NIS2 Archive - SITS

NIS2-Konformität durch Umsetzung von ISO/IEC 27001:2022

NIS2 stellt zahlreiche Anforderungen zur Beherrschung von Cyber-Risiken. Dies dient dem Schutz von Netz- und Informationssystemen, deren Nutzern und anderen Personen innerhalb der EU vor Umständen, Ereignissen oder Handlungen, die Verfügbarkeit, Authentizität, Integrität und/oder Vertraulichkeit von Daten oder Services beeinträchtigen. Um das erreichen zu können, müssen geeignete Prozesse – im NIS2-Kontext „Cyber-Sicherheitspraxis“ genannt – und Maßnahmen  – im NIS-Kontext „Cyber-Sicherheitshygiene“ genannt – wirksam implementiert werden.

Sowohl die Festlegung der benötigten Prozesse als auch die Ableitung geeigneter Maßnahmen erfolgt zweckmäßigerweise im Rahmen eines Informations-Sicherheits-Management-Systems (ISMS). Der zentrale und insbesondere EU-weit geltende Standard für ein ISMS ist die ISO/IEC 27001. Schon bei der Abfassung der NIS2-Richtlinie war ein enger Bezug zur ISO/IEC 27001 durch die Vorgabe aus Art. 21 Abs. 1 in Verbindung mit Erwägungsgrund 79 klar erkenntlich: Bei der Abwehr von Cyber-Risiken sind einschlägige internationale Normen wie die ISO/IEC 27000er Reihe einzubeziehen!

Neue Controls aus dem Annex A der ISO/IEC 27001, welche in der neuen Fassung der ISO/IEC 27002 näher beschrieben sind, eignen sich sogar perfekt zur Umsetzung von NIS2-Anforderungen. Bei der Erfüllung von NIS2-Vorgaben werden aber auch wesentliche Bestandteile aus dem unmittelbar im Rahmen einer Zertifizierung zu erfüllenden Teil der ISO/IEC 27001:2022 benötigt. Hier lohnt ein genauer Blick.

Ausrichtung des Risikomanagements

Bei der klassischen Informationssicherheit werden in erster Linie die Sicherheitsziele der Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Services geschützt. Im NIS2-Kontext kommt die Authentizität als eigenständig zu erfüllendes Sicherheitsziel hinzu.

Bei der üblichen Risikoanalyse wird nur die Auswirkung auf den unmittelbaren Betreiber der Netz- und Informationssysteme im Geltungsbereich von dessen ISMS betrachtet. Im NIS2-Kontext wird dies hinsichtlich unerwünschter Risiken für die Gesellschaft ausgeweitet.

Die neue Fassung der ISO/IEC 27001 fordert im Gegensatz zu ihrem Vorgänger nunmehr, dass die Erfüllung von Sicherheitszielen zu überwachen ist und Kriterien für ISMS-Prozesse festzulegen und deren Steuerung in Übereinstimmung mit diesen Kriterien zu erfolgen haben. An dieser Stelle konvergieren beide Rahmenwerke. Durch die angestrebte Beherrschbarkeit vor unerwünschten Beeinträchtigungen, die sich auch auf Nutzer und andere Personen auswirken können, wird ein Kriterium zur umzusetzenden Güte vorgegeben. Zugleich erhöht sich damit spürbar und nachdrücklich die erreichte Resilienz gegenüber bestehenden Cyber-Gefährdungen. Beide Seiten gewinnen also.

NIS2-spezifische Controls aus der ISO/IEC 27001:2022:

  • Die vorhandene Bedrohungslage ist explizit zu analysieren (A.5.7)
  • Zu schützende Daten sind gemäß aller vier Sicherheitsziele zu kennzeichnen (A.5.13)
  • Der komplette Lebenszyklus von Identitäten ist bei der Ausgestaltung von Zugangsrechten zu betrachten (A.5.16)
  • Die etablierte Cyber-Sicherheitspraxis in der Lieferkette ist ausdrücklich zu überwachen (A.5.19 – A.5.22)
  • Lessons Learned aus Vorfällen sind bei der Verbesserung der Cyber-Sicherheit zu nutzen (A.5.27)
  • Netz- und Informationssysteme müssen so ausgerichtet werden, dass sie Business Continuity-Ziele erfüllen und der Resilienz dienen (A.5.30)
  • Eingesetztes Personal und interessierte Parteien sind auf besondere Anforderungen zur Cyber-Sicherheit hin zu schulen (A.6.3)
  • Die Aufrechterhaltung physischer Sicherheit bedarf einer ständigen Überwachung (A.7.4)
  • Netz- und Informationssysteme sind sicher zu konfigurieren (A.8.9)
  • Unübliches Systemverhalten ist zu überwachen (A.8.16)
  • Nur sichere Netzwerke und Netzgeräte sind einzubinden (A.8.20)

Die oben aufgelisteten Controls haben im Zuge der Neufassung der ISO/IEC 27001 faktisch einen engen Bezug zu NIS2-Anforderungen bekommen und tragen damit aktiv zur NIS2-Konformität bei.

Mehrere Fliegen mit einer Klappe

Durch konsequente Umsetzung von NIS2-Anforderungen im Rahmen eines an der ISO/IEC 27001:2022 ausgerichteten ISMS wird damit nicht nur NIS2-Konformität erreicht, sondern auch ein zukunftsweisendes ISMS implementiert bzw. fortentwickelt. Das ist somit leichter zertifizierungsfähig und dient damit wiederum als Nachweis wirksam implementierter NIS2-Konformität der Cyber-Sicherheitspraxis in der Lieferkette.

Die Experten der SITS helfen Ihnen sowohl dabei, Ihr ISMS NIS2-konform bzw. konform zur neuen Fassung der ISO/IEC 27001auszurichten, sowie geeignete, zielorientierte und wirksame Maßnahmen zur Cyber-Sicherheitshygiene abzuleiten und praxistauglich umzusetzen.

Risikomanagement nach NIS2

Durch NIS2 sollen Netz- und Informationssysteme, deren Nutzer und andere Personen innerhalb der EU vor Cyber-Bedrohungen geschützt werden. Dazu zählen alle Umstände, Ereignisse oder Handlungen, welche die Verfügbarkeit, Authentizität, Integrität und/oder Vertraulichkeit von Daten und Services beeinträchtigen. Das sind die durch die NIS2-Richtlinie verfolgten Sicherheitsziele.

Je exponierter eine Einrichtung ist, desto eher steht sie im Fokus von Angreifern. Zunehmend erreichen Angreifer über die Lieferkette ihr eigentliches Ziel. Aus diesem guten Grund steht neben dem Sektorbezug und den nun deutlich niedrigeren Schwellwerten zu Mitarbeiteranzahl und Jahresumsatz bzw. Jahresbilanzsumme bei NIS2 jetzt auch die Lieferkette im Fokus. Bei NIS2 wird auf die Auswirkung einer Cyber-Bedrohung geschaut und nur eine minimale Beeinträchtigung der vier genannten Sicherheitsziele zugelassen.

Indikatoren für effektives Risikomanagement

Um wirksames Risikomanagement nach NIS2 zu betreiben, sollten die folgenden Fragen geklärt werden:

  • Werden alle genutzten Netz- und Informationssysteme in der Risikoanalyse betrachtet?
  • Wird dabei ausdrücklich ein Bezug zu allen vier Sicherheitszielen hergestellt?
  • Wird der Einfluss der Lieferkette dabei ausreichend untersucht?
  • Wurden belastbare Risikoakzeptanzkriterien festgelegt, die von verschiedenen Personen weitgehend übereinstimmend verstanden werden und zu vergleichbaren Ergebnissen führen?
  • Ist sichergestellt, dass am Ende der Risikobehandlung Beeinträchtigungen der vier Sicherheitsziele auf ein vernünftig begründetes Maß beschränkt sind?
  • Werden in der Risikoanalyse kontextbezogene und tatsächlich relevante Cyber-Bedrohungen anstelle allgemeiner Gefährdungskataloge adressiert?
  • Wird das Risikomanagement durch zentrale Vorgaben aus einer Leitlinie bzw. Richtlinie gesteuert?
  • Werden identifizierte Risiken und deren Quellen regelmäßig überprüft?
  • Sind die Maßnahmen zur Adressierung bestehender Risiken bereits operativ erfasst und erreichen zielgenau die beabsichtigte Wirkung?
  • Lässt sich die Wirksamkeit der umgesetzten Maßnahmen nachvollziehbar belegen?
  • Umfassen derartige Belege ausdrücklich alle beteiligten Prozesse?
  • Wird bei der Umsetzung durchgängig der aktuelle Stand der Technik eingehalten?

Wenn Sie für Ihre Organisation auf alle diese Fragen mit einem klaren Ja antworten können, gehören Sie zu den wenigen Glückspilzen, die bereits bestens auf NIS2 vorbereitet sind! Bestehen jedoch Zweifel oder Unklarheiten, benötigen Sie mit hoher Wahrscheinlichkeit fachliche Unterstützung. In diesem Fall unterstützt das NIS2-Assessment der SITS.

Auf dem Weg ins neue Cyber-Zeitalter

Im Rahmen der NIS2-Richtlinie lernen Sicherheitsverantwortliche jede Menge neuer Vokabeln, an die sie sich erst noch gewöhnen müssen. Prozesse werden nunmehr als „Cyber-Sicherheitspraxis“ verstanden. Maßnahmen wiederum dienen der „Cyber-Sicherheitshygiene“.

Bei den Prozessen zur NIS2-Konformität ist neben dem Risikomanagement auch ein entsprechend auf NIS2 ausgerichtetes Notfallmanagement, Incident Management, Supply Chain Management und Personalmanagement gefragt. Beschäftigte sind zudem ausdrücklich auf Cyber-Sicherheit zu sensibilisieren. Das schließt Führungskräfte ebenso ein, wie ausführendes Personal.

Die Maßnahmen wiederum sind vor allem an der Prävention gegen Data Leakage ausgerichtet. Benötigt werden Maßnahmen zum Vulnerability und Patch Management, zur Passwortverwaltung, Systemhärtung, Netzwerksegmentierung, Datensicherung und der Abwehr von Gefährdungen der physischen Sicherheit als auch der Versorgung mit Strom und Internet. Auf menschliche sowie technische Fehler muss man vorbereitet sein und bösartige Angriffe erkennen und nach Möglichkeit abwehren können.

Kurzum: Im Rahmen der Cyber-Sicherheit steht für Sicherheitsverantwortliche betroffener Organisationen eine Menge Arbeit an, die auch noch innerhalb kurzer Umsetzungsfristen zu erledigen ist. Und wenn eine Einrichtung das nicht, nicht vollständig oder nicht zielsicher genug schaffen sollte, drohen deutlich höhere Bußgelder als in den bisherigen Richtlinien und unter Umständen sogar die Abberufung von Mitgliedern der Leitungsorgane.

Hinzu kommt: Nationale Gesetzgeber innerhalb der EU dürfen diese Regelungen im Rahmen ihrer nationalen Umsetzung noch weiter verschärfen.

NIS2: Bin ich betroffen?

Unter NIS2 fallen also einerseits Einrichtungen, die aufgrund ihrer Sektorzugehörigkeit nunmehr direkt adressiert werden. Die entsprechende Überprüfung, ob das der Fall ist, ist durchaus anspruchsvoll. Wir haben hierfür eine Online-Check für Sie vorbereitet, der entsprechend Auskunft gibt. Zum anderen fallen aber unter NIS2 auch solche Einrichtungen, die als Teil der Lieferkette tätig sind. Und das wiederum unabhängig von ihrer Größenordnung. Optimistische Schätzungen gehen wenigstens von dem Faktor 10 an neuverpflichteten Organisationen und Unternehmen aus. Die Realität dürfte noch deutlich darüber liegen.