„Jedes Unternehmen sollte sich eingehend und frühzeitig mit NIS-2 auseinandersetzen“

Dr. Matthias Zuchowski: Am Anfang steht die Registrierung für betroffene Unternehmen bei einer Meldestelle. Wobei auch der Schritt davor wichtig ist: Nämlich die Einschätzung, ob ein Unternehmen der NIS-2 überhaupt unterliegt. Die Meldestelle beim BSI muss allerdings noch eingerichtet werden.

Danach sollten sich Verantwortliche sich die insgesamt zehn Punkte der Risikomanagementmaßnahmen anschauen und durcharbeiten.
Der erste Punkt: Konzepte in Bezug auf Risikoanalyse und Sicherheit für Informationssysteme. Das ist nichts anderes als die Aufforderung, ein Information Security Management System (ISMS) einzuführen und dann aber auch zu leben und die notwendigen Konsequenzen daraus zu ziehen. Dann geht es weiter zur Bewältigung von Sicherheitsvorfällen, also Incident Response. Weil vielen Firmen hier das Fachpersonal und oder das Budget fehlt, sollten sie über einen Incident Response Retainer nachdenken. Da ist eine Zusammenarbeit mit einem Cyber-Defense-Unternehmen zu empfehlen, um für den Worst Case gerüstet zu sein. Punkt drei ist Business Continuity Management, also die Aufrechterhaltung des Betriebs. Dazu zählen aber auch solche Punkte wie Back-up-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement.

Ein aufwändiges Thema ist Punkt vier, die Sicherheit in der Lieferkette. Hier müssen Verantwortliche erst einmal klären, was denn überhaupt ihre Lieferkette umfasst. Denn manche Sachen sind dabei offensichtlich, wenn Produkte oder Dienstleistungen eingekauft werden, aber auch Open-Source-Software fällt unter die Lieferkette. Und NIS-2 verlangt die Absicherung der gesamten Lieferkette hinsichtlich der Netz- und Informationssysteme und der physischen Umwelt dieser Systeme.

Dann folgt das Thema „Sicherheitsmaßnahmen bei Entwicklung, Erwerb und Wartung von informationstechnischen Systemen“. Eingeschlossen ist dabei auch das Management und Offenlegen von Schwachstellen, kurz gesagt Schwachstellen-Management.

An sechster Stelle brauchen Unternehmen zudem Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen sowie unter siebtens grundlegende Verfahren im Bereich der Cyberhygiene und Schulung von Mitarbeitenden. Gemeint sind damit Awareness Trainings für Angestellte, um deren Bewusstsein für Cybergefahren zu verbessern.

Die letzten drei Punkte: Konzepte und Verfahren zum Einsatz von Kryptografie und Verschlüsselungen und Sicherheit des Personals, also Zugangskontrollen sowie Management von Anlagensicherheit und – last but not least – Multifaktor-Authentifizierung.

Dr. Matthias Zuchowski: Die genannten Themenbereiche müssen Firmen geeignet, verhältnismäßig und wirksam umsetzen. (Alle Informationen zu NIS-2 haben wir hier zusammengestellt.) Eine Dabei sollten sich Verantwortliche am Stand der Technik orientieren und auch bestehende Normen wie die schon genannten ISO 27001 berücksichtigen. Im Klartext heißt das: Wenn ein Unternehmen bereits ISO 27001 zertifiziert ist, dann hat es im Bereich Risikomanagement nach meiner Einschätzung schon die Vorgaben der NIS-2 weitestgehend erfüllt, sofern die Verantwortlichen den aktuellen Stand der Technik einhalten. Dazu gehört beispielsweise der Einsatz von Endpoint-Detection-and-Response-Systemen. Aber insgesamt geht NIS-2 über die ISO hinaus. Da besteht weiterer Handlungsbedarf. Und zwar insbesondere bei der Vorstandsverantwortung und bei den Meldepflichten.

Auch zu den Kosten macht die NIS-2 Angaben: Verantwortliche sollten sich bei den Umsetzungskosten an den Risiken und der Größe der Einrichtung orientieren. Wichtig ist in diesem Zusammenhang, dass Unternehmen nicht alles, was möglich ist, umsetzen müssen, wenn gute Argumente dagegensprechen.

Dr. Matthias Zuchowski: Wer ganz am Anfang steht, sollte zuerst ein Projekt zum Thema NIS-2 aufsetzen. Für die Projektgruppe braucht es die Geschäftsleitung, den IT-Verantwortlichen sowie den IT-Sicherheitsverantwortlichen und alle Personen, die in dem Kontext relevant sind. Und das sollte besser heute als morgen passieren, denn die Anforderungen sind so hoch, das kann keine Organisation nebenbei stemmen. Bei einzelnen Themen dauert das meiner Einschätzung nach mindestens zwölf Monate. Und wer jetzt bei Null startet, braucht bestimmt noch länger.

Diese Projektgruppe sollte zunächst ein Cybersicherheitstraining absolvieren. Damit zunächst ein gemeinsames Grundverständnis für IT-Sicherheit entsteht. Denn ohne dieses Wissen kann die Projektgruppe ihre Aufgabe nicht erfüllen. Wer dieses Grundverständnis bereits hat, kann direkt zu Schritt zwei übergehen.

Schritt zwei: Der IT-Verantwortliche muss der Geschäftsführung mitteilen, dass für die Anforderungen aus NIS-2 Vorstände persönlich haftbar gemacht werden. Verzichtsvereinbarungen sind laut deutschem Gesetzesentwurf, der hier über die europäische Vorgabe hinaus geht, übrigens unwirksam. Eine Directors-and-Officers-Versicherung, also eine Haftpflicht- und Rechtsschutzversicherung für Geschäftsführer, Manager & alle, die Entscheidungen treffen, dürfte aber weiter möglich sein – wenn die denn zahlt. Das Gesetz verpflichtet also Vorstände und Geschäftsführende, sich persönlich um die Dinge zu kümmern. Auch eine Delegation innerhalb des Vorstandes ist nicht vollständig möglich, sodass gilt: Mitgefangen mitgehangen. Die NIS-2 nimmt da also alle auf der Chefetage in die Pflicht.

Innerhalb der NIS-2-Umsetzung braucht es ein eigenes ISMS-Projekt. Hier geht es um die Einführung der ISO 27001. Dafür braucht es aber in der Regel externe Unterstützung durch versierte Beratungsfirmen. Aber dafür erhalten die Unternehmen auf Basis einer fundierten Analyse Klarheit, was zu tun ist.

Der nächste Schritt betrifft die Sicherheit der Lieferkette: Wer seine Lieferkette absichern will, muss diese erst einmal sortieren und sich einen Überblick verschaffen, wie die überhaupt aussieht. Das alleine nimmt schon Zeit in Anspruch. Der Einkauf kann da sicherlich helfen, denn die wickeln schließlich die Rechnungen für alle Lieferungen ab. Aber nicht alles muss man bezahlen, wie etwa viele Open-Source-Produkte. Aber die Basis der Lieferanten bietet eine gute Übersicht zur Absicherung der Lieferkette. Hier sind Zertifikate der Lieferanten eine Option unter mehreren, aber für das Unternehmen eine recht bequeme. Allerdings muss ich als Verantwortlicher diesen Status immer wieder prüfen. Das ist keine einmalige Sache. Wer Open Source nutzt, muss kreativ werden. Letztlich ist das auch eine Frage, wie kritisch das ist. Wer seine gesamte Buchhaltung mit Open-Source-Software macht, trägt sicherlich ein größeres Risiko.

Schritt vier: Cybersicherheitszertifizierungen. Hier ist zuerst die Frage zu klären, ob das für ein Unternehmen als Anbieter oder als Käufer relevant ist. Also: Stelle ich oder mein Unternehmen ein Produkt her, was sicherheitszertifiziert sein muss oder habe ich die Pflicht, nur noch Produkte zu kaufen, die entsprechend zertifiziert sind? Der Haken an der Sache: Es kann Vorgaben geben, dass Unternehmen nur zertifizierte Produkte aus einer bestimmten Kategorie einkaufen dürfen, oder dass dessen Kunden nur zertifizierte Produkte kaufen dürfen. Allerdings ist hier noch nicht das letzte Wort gesprochen. Die entsprechenden Rechtsverordnungen fehlen aktuell, sodass noch unklar ist, welche Produkte denn betroffen sein werden. Der bislang einzige mir bekannte Beispielfall umfasst öffentliche 5G-Mobilfunknetze, auch bekannt als Lex Huawei. Dort eingesetzte Komponenten müssen zertifiziert sein. Ich habe aber deutliche Zweifel daran, dass die Liste auch in Zukunft so kurz bleiben wird. Nichtsdestotrotz sollte sich der Einkauf darauf vorbereiten und Unternehmen sollten vorab Schritte prüfen, was sie tun müssten, um eine entsprechende Sicherheitszertifizierung für ihre Produkte zu erhalten. Wenn also meine Kunden meine Produkte wegen eines fehlenden Zertifikats nicht mehr kaufen dürfen, ist das ein ernsthaftes wirtschaftliches Problem.

Dr. Matthias Zuchowski: Aus meiner Sicht ist zurzeit das Zertifizierungsschema der ENISA, der Agentur der Europäischen Union für Cybersicherheit, zu den Common Criteria am weitesten fortgeschritten. Common Criteria ist auch eines der Schemata, die für 5G-Mobilfunknetze grundsätzlich möglich sind. Ich würde also Zertifizierungen darüber versuchen. Darüber hinaus empfehle ich Unternehmen, einen Blick in den Cyber Resilience Act und die dortige Kategorisierung zu werfen. Das bietet aus meiner Sicht eine Annäherung daran, wer von diesen Zertifizierungen betroffen sein könnte. Ich gehe davon aus, dass viele Firmen hier auf externe Unterstützung zurückgreifen müssen. Und im Budget sollten sie das auch einplanen – das gibt es nicht zum Nulltarif. Aber auch Käufer von Produkten, die demnächst zertifiziert sein müssen, sollten sich auf steigende Kosten einstellen, wenn die verkaufenden Unternehmen die Ausgaben für die Zertifizierung umlegen und an die Kunden weitergeben.

Dr. Matthias Zuchowski: Ein weiteres Thema ist der Meldeprozess in Bezug auf IT-Notfälle. Hier empfehle ich ein Gespräch mit dem Datenschutzbeauftragten über deren Meldeprozess. Das ist ein ideales Best-Practice-Beispiel, an dem sich die Projektgruppe orientieren kann.

Als nächstes sieht NIS-2 ein Austauschformat vor – auch das ist aber gerade noch in der weiteren Planung. Es handelt sich konkret um eine Plattform, auf der sich Firmen rund um Cybersicherheit austauschen können. Organisiert wird das Ganze vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik.

Und der letzte Punkt: Während des ISMS-Projektes sollte ein Unternehmen die Chance nutzen, sein Risikomanagement insgesamt zu verbessern. Da empfehle ich, Best-Practices heranzuziehen, beispielsweise vom Teletrust. Hier sollten Unternehmen ihren Ist-Zustand mit dem Soll-Zustand abgleichen und entsprechende Maßnahmen einleiten. Das kann auch recht umfangreich werden.

Ich kann nur jedem Unternehmen raten, sich eingehend und frühzeitig mit NIS-2 auseinanderzusetzen. Denn das braucht viel Zeit und leider schlafen Cyberkriminelle auch nicht. Sie nutzen jede Gelegenheit, um ein Unternehmen anzugreifen.