet werden, um zeitnahe Reaktionen zu ermöglichen.
- Erweiterte Berichterstattung an Aufsichtsbehörden: Neben der Meldepflicht von Vorfällen müssen Unternehmen auch regelmäßige Berichte über den Stand ihrer Cybersicherheitsmaßnahmen und das Risikomanagement an die Aufsichtsbehörden übermitteln.
9. Angleichung und Integration mit anderen Sicherheitsstandards
- Integration mit bestehenden Standards: Unternehmen müssen ihre Sicherheitsmaßnahmen so anpassen, dass sie sowohl die Anforderungen der NIS-2 Richtlinie als auch anderer relevanter Standards wie ISO 27001 oder TISAX® erfüllen. Dies erfordert eine sorgfältige Analyse und Anpassung der bestehenden Prozesse.
- Vereinheitlichung von Sicherheitsprozessen: Unternehmen sollten ihre Cybersicherheitsprozesse vereinheitlichen, um Redundanzen zu vermeiden und die Einhaltung verschiedener Standards zu erleichtern. Dies führt zu effizienteren Sicherheitsoperationen und besserer Compliance.
10. Zukünftige Entwicklungen und Anpassungsfähigkeit
- Anpassung an zukünftige Bedrohungen: Die Bedrohungslandschaft entwickelt sich ständig weiter. Unternehmen müssen dynamische Sicherheitsstrategien entwickeln, die flexibel genug sind, um auf neue Bedrohungen und Technologien zu reagieren.
- Weiterentwicklung der Richtlinie: NIS-2 wird sich möglicherweise weiterentwickeln, um auf zukünftige Herausforderungen zu reagieren. Unternehmen sollten daher kontinuierlich ihre Sicherheitsstrategien überprüfen und an neue rechtliche Vorgaben anpassen.