NIS-2-Richtlinie

Die erfolgreiche Umsetzung der NIS-2-Richtlinie beginnt mit einer sorgfältigen GAP-Analyse, die als entscheidender erster Schritt dient. Diese Analyse verschafft der Organisation einen vollständigen Überblick über den aktuellen Zustand ihrer Informationssicherheit. Dabei werden Bereiche identifiziert, in denen die Anforderungen der NIS-2-Richtlinie bereits erfüllt sind, sowie jene, in denen Handlungsbedarf besteht. Auf Grundlage dieser Erkenntnisse können gezielte Maßnahmen entwickelt und implementiert werden, um vorhandene Lücken zu schließen.

Wir begleiten dich bei der Durchführung einer GAP-Analyse, die sowohl technische als auch organisatorische Aspekte abdeckt. Unser Expertenteam bietet dir alle notwendigen Ressourcen und entwickelt maßgeschneiderte Strategien, um erkannte Lücken effektiv zu schließen.

Ein Informationssicherheitsmanagementsystem (ISMS) kann sowohl die Durchführung der GAP-Analyse als auch die Schließung der dabei identifizierten Lücken erheblich vereinfachen. Durch den strukturierten Ansatz eines ISMS werden die vorhandenen Sicherheitsmaßnahmen systematisch erfasst und bewertet. Darüber hinaus bietet das ISMS einen klaren Rahmen, um die erkannten Lücken gezielt zu schließen. Es ermöglicht der Organisation, Maßnahmen zur Risikominderung zu implementieren, Verantwortlichkeiten zu definieren und die kontinuierliche Verbesserung der Sicherheitsstrategie sicherzustellen. So wird der gesamte Prozess der NIS-2-Umsetzung durch ein ISMS deutlich optimiert.

Egal ob bei der Einführung oder der Optimierung eines bereits bestehenden Informationssicherheitsmanagementsystems (ISMS) – unsere erfahrenen externen Informationssicherheitsbeauftragten stehen dir zur Seite. Sie helfen dabei, das ISMS exakt auf deine Anforderungen zuzuschneiden und begleiten dich in allen Phasen, von der Auswahl geeigneter Tools und Methoden bis hin zur Implementierung und der kontinuierlichen Verbesserung.

Die Geschäftsführung ist nach den Vorgaben der NIS-2-Richtlinie unmittelbar dafür verantwortlich, Risiken zu erkennen, geeignete Maßnahmen zur Risikobewältigung zu ergreifen und deren Implementierung zu überwachen. Um dieser Pflicht nachzukommen, ist es entscheidend, dass die Leitungsebene grundlegende Kenntnisse in der IT-Sicherheit erwirbt und regelmäßig an Schulungen teilnimmt. Insbesondere sollten diese Schulungen auf die neuesten Bedrohungen und aktuellen Methoden des Risikomanagements ausgerichtet sein, um sicherzustellen, dass die Geschäftsführung stets informierte und wirksame Entscheidungen trifft.

Die MORGENSTERN Academy bietet spannende Webinare an. Diese Schulungen vermitteln praxisnahes Wissen über die neuesten Bedrohungen und Sicherheitsstrategien und helfen der Geschäftsleitung, ihre Verantwortung in der IT-Sicherheit und dem Datenschutz zu erfüllen. Profitiere hierbei auch vom Live-Talk mit unseren Experten.

Zudem sollten auch in anderen Abteilungen klar definierte Verantwortlichkeiten und Zuständigkeiten in Bezug auf die Informationssicherheit bestehen, insbesondere in sicherheitskritischen Bereichen.

Ein weiterer entscheidender Schritt zur Erfüllung der NIS-2-Anforderungen ist die Implementierung eines Risikomanagement-Prozesses. Dieser Prozess umfasst die systematische Identifikation, Bewertung und Priorisierung von Risiken, die den Geschäftsbetrieb potenziell beeinträchtigen könnten.

Durch die präzise Identifizierung von Risiken, die sich aus Schwachstellen und Bedrohungen ergeben, sowie die anschließende Bewertung ihrer möglichen Auswirkungen, gewinnt die Organisation ein klares Verständnis darüber, welche Bereiche besonders schutzbedürftig sind. Auf dieser Grundlage können gezielte Sicherheitsmaßnahmen entwickelt, implementiert und kontinuierlich überwacht werden, um sicherzustellen, dass Risiken effektiv minimiert und aufkommende Bedrohungen frühzeitig adressiert werden.

Die NIS-2-Richtlinie setzt strenge Vorgaben für die Meldung und Berichterstattung von Sicherheitsvorfällen fest. Bei schwerwiegenden Vorfällen ist eine sofortige Benachrichtigung erforderlich, spätestens jedoch innerhalb von 24 Stunden nach der Entdeckung des Vorfalls. Innerhalb der nächsten 72 Stunden muss eine ergänzende Meldung erfolgen, die weiterführende und detaillierte Informationen zum Vorfall liefert. Darüber hinaus ist innerhalb von einem Monat nach dieser Aktualisierung ein Abschlussbericht einzureichen. Dieser Bericht sollte eine umfassende Analyse des Vorfalls beinhalten, einschließlich der genauen Natur der Bedrohung, der getroffenen Gegenmaßnahmen sowie der Maßnahmen, die noch im Gange sind, um den Vorfall vollständig zu bewältigen.

Wir entwickeln gemeinsam mit dir einen umfassenden Incident-Response-Plan, der alle gesetzlichen Meldepflichten abdeckt und sicherstellt, dass klare Meldewege und Kommunikationskanäle definiert werden. Zudem werden Verantwortlichkeiten und Zuständigkeiten bei einem Sicherheitsvorfall eindeutig festgelegt, um eine schnelle und koordinierte Reaktion sicherzustellen.

Bevor ein Sicherheitsvorfall gemeldet werden kann, muss er zunächst erkannt werden – eine der größten Herausforderungen für viele Organisationen, insbesondere für solche ohne spezialisiertes IT-Sicherheitsteam. Angesichts der aktuellen Bedrohungslage und der zunehmenden Raffinesse von Cyberangriffen sind moderne Sicherheitslösungen wie Security Information and Event Management (SIEM), Managed Extended Detection and Response (MXDR) sowie Security Orchestration, Automation, and Response (SOAR) praktisch unverzichtbar geworden. Diese Technologien ermöglichen die Erfassung und Analyse sicherheitsrelevanter Daten aus verschiedenen IT-Infrastrukturquellen in Echtzeit. Sie erkennen verdächtige Aktivitäten sofort und lösen automatische Alarme aus, was die Reaktionszeit signifikant reduziert und somit potenzielle Schäden frühzeitig eingrenzt.

Ob Open-Source-Tools oder lizenzierte SaaS-Lösungen – der Markt bietet zahlreiche Optionen zur Erkennung von Sicherheitsvorfällen. In der Praxis wird das Problem jedoch nicht allein durch die Anschaffung eines solchen Tools gelöst. Diese Lösungen müssen sorgfältig ausgewählt und präzis auf die spezifischen Anforderungen deines Unternehmens konfiguriert werden, um eine optimale Leistung zu gewährleisten und die Anzahl der False-Positive-Alarme zu reduzieren.

Hier setzt die Expertise unserer IT-Security-Consultants an: Wir unterstützen dich nicht nur bei der Auswahl und optimalen Konfiguration der richtigen Tools, sondern stellen auch praxisorientierte Anleitungen bereit, um deren effektiven Einsatz in sicherzustellen.

Sicherheitsmaßnahmen wie Backup, Kryptographie, Netzwerksicherheit und Multifaktor-Authentifizierung sind entscheidende Säulen einer robusten Cybersicherheitsstrategie. Backups gewährleisten, dass wichtige Daten im Falle eines Cyberangriffs wiederhergestellt werden können, wodurch der Geschäftsbetrieb schnell fortgeführt werden kann. Kryptographie spielt eine zentrale Rolle beim Schutz sensibler Informationen, indem sie sicherstellt, dass nur autorisierte Parteien auf vertrauliche Daten zugreifen können. Netzwerksicherheit umfasst eine Vielzahl von Maßnahmen, die darauf abzielen, unerlaubten Zugriff auf Netzwerke zu verhindern und den Datenverkehr durch Firewalls, Intrusion Detection Systeme (IDS) und andere Schutzmechanismen zu überwachen. Zudem stellt die Multifaktor-Authentifizierung (MFA) eine zusätzliche Sicherheitsebene dar, die sicherstellt, dass Benutzer über mehrere Authentifizierungsfaktoren identifiziert werden, was das Risiko von unbefugtem Zugriff erheblich minimiert.

Ein zentraler Bestandteil der NIS-2-Richtlinie ist die Förderung von Cyberhygiene, bei der der menschliche Faktor als wichtiger Teil der Sicherheitsstrategie in den Vordergrund rückt. Cyberhygiene umfasst einfache, aber äußerst wirkungsvolle Routinen, wie die Verwendung sicherer Passwörter, das regelmäßige Einspielen von Sicherheitsupdates und den sicheren Umgang mit E-Mails und anderen Kommunikationsmitteln. Diese Praktiken tragen entscheidend dazu bei, alltägliche Sicherheitsrisiken zu minimieren und können durch regelmäßige IT-Sicherheitsschulungen vermittelt und kontinuierlich gefestigt werden.

Traditionelle Schulungsansätze wie Seminare, Workshops und Weiterbildungen für ausgewählte Mitarbeitende bleiben nach wie vor wichtig, sind jedoch in der Praxis häufig schwer für alle umzusetzen – besonders im Hinblick auf zeitliche und wirtschaftliche Faktoren. Daher bieten wir mit der MORGENSTERN E-Learning-Plattform eine flexible und praxisnahe Alternative an.

Unsere E-Learning-Lösung bietet dir maßgeschneiderte Lerninhalte, die jederzeit und von überall aus abgerufen werden können. Dank der Flexibilität dieser Plattform passen wir die Inhalte kontinuierlich an neue Cybersicherheitsbedrohungen und -strategien an. Gleichzeitig ermöglicht es dir die Plattform, den Lernfortschritt deiner Mitarbeitenden zu überwachen, was für den Aufbau einer umfassenden und nachhaltigen Sicherheitskultur von großer Bedeutung ist.

Sicherheitsrisiken entstehen insbesondere dann, wenn externe Bedrohungen auf bestehende Schwachstellen treffen. Da sich externe Bedrohungen nicht vollständig verhindern lassen, liegt der Schlüssel in der rechtzeitigen Erkennung und Behebung dieser Schwachstellen. Eine effektive Sicherheitsstrategie erfordert daher regelmäßige Sicherheitsprüfungen. Der Fokus sollte dabei nicht nur auf technischen Aspekten liegen – auch organisatorische Prozesse sowie das sicherheitsbewusste Verhalten der Mitarbeitenden müssen umfassend berücksichtigt werden, um einen ganzheitlichen Schutz zu gewährleisten.

Um unbekannte Schwachstellen frühzeitig zu identifizieren und zu beheben, bevor es Cyberkriminellen gelingt, diese auszunutzen, ist ein Penetrationstest eine äußerst effektive Methode. Dabei wird ein realer Angriff simuliert, bei dem wir genauso vorgehen wie ein Cyberkrimineller – nur professioneller und mit dem Ziel, die Cybersicherheit zu verbessern. Durch den Pentest prüfen wir auch die Robustheit der bereits implementierten IT-Sicherheitsmaßnahmen und stellen sicher, dass diese – wie in der NIS-2-Richtlinie vorgeschrieben – dem aktuellen Stand der Technik entsprechen.

Zusätzlich bieten wir Phishing-Simulationen an, um das Sicherheitsbewusstsein und Verhalten deiner Mitarbeitenden zu testen. Dabei nutzen wir verschiedene Schwierigkeitsstufen, um zu sehen, wie gut Phishing-Angriffe erkannt werden. Ein besonderer Fokus liegt dabei auf dem Datenschutz: Die Ergebnisse werden ausschließlich anonymisiert ausgewertet, um die Privatsphäre der Mitarbeitenden zu schützen.

In der heutigen vernetzten Geschäftswelt sind Unternehmen zunehmend auf Partner und Dienstleister angewiesen, wobei jedes schwache Glied in der Lieferkette ein erhebliches Risiko für die gesamte Kette darstellt. Supply-Chain-Attacken, also gezielte Angriffe auf die Lieferkette, haben in den letzten Jahren stark zugenommen und werden laut der ENISA bis 2030 zu den größten Bedrohungen im Bereich der Cybersicherheit zählen. Daher reicht es nicht mehr aus, nur die eigene IT-Infrastruktur abzusichern, um sich vor Cyberangriffen zu schützen. Unternehmen müssen vielmehr sicherstellen, dass auch ihre Partner und Lieferanten robuste Sicherheitsstandards einhalten, um die gesamte Lieferkette vor potenziellen Bedrohungen zu schützen.

Unsere erfahrenen Rechtsberater überprüfen gemeinsam mit dir die vertraglichen Vereinbarungen mit deinen Dienstleistern und Lieferanten. So stellen wir sicher, dass alle relevanten Sicherheitsanforderungen klar definiert und eingehalten werden.

Die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-2) soll ein hohes gemeinsames Niveau der Cybersicherheit in der Europäischen Union gewährleisten. Sie legt einen Mindeststandard für die Cybersicherheit fest, wobei es den Mitgliedstaaten freisteht, strengere Vorschriften zu erlassen, um ihre nationale Cybersicherheitslage weiter zu verbessern.

Die NIS-2-Richtlinie ist auf EU-Ebene seit 2023 in Kraft. Die Mitgliedstaaten sind verpflichtet, sie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland liegt bereits ein Regierungsentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vor. Es wird jedoch erwartet, dass dieses Gesetz erst Ende 2024 in Kraft treten wird. Dennoch sollten Unternehmen die Vorgaben der NIS-2-Richtlinie so schnell wie möglich umsetzen, um mögliche Risiken zu minimieren.

Die NIS-2-Richtlinie betrifft sowohl öffentliche als auch private Einrichtungen in verschiedenen Sektoren mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von mindestens 10 Millionen Euro. Darüber hinaus gelten die Regelungen für bestimmte Einrichtungen unabhängig von ihrer Größe, darunter Teile der digitalen Infrastruktur, die öffentliche Verwaltung, Anbieter öffentlicher Telekommunikationsdienste und Betreiber öffentlicher Telekommunikationsnetze sowie Betreiber kritischer Infrastrukturen (KRITIS).

Eine Benachrichtigung über die Betroffenheit erfolgt weder durch das BSI noch durch eine andere Stelle. Organisationen müssen also eigenständig ihre Betroffenheit im Hinblick auf NIS-2 prüfen. Zu beachten ist auch die Registrierungspflicht nach §33, Abs. 1 NIS2UmsuCG. Diese fordert, dass betroffene Organisationen sich (über eine noch zu definierende Registrierungsmöglichkeit) proaktiv registrieren müssen.
 
Mit unserem MORGENSTERN NIS-2 Quick-Check erhältst du eine erste Einschätzung, ob die NIS-2-Richtlinie für deine Organisation relevant sein könnte.

Bei Betreibern kritischer Anlagen muss die Umsetzung der Maßnahmen alle drei Jahre nachgewiesen werden. Es müssen also proaktiv Nachweise geliefert werden, z.B. in Form von Sicherheitsaudits oder Zertifizierungen. Besonders wichtige und wichtige Einrichtungen können gem. §§ 61 und 62 NIS2UmsuCG „stichprobenartig“ bzw. anlassbezogen durch das BSI überprüft werden. Es erfolgt allerdings keine regelmäßige Überprüfung in festen Zeitabständen. Das BSI kann allerdings in beiden Fällen Nachbesserung verlangen und Nachweise über die Mängelbeseitigung verlangen.

Das NIS2UmsuCG definiert in §65 konkrete Strafen bzw. Folgen bei Nichteinhaltung der Vorgaben. Genannt werden dort u.a. Bußgelder bis zu 10 Millionen EURO oder 2% des weltweiten Umsatzes. Tatbestände sind nahezu alle Verstöße gegen die Vorschriften des Gesetzes, z.B. die Nichteinhaltung der Registrierungspflicht, die nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig durchgeführte Maßnahme nach § 30 oder die Nichteinhaltung von Meldepflichten oder die verspätete Meldung.

Die Ernennung eines Informationssicherheitsbeauftragten wird in NIS-2 nicht explizit gefordert. Betrachtet man jedoch den Umfang der zu erfüllenden Anforderungen, so ist es für viele Organisationen sinnvoll, jemanden als Koordinator/Beauftragten zu benennen, der die entsprechenden zeitlichen Ressourcen aufbringen kann und auch das notwendige Know-how mitbringt.