Gute Cybersicherheitsabsichten für 2023 oder gesetzlich vorgeschriebene Cybersicherheitsmaßnahmen?

NIS2, die neue Gesetzgebung zur Cybersicherheit.

Die NIS2-Richtlinie (Netz- und Informationssysteme) wurde im November 2022 als neue europäische Cybersicherheitsrichtlinie verabschiedet und schreibt mehrere Dinge vor, die Organisationen einhalten müssen, um Cyberkriminelle fernzuhalten. Sie haben noch nicht davon gehört? Vielleicht eine gute Sache, um weiterzulesen! Denn die NIS2 beinhaltet auch die administrative Verantwortung und Haftung für natürliche Personen.

Gesetzgebung bis Mitte 2024!

Wie die europäische Datenschutzverordnung GDPR wird auch die europäische NIS2 zu einer verbindlichen Rechtsvorschrift für die unten aufgeführten Organisationen. Die GDPR wurde in den Niederlanden zum AVG, die NIS2 hat auch einen niederländischen Namen: NIB2 (Network and Information Security Directive). Als niederländische Gesetzgebung muss sie in der zweiten Hälfte (September) des Jahres 2024 (21 Monate nach Verabschiedung) umgesetzt werden. Dies gilt übrigens für alle 27 europäischen Mitgliedsstaaten.

Die "2" kommt von der Tatsache, dass es bereits eine NIS gab, nämlich seit 2016. Aus dieser NIS(1) ging 2018 das Gesetz über die Sicherheit der Netze und Informationssysteme (WBNI) hervor, das den Anbietern digitaler Dienste (DSP) und den Anbietern grundlegender Dienste (AED), wie Stromversorgern und Trinkwasserversorgern, eine gesetzliche Meldepflicht und Sicherheitsmaßnahmen auferlegte. Die DSP und AED werden übrigens in der NIS2 nicht mehr erwähnt.

In den letzten Jahren hat sich gezeigt, dass viele Organisationen die so genannten "grundlegenden Maßnahmen", die auch vom Nationalen Zentrum für Cybersicherheit (https://www.ncsc.nl/onderwerpen/basismaatregelen ) genannt werden, nicht ausreichend getroffen haben. Viele Organisationen erwiesen sich als anfällig für Cyberangriffe. Oftmals waren viel mehr Organisationen betroffen als nur die Organisation, die selbst angegriffen wurde, so dass die Auswirkungen oft enorm waren. Die NIS2 sollten die Widerstandsfähigkeit gegenüber Cyberangriffen stärken, indem sie das Sicherheitsniveau erhöhen und die Annahme "grundlegender Maßnahmen" zur Verhinderung von Cyberangriffen und zur Verringerung ihrer Auswirkungen erzwingen.

Bei der NIS2 handelt es sich nicht nur um eine inhaltliche Aktualisierung der NIS, so dass sie nun auch als lokales niederländisches Gesetz (NIB2) und in allen anderen EU-Mitgliedstaaten gelten wird. Eine wichtige Änderung ist auch der Anwendungsbereich. Während sich die NIS bisher vor allem auf die bereits erwähnten DSPs und AEDs konzentrierte, meist große Organisationen, die für kritische Infrastrukturen wichtig sind, wird sie nun auch Organisationen betreffen, die für diese wichtig sind, sowie Organisationen, die sie beliefern. Darüber hinaus spielt die Größe keine Rolle mehr. Es ist also sehr gut möglich, dass auch Ihre Organisation von der NIS2 betroffen ist. Man geht davon aus, dass etwa 160.000 Organisationen in Europa von der NIS2 betroffen sind und etwa 4.500 Organisationen in den Niederlanden.

Darüber hinaus wird die NIS2 sicherstellen, dass innerhalb der Sektoren und der EU-Mitgliedstaaten gemeinsame Anstrengungen unternommen werden, um die Meldung von Zwischenfällen zu verbessern und zu beschleunigen.

Für wen gilt sie dann?

Die NIS2 deckt Organisationen ab, deren Geschäftstätigkeiten unter die "wesentlichen Tätigkeiten" in den folgenden wesentlichen Schlüsselsektoren fallen:

• Energie
• Transport
• Bankwesen
• Infrastruktur FinanzmarktInfrastruktur Finanzmarkt
• Gesundheitswesen
• Trinkwasserversorgung (Abwasser)
• Digitale Infrastruktur
• Verwaltung von IKT-Dienstleistungen (B2B)
• Regierung
• Weltraum

Dazu gehören nun auch Organisationen, die wichtige Aktivitäten anbieten, wie z. B.:

• Anbieter von Plattformen zur sozialen Vernetzung
• Anbieter von digitalen Infrastrukturdiensten (z. B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen und -diensten)
• Anbieter von IKT-Dienstleistungen
• Staatliche Dienstleistungen
• Post- und Kurierdienste
• Herstellung, Produktion und Vertrieb von Chemikalien
• Einrichtungen, die an der Herstellung, Verarbeitung und dem Vertrieb von Lebensmitteln beteiligt sind
• Bestimmte Hersteller (z. B. von medizinischen Geräten, IT- oder elektronischen Komponenten, Maschinen, Kraftfahrzeugen oder anderen Transportmitteln)
• Pharmazeutische Unternehmen
• Forschungseinrichtungen
• Abfallwirtschaft

Wenn Sie ein Dienstleister für diese Tätigkeiten sind und mehr als 50 Mitarbeiter und einen Umsatz von mehr als 10 Millionen haben, dann fallen Sie unter die NIS2. Aber die NIS2 gilt für die gesamte Kette. Wenn Sie also mit einer dieser Organisationen Geschäfte machen, dann fallen Sie auch unter die NIS2 oder es werden Anforderungen an Sie gestellt, und gerade diese Tatsache wird viele Organisationen betreffen!

Staatliche Durchsetzung und Geldbußen

Wie in der Einleitung erwähnt, werden die EU-Mitgliedstaaten die NIS2 in lokale Rechtsvorschriften umsetzen, die bis Mitte 2024 (also bald) in Kraft sein sollten. Die Mitgliedstaaten werden untereinander und mit der EU enger zusammenarbeiten und sollten ein oder mehrere Computer Security Incident Response Teams einrichten. In den Niederlanden sind bereits einige dieser CSIRTS für bestimmte Gruppen aktiv.

Die Nichteinhaltung der NIS2 kann zu Geldbußen von bis zu 2 % des weltweiten Umsatzes und maximal 10 Mio. EUR führen. Das Verfahren wird sich von dem des GDPR-AVG unterscheiden, da dort das Verfahren erst nach einer Datenverletzung in Kraft tritt. Mit der NIS2 wird es auch möglich sein, bei Verdacht auf eine Datenverletzung überprüft zu werden, oder es können auch stichprobenartige Überprüfungen durchgeführt werden. Es ist zu beachten, dass wichtige Einrichtungen einer vollständigen Überwachung unterliegen. Bei wichtigen Stellen wird die Überwachung nachträglich erfolgen. Mit der NIS2 gibt es übrigens eine administrative Verantwortung und Haftung!

Es bleibt abzuwarten, wer für die Durchsetzung der Vorschriften zuständig sein wird und wie. Es kursieren Gerüchte, dass die Telekommunikationsagentur dafür zuständig sein könnte. Diese Regulierungsbehörde wurde mit Wirkung vom 1.1.2023 in Rijksinspectie Digitale Infrastructuur (kurz RDI) umbenannt, vielleicht gibt es also einen Zusammenhang.

Was muss ich beachten?

• Je nachdem, ob Ihre Organisation unter die wesentlichen oder die bedeutenden Tätigkeiten fällt, müssen Sie eine Reihe von Anforderungen erfüllen. Es ist wichtig, das Risikomanagement als Prozess zu verankern, und dementsprechend müssen Risikoanalysen und Risikobehandlungen durchgeführt werden. 
• Meldepflichtig sind Sicherheitsvorfälle, wenn sie die Verfügbarkeit, Integrität oder Vertraulichkeit sowie die Authentizität von Daten betreffen. Wie bei einer Datenschutzverletzung nach dem AVG sollten diese innerhalb von 72 Stunden gemeldet werden. Und sogar innerhalb von 24 Stunden, wenn die Verfügbarkeit beeinträchtigt wurde, und ein vollständiger Vorfallsbericht sollte innerhalb eines Monats eingereicht werden. Darüber hinaus müssen Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs, zum Backup-Management, zur Notfallwiederherstellung und zum Krisenmanagement getroffen werden.
• Sicherheit von Lieferanten und Lieferketten in Bezug auf Lieferanten und Dienstleister;
• Allgemeine Sicherheitsmaßnahmen und Schulungen zur Cybersicherheit (siehe Liste unten)

Wenn Sie mit einer dieser Organisationen Geschäfte machen, die wesentliche und wichtige Tätigkeiten anbieten, müssen Sie auch die allgemeinen Sicherheitsmaßnahmen für Ihr Unternehmen in Ordnung halten. Denn es liegt auf der Hand, dass diese Organisationen auch Anforderungen an die Lieferanten stellen, um nachzuweisen, dass die grundlegenden Mindestmaßnahmen getroffen wurden, die sie selbst auch einhalten müssen. Schließlich legt die NIS2 Sicherheitsanforderungen für die Kette fest, so dass die nachstehende Liste (die teilweise auf den grundlegenden Sicherheitsanforderungen des NCSC basiert) eine ausgezeichnete Grundlage darstellt:

• Ergreifen Sie grundlegende Maßnahmen und Schulungen zur Cybersicherheit.
• Leitlinien und Verfahren für den Einsatz von Verschlüsselung
• Zugangssicherheit, Vermögensverwaltung und HR-Sicherheit
• Vergewissern Sie sich, dass jede Anwendung und jedes System ausreichend Protokolldaten erzeugt, und machen Sie eine genaue Bestandsaufnahme.
• Mehrstufige Authentifizierung, wo nötig
• Bestimmen Sie, wer Zugang zu Ihren Daten und Diensten hat
• Segment Netzwerke
• Verschlüsselung von Speichermedien mit sensiblen Geschäftsinformationen
• Prüfen Sie, welche Geräte und Dienste aus dem Internet erreichbar sind, und schützen Sie sie
• Sichern und testen Sie Ihre Systeme regelmäßig
• Software-Updates installieren
• Schutz vor Viren und anderer Malware
• Bestandsaufnahme der Schwachstellen durch regelmäßige Risikobewertungen und Schwachstellen-Scans.

Die Nachweisbarkeit ist wichtig, die Zertifizierung nach ISO 27001? Oder auf eine andere Art und Weise?

Es gibt (noch) keine NIS2-Zertifizierungen. In der Praxis werden viele wesentliche Anbieter und Anbieter von Schlüsselaktivitäten die Einhaltung von NIS2 nachweisen wollen. In Anbetracht ihrer Verantwortung in der Lieferkette werden sie ihrerseits auch von ihren Zulieferern verlangen, dass sie dies nachweisen können. Es ist zu erwarten, dass eine Norm wie die ISO 27001 für Informationssicherheit zu diesem Zweck häufiger verwendet wird. Schließlich werden die meisten in der NIS2 als Maßnahmen genannten Punkte auch in dieser Norm behandelt, und im Hinblick auf die Nachweisbarkeit wird diese Norm ein einfacher Weg zur NIS2-Nachweisbarkeit sein. Als Zulieferer in der Kette wird es viel einfacher werden, weiterhin mit wesentlichen Anbietern und Anbietern von Schlüsselaktivitäten Geschäfte zu machen.

Schneller Einstieg in die NIS2-Implementierung und Konformität.

Mit unseren integrierten CyberManager-Managementsystemen ISMS, DIMS, CSMS und BCMS (für Informationssicherheit, Datenschutz, Cybersicherheit und Business Continuity) bieten wir sowohl KMUs als auch großen Organisationen eine Lösung, um die oben genannten Themen auf skalierbare Weise zu implementieren und zu verwalten. Ganz gleich, ob Sie ein Anbieter von wesentlichen oder zentralen Aktivitäten im Rahmen der NIS2 oder ein Lieferant mit etwas anderen Anforderungen sind, es gibt immer ein passendes Abonnement für die NIS2 und z. B. die Norm ISO 27001.

In CyberManager ist ein NIS2-Dashboard verfügbar, das mit den in diesem Artikel erwähnten Maßnahmen verknüpft ist, so dass Sie sich zunächst auf die NIS2-Anforderungen konzentrieren und deren Einhaltung nachweisen können. Sie können auch die gleichen Maßnahmen sowie zusätzliche Maßnahmen zur Umsetzung von ISO 27001 verwenden. Auf diese Weise können Sie sowohl NIS2 als auch den ISO 27001-Standard Schritt für Schritt umsetzen.  

Die CyberManager ISMS-Software bietet Standardfunktionen für das Risikomanagement, die Registrierung und Bearbeitung von Sicherheitsvorfällen, Datenschutzverletzungen, Schwachstellen oder anderen Arbeitsabläufen, einschließlich E-Mail-Benachrichtigungen an die Betroffenen, sowie die Verwaltung des Datenschutzes über das DIMS. Darüber hinaus steht ein integrierbares E-Learning-Management-System zur Verfügung, mit dem Schulungen zur Risikosensibilisierung durchgeführt werden können, und Sie können Ihre Geschäftskontinuitätsbewertungen und -planungen über das Geschäftskontinuitäts-Management-System verwalten. Wie bereits erwähnt, sind Dashboards für NIS2 sowie für ISO 27001 verfügbar.

Organisationen, die auch Standards wie NIST CSF, CSIR/BIACS, IEC 62443 oder z.B. die CIS-Kontrollen für ein ISMS oder OT-Security verwenden, können diese auch über die CyberManager-Managementsysteme ISMS oder CSMS steuern.

Um mehr zu erfahren, kontaktieren Sie uns hier oder über unsere Partner. Klicken Sie hier, um mehr über unsere CyberManager ISMS, CSMS, DIMS und BCMS Lösungen zu erfahren.

Quellen:

Die NIS2 ist hier in mehreren Sprachen zu finden:   https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen