Risikomanagement nach NIS2
Durch NIS2 sollen Netz- und Informationssysteme, deren Nutzer und andere Personen innerhalb der EU vor Cyber-Bedrohungen geschützt werden. Dazu zählen alle Umstände, Ereignisse oder Handlungen, welche die Verfügbarkeit, Authentizität, Integrität und/oder Vertraulichkeit von Daten und Services beeinträchtigen. Das sind die durch die NIS2-Richtlinie verfolgten Sicherheitsziele.
Je exponierter eine Einrichtung ist, desto eher steht sie im Fokus von Angreifern. Zunehmend erreichen Angreifer über die Lieferkette ihr eigentliches Ziel. Aus diesem guten Grund steht neben dem Sektorbezug und den nun deutlich niedrigeren Schwellwerten zu Mitarbeiteranzahl und Jahresumsatz bzw. Jahresbilanzsumme bei NIS2 jetzt auch die Lieferkette im Fokus. Bei NIS2 wird auf die Auswirkung einer Cyber-Bedrohung geschaut und nur eine minimale Beeinträchtigung der vier genannten Sicherheitsziele zugelassen.
Indikatoren für effektives Risikomanagement
Um wirksames Risikomanagement nach NIS2 zu betreiben, sollten die folgenden Fragen geklärt werden:
- Werden alle genutzten Netz- und Informationssysteme in der Risikoanalyse betrachtet?
- Wird dabei ausdrücklich ein Bezug zu allen vier Sicherheitszielen hergestellt?
- Wird der Einfluss der Lieferkette dabei ausreichend untersucht?
- Wurden belastbare Risikoakzeptanzkriterien festgelegt, die von verschiedenen Personen weitgehend übereinstimmend verstanden werden und zu vergleichbaren Ergebnissen führen?
- Ist sichergestellt, dass am Ende der Risikobehandlung Beeinträchtigungen der vier Sicherheitsziele auf ein vernünftig begründetes Maß beschränkt sind?
- Werden in der Risikoanalyse kontextbezogene und tatsächlich relevante Cyber-Bedrohungen anstelle allgemeiner Gefährdungskataloge adressiert?
- Wird das Risikomanagement durch zentrale Vorgaben aus einer Leitlinie bzw. Richtlinie gesteuert?
- Werden identifizierte Risiken und deren Quellen regelmäßig überprüft?
- Sind die Maßnahmen zur Adressierung bestehender Risiken bereits operativ erfasst und erreichen zielgenau die beabsichtigte Wirkung?
- Lässt sich die Wirksamkeit der umgesetzten Maßnahmen nachvollziehbar belegen?
- Umfassen derartige Belege ausdrücklich alle beteiligten Prozesse?
- Wird bei der Umsetzung durchgängig der aktuelle Stand der Technik eingehalten?
Wenn Sie für Ihre Organisation auf alle diese Fragen mit einem klaren Ja antworten können, gehören Sie zu den wenigen Glückspilzen, die bereits bestens auf NIS2 vorbereitet sind! Bestehen jedoch Zweifel oder Unklarheiten, benötigen Sie mit hoher Wahrscheinlichkeit fachliche Unterstützung. In diesem Fall unterstützt das NIS2-Assessment der SITS.
Auf dem Weg ins neue Cyber-Zeitalter
Im Rahmen der NIS2-Richtlinie lernen Sicherheitsverantwortliche jede Menge neuer Vokabeln, an die sie sich erst noch gewöhnen müssen. Prozesse werden nunmehr als „Cyber-Sicherheitspraxis“ verstanden. Maßnahmen wiederum dienen der „Cyber-Sicherheitshygiene“.
Bei den Prozessen zur NIS2-Konformität ist neben dem Risikomanagement auch ein entsprechend auf NIS2 ausgerichtetes Notfallmanagement, Incident Management, Supply Chain Management und Personalmanagement gefragt. Beschäftigte sind zudem ausdrücklich auf Cyber-Sicherheit zu sensibilisieren. Das schließt Führungskräfte ebenso ein, wie ausführendes Personal.
Die Maßnahmen wiederum sind vor allem an der Prävention gegen Data Leakage ausgerichtet. Benötigt werden Maßnahmen zum Vulnerability und Patch Management, zur Passwortverwaltung, Systemhärtung, Netzwerksegmentierung, Datensicherung und der Abwehr von Gefährdungen der physischen Sicherheit als auch der Versorgung mit Strom und Internet. Auf menschliche sowie technische Fehler muss man vorbereitet sein und bösartige Angriffe erkennen und nach Möglichkeit abwehren können.
Kurzum: Im Rahmen der Cyber-Sicherheit steht für Sicherheitsverantwortliche betroffener Organisationen eine Menge Arbeit an, die auch noch innerhalb kurzer Umsetzungsfristen zu erledigen ist. Und wenn eine Einrichtung das nicht, nicht vollständig oder nicht zielsicher genug schaffen sollte, drohen deutlich höhere Bußgelder als in den bisherigen Richtlinien und unter Umständen sogar die Abberufung von Mitgliedern der Leitungsorgane.
Hinzu kommt: Nationale Gesetzgeber innerhalb der EU dürfen diese Regelungen im Rahmen ihrer nationalen Umsetzung noch weiter verschärfen.
NIS2: Bin ich betroffen?
Unter NIS2 fallen also einerseits Einrichtungen, die aufgrund ihrer Sektorzugehörigkeit nunmehr direkt adressiert werden. Die entsprechende Überprüfung, ob das der Fall ist, ist durchaus anspruchsvoll. Wir haben hierfür eine Online-Check für Sie vorbereitet, der entsprechend Auskunft gibt. Zum anderen fallen aber unter NIS2 auch solche Einrichtungen, die als Teil der Lieferkette tätig sind. Und das wiederum unabhängig von ihrer Größenordnung. Optimistische Schätzungen gehen wenigstens von dem Faktor 10 an neuverpflichteten Organisationen und Unternehmen aus. Die Realität dürfte noch deutlich darüber liegen.