Es geht um die (Cyber-)Sicherheit Europas

Die NIS2-Richtlinie, die im Dezember 2022 verabschiedet wurde und bis Oktober 2024 in nationales Recht umgesetzt werden muss, verfolgt ehrgeizige Ziele: Sie soll die Cybersicherheitslandschaft der Europäischen Union grundlegend verbessern und die Widerstandsfähigkeit gegen Cyberangriffe stärken. Hintergrund ist die verschärfte Sicherheitslage nicht zuletzt infolge des Krieges gegen die Ukraine. Die Bundesregierung sieht dabei in Ransomware-Angriffen, der Ausnutzung von Schwachstellen, offenen oder falsch konfigurierten Online-Server sowie Abhängigkeiten von der IT-Lieferkette inklusive Supply-Chain-Angriffen die größten Bedrohungen. Hinzu kommen noch Hacktivismus etwa mittels Distributed-Denial-of-Service (DDoS)-Angriffen sowie Kollateralschäden in Folge von Cyber-Sabotage im Rahmen des Krieges. Im Referentenentwurf des Bundesministeriums des Innern und für Heimat vom Mai 2024 heißt es dazu: „Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren der digitalen Welt ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft.“

Um dies zu erreichen, setzt die Richtlinie auf einen mehrstufigen Ansatz: So wird der Geltungsbereich deutlich ausgeweitet. Neben den bereits in der NIS1-Richtlinie erfassten kritischen Sektoren wie Energie, Verkehr, Wasserversorgung und Abfallwirtschaft, fallen jetzt auch Sektoren wie das Gesundheitswesen, der Lebensmittelbereich, Post- und Telekommunikationsdienste sowie Digitalunternehmen unter die Regelung. Zudem werden die Sicherheitsanforderungen verschärft und dabei insbesondere das Risikomanagement gestärkt. Unternehmen werden verpflichtet, ein umfassendes und proaktives Risikomanagement zu implementieren. Dazu gehört die Identifizierung potenzieller Cyberbedrohungen, die Bewertung von Risiken und die Umsetzung geeigneter Schutzmaßnahmen. Darüber hinaus müssen sie Schwachstellen aktiv suchen und beheben, Sicherheitsvorfälle melden und Incident-Response-Pläne erstellen. Unternehmen in den betroffenen Sektoren müssen außerdem Cybersicherheitsvorfälle an die zuständigen Behörden melden und regelmäßig über ihre Risikomanagementprozesse und Sicherheitsmaßnahmen berichten. Dabei wird die Geschäftsführung stärker in die Verantwortung genommen und haftet für die Einhaltung der Cybersicherheitsvorschriften.

Der aktuelle Stand

Der österreichische Entwurf ist seit April in Begutachtung. Im österreichischen Innenministerium ist darüber hinaus eine Servicestelle für Cybersicherheit eingerichtet worden. Hier erklären auch Experten in kurzen Videos die wesentlichen Fragen und Aspekte des neuen Gesetzes. In Deutschland wurde im Mai der Gesetzgebungsprozess durch den Referentenentwurf in Gang gesetzt. Die Zeit läuft für alle EU-Mitgliedstaaten: Bis Oktober muss jedes Land sein NIS2-Gesetz verabschiedet haben. Bis dahin sind zahlreiche Punkte noch nicht final, die Richtung und die Zielsetzung sind jedoch klar und werden sich nicht ändern. Die wesentliche Frage aus Unternehmenssicht wird dabei vor allem sein: Bin ich betroffen? Ist das Unternehmen in einem der 18 kritischen Sektoren tätig und verfügt über mindestens 50 Mitarbeitende und einen Jahresumsatz von 10 Millionen Euro (oder einer Jahresbilanzsumme von 5 Millionen Euro) gilt die NIS2. Eigentlich. Denn noch sind die Details nicht ganz klar und wie jede Regel wird auch dieses Gesetz Ausnahmen ermöglichen. Im Zweifelsfall sollte man sich an seinen Verband bzw. das BSI wenden. Dies ist umso wichtiger, da sich die betroffenen Unternehmen registrieren müssen – bei einer Meldestelle, die noch vom BSI eingerichtet werden muss. Je nach Unternehmensgröße und Branche ist es also mehr oder weniger wahrscheinlich, dass man unter die NIS2 fällt. Allerdings ist es ganz abgesehen davon wichtig und empfehlenswert, sich an den Vorgaben zu orientieren. Cybersicherheit ist ja kein Selbstzweck, um gesetzliche Anforderungen zu erfüllen, sondern letztlich ein entscheidender Faktor für den wirtschaftlichen Erfolg.

Bei KRITIS nicht nur an die reine Infrastruktur denken

Jedoch zu Anfang: Es gibt kein NIS2-Tool, das alle Anforderungen der Richtline adressiert. Es kommt vielmehr auf die kluge Orchestrierung der bisher eingesetzten Tools sowie die intelligente Ergänzung, möglicherweise auch Ersetzung, durch neue Lösungen. Sieht man von rein zerstörerischen Hacktivismus ab, haben nahezu alle Angriffe ein Ziel: die Daten, die wertvollsten Assets jedes Unternehmens. Entsprechend ist jetzt vielleicht der Moment gekommen, seine traditionelle Sicht auf die Cybersecurity mit einem Schwerpunkt auf das Netzwerk und die Endpunkte etwas zu korrigieren und die Daten ins Zentrum der Sicherheitsstrategie zu stellen. Betrachtet man die Security daten-zentriert, so lassen sich die Anforderungen folgendermaßen adressieren:

• Konzepte in Bezug auf die Risikoanalyse und Bewertung der Wirksamkeit von Risikomanagementmaßnahmen: Sämtliche Dateien sollten regelmäßig in allen Datenspeichern (sowohl lokal als auch in der Cloud) gescannt und klassifiziert werden. Hierbei können integrierte Regeln und Muster bei der Identifikation sensitiver Inhalte wie personenbezogene Daten, Gesundheitsinformationen, geistiges Eigentum usw. helfen. Anhand dieser Ergebnisse lassen sich Entwicklungen insbesondere im Hinblick auf die Exposition durch zu weit gefasste Zugriffsrechte darstellen, die nötigen Aktivitäten (automatisiert) anstoßen und entsprechende Erfolge nachweisen.
• Bewältigung von Sicherheitsvorfällen: Idealerweise sollten Sicherheitsverantwortliche über eine zentrale Ansicht verfügen, die sie bei auffälligen Verhalten warnt und (automatisiert) Abhilfemaßnahmen einleitet. So können Dashboards Risiken (wo kritische Daten exponiert, gefährdet oder außerhalb der Richtlinien sind) visualisieren, um Abhilfemaßnahmen für die riskantesten Bereiche zu priorisieren. Angesichts immer ausgefeilteren Angriffen bei gleichzeitigem Fachkräftemangel sollten Unternehmen zudem Managed Security Services oder externe SOCs in Betracht ziehen. So gibt es mittlerweile auch spezielle Managed Data Detection and Response (MDDR)-Angebote, bei denen externe Sicherheitsteams rund um die Uhr die Datensicherheit des Unternehmens gewährleisten und sofort auf Bedrohungen reagieren.
• Sicherheit der Lieferkette: Sicherheitsverantwortliche müssen in der Lage sein, die wichtigsten Risiken, die von Drittanbieter-Applikationen ausgehen, zentral zu überwachen. Eine intelligente Lösung muss in der Lage sein, ungewöhnliche oder risikoreiche Aktivitäten in diesem Zusammenhang zu erkennen und in Echtzeit Warnungen auszugeben. Gleichzeitig müssen die Berechtigungen dieser Anwendungen kontinuierlich automatisiert überprüft und der Zugriff auf das nötige Minimum reduziert werden.

Die Zeit läuft nicht nur für den Gesetzgeber, sondern vor allem für die Unternehmen. Sechs Monate nach Inkrafttreten müssen die Maßnahmen umgesetzt sein, da sonst Bußgelder drohen. Und auch wenn der April 2025 noch weit weg erscheint, wird er schneller kommen, als man denkt. Deshalb müssen sich Unternehmen schon jetzt mit der NIS2 befassen und die notwendigen Schritte zur Umsetzung der geforderten Maßnahmen einleiten. Die Einhaltung geht dabei weit über pure Compliance hinaus: Durch die verbesserte Cybersecurity profitieren letztlich die Unternehmen, ihre Kunden und Partner. Ein sicherer IT-Betrieb ist die Grundlage für den Geschäftserfolg in nahezu jeder Branche. Insofern ist die Cybersicherheit längst kein Bremsklotz mehr, sondern ein echter Business-Enabler.