Im Jahr 2016 wurde die NIS-Richtlinie (Network-and-Information-Security-Richtlinie) eingeführt, die für alle Sektoren der kritischen Infrastruktur gilt und strikte Vorgaben zu Cybersecurity macht. Anfang dieses Jahres überarbeitete die EU diese Richtlinie und ersetzte sie durch eine zweite, verschärfte Fassung mit der Bezeichnung NIS 2. Ein Ziel davon war es, das der Kreis der von der Richtlinie betroffenen Unternehmen und Organisationen deutlich ausgeweitet wird und in die Kategorien „wesentliche Sektoren“ (hohe Kritikalität) und „wichtige Sektoren“ (sonstige kritische Sektoren) eingeteilt wurden. Doch damit nicht genug. Man erweiterte zudem die wesentlichen Sektoren, die bereits zum Teil in NIS definiert sind, dabei stark, die „wichtigen Sektoren“ für NIS 2 definierte sie gänzlich neu. Die „UBI“ (Unternehmen im besonderen öffentlichen Interesse) kamen neu dazu. Allerdings umfasst die NIS2-Richtlinie nochmal mehr Unternehmen.
Die NIS2-Richtlinie verlangt nicht nur mehr Maßnahmen als der Vorgänger, sondern übersteigt in ihren Anforderungen ebenfalls die Vorgaben des deutschen IT-Sicherheitsgesetzes 2.0. Die Version 3.0 ist bereits in Arbeit. Die zentrale Anforderung der EU-Richtlinie ist das Einbeziehen der IT-Sicherheit in die globale Unternehmenssteuerung. Ein stringentes Risikomanagement, Sensibilisierung und Schulung von Mitarbeitern, Regelungen zum Melden von Vorfällen, sowie das Vorbehalten von Notfallplänen für den Ernstfall werden für die betroffenen Unternehmen notwendig werden. Verlangt werden zudem eine systematische Datensicherung, stichhaltige Konzepte für die Zugriffskontrolle, ein sicheres Management von Schwachstellen und die Verschlüsselung von Informationen.
Um den neuen Richtlinien gerecht zu werden, müssen Unternehmen sich mit den verschiedenen Aspekten der Richtlinie vertraut machen und ihre bestehenden Sicherheitsmaßnahmen überprüfen und verbessern. Dazu gehört beispielsweise die Etablierung eins IT-Risk-Management und einer Risikobewert zur Ermittlung und Bewertung von potenziellen Angriffen und möglichen IT-Sicherheitsrisiken. Ein wichtiger Schritt ist außerdem die Implementierung eines kontinuierlichen IT-Sicherheitsprozess , der dazu beiträgt, die Sicherheitsmaßnahmen effektiv und regelmäßig zu überprüfen und auf dem neuesten Stand zu halten. Die Richtlinie schreibt auch vor, dass die Ergebnisse dieser Sicherheitsüberprüfungen an die zuständigen Behörden gemeldet werden müssen. Darüber hinaus müssen Unternehmen ihre Mitarbeiter über die neue Richtlinie informieren, damit sie die neuen Sicherheitsmaßnahmen adäquat umsetzen können.
2 wesentliche Punkte fallen dabei auf:
- Die bisher zu berücksichtigenden Schwellenwerte werden außer Kraft gesetzt. Die Frage bin ich Kritis-Betreiber im Sinner der Kritis-Verordnung wird an 2 Punkten entschieden. Mehr als 50 Mitarbeiter und mehr als 10 Mio.€ Umsatz.
- Das Management ist in der Haftung (war es aber bisher auch schon). IT-Sicherheit ist damit zur Chefsache geworden.
Geduld war gestern!