NET 5/24

21 www.net-im-web.de 05/24 Network Information Security (NIS 2) Mitarbeitern oder 10 Millionen Euro Jahresumsatz fallen nun unter die neuen gesetzlichen Regelungen. NIS 2 verlangt die Einhaltung von zehnRisikomanagementmaßnahmen im Bereich der Cyber-Security: • Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme • Bewältigung von Sicherheitsvorfällen • Aufrechterhaltung des Betriebs (durch z. B. Notfall- und Krisen- management) • Absicherung der Lieferkette • Sicherheitsmaßnahmen bei Erwerb, Entwicklung undWartung vonNetz- und Informationssystemen, inklusive Offenlegung der Schwachstellen • Konzepte und Verfahren zur Bewer- tung derWirksamkeit von Risikoma- nagementverfahren • Grundlegende Verfahren imBereich der Cyberhygiene und Schulung im Bereich der Cybersicherheit • Konzepte undVerfahren für den Ein- satz von Verschlüsselungsverfahren • Sicherheit des Personals, Konzepte der Zugriffskontrolle und Anlagen- management • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung und gesicherter Sprach-, Video- undText- kommunikation Des Weiteren wird zwischen wichtigen und besonders wichtigen Einrichtun- gen unterschieden. Letztere sind Unter- nehmen, die mehr als 250 Mitarbeiter oder 50 Millionen Euro Jahresumsatz haben. Diese besonders wichtigen Ein- richtungen müssen sich wie KRITIS- Betreiber verhalten, weshalb sie zum aktiven Nachweis zur Einhaltung der Regeln verpflichtet werden. Die kleine- ren Unternehmen unterliegen hingegen keiner regelmäßigenNachweispflicht. Bei einem Sicherheitsvorfall oder Verdacht können die Aufsichtsbehörden allerdings jederzeit Nachweise verlangen. Es gibt aber auch bei NIS 2 eine Ausnahme von der Regel: Im ITK-Bereich sind auch kleinere Unternehmen betroffen, wenn sie DNS-Dienste oder Vertrauensdienste mit qualifiziertem Signaturmanagement anbieten. Diese Dienste gelten als sehr kritisch und unterliegen daher ebenfalls den NIS 2-Richtlinien. Organisatorische Maßnahmen Die zehnMaßnahmen desNIS 2-Katalogs müssen von allen betroffenen Institu- tionen als Basisanforderung umgesetzt werden, denn sie werden für deutsches Recht direkt übernommen. Dabei bleiben die technisch notwendigenMaßnahmen abstrakt.Welche technischen Systeme ver- wendet werden sollen, um beispielsweise Zugriffskontrolle oder Bewältigung von Sicherheitsvorfällen zu ermöglichen, wird nicht beschrieben. Die NIS 2-Richtlinie verlangt, dass Konzepte undVerfahren zur Risikoanalyse vorhanden sind und dass das Unternehmen bewerten kann, wie wirksamdieseMaßnahmen des Risikoma- nagements zur Stärkung der IT-Sicherheit sind. Auch muss die Bewältigung von Sicherheitsmaßnahmen zur Aufrecht- erhaltung oder Wiederherstellung des Betriebes nachgewiesen werden können. Dabei wird erstmals auch die Lieferkette mit einbezogen. Die NIS 2-Regelung setzt dazu die Implementierung eines Informationssicherheitssystems (ISMS) voraus. Dies ist ein systematischer An- satz zur Verwaltung, Kontrolle und zum Schutz von sensiblen Informationen in einer Organisation. Ein ISMS umfasst Richtlinien, Verfahren, Prozesse und Technologien, die darauf abzielen, die Vertraulichkeit, Integrität und Verfüg- barkeit von Informationen sicherzu- stellen. Ein ISMS ermöglicht es einer Organisation, Risiken zu identifizieren, zu bewerten und angemessene Kontrollen zu implementieren, um diese Risiken zu minimieren oder zu akzeptieren. Durch regelmäßige Überwachung, Bewertung und kontinuierlicheVerbesserung hilft ein ISMS dabei, die Informationssicherheit auf einemangemessenenNiveau zu halten und sich an sich ändernde Bedrohungen und Anforderungen anzupassen. Ein ISMS ist allerdings nur die eine Seite der Medaille. Denn damit sind noch nicht die notwendigen technischen IT-Systeme implementiert worden. Die Regularien verpflichten zwar die betrof- Bild 2: SIEM-Systeme sind in der Lage, Advanced Persistent Threat (APT) Angriffe zu erkennen, die darauf ausgelegt sind, über einen längeren Zeitraum hinweg unbemerkt im Zielsystem zu bleiben, um Schwachstellen auszukundschaften (Grafik: Detken)