NIS2: Große Herausforderungen für KRITIS

NIS2: Große Herausforderungen für KRITIS

NIS2: Große Herausforderungen für KRITIS

Die neue europäische IT-Sicherheitsrichtlinie soll die Cyber-Resilienz und Gefahrenabwehr kritischer Infrastrukturen stärken. Hierfür weitet sie den Anwendungsbereich auf deutlich mehr Unternehmen als bisher aus. Welche Vorbereitungen jetzt Sinn machen.

Seit Anfang 2023 ist die NIS2-Richtlinie in Kraft, die die IT-Sicherheit der EU-Mitgliedsstaaten auf ein höheres Niveau bringen und ihre Cyber-Resilienz stärken soll. Bis Oktober 2024 wird sie in nationales Recht überführt – doch tun die Betreiber kritischer Infrastrukturen gut daran, sich bereits jetzt intensiv mit den Neuerungen auseinanderzusetzen.

Auch KMU können KRITIS sein – und Zulieferer

Zunächst verändert NIS2 die Bemessungsgrundlage für KRITIS-Betreiber. Diese werden nicht wie bisher nach der Menge ihrer Erzeugnisse eingestuft – beispielsweise die aufbereitete Wassermenge im Trinkwassersektor pro Jahr. Stattdessen definiert die neue EU-Richtlinie 18 Sektoren und unterteilt diese in zwei Gruppen: Elf Sektoren gelten dabei als solche mit hoher Kritikalität und sieben als sonstige kritische Sektoren. Welche Einrichtungen als wesentlich („essential“) und welche als wichtig („important“) eingestuft werden, bestimmt sich aus der Zugehörigkeit zu einem bestimmten Sektor und der Größe, gemessen an Umsatz und der Zahl der Mitarbeitenden. Der Anwendungsbereich der EU-Richtlinie erweitert sich mit NIS2 auch auf kleine und mittlere Unternehmen (KMU), sofern diese eine besondere Stellung haben, beispielsweise ein Monopol, oder in einem der wesentlichen Sektoren tätig sind, wie etwa ein Domänen-Namen-Registrierungsdienst.

Zudem trägt NIS2 der Erkenntnis Rechnung, dass KRITIS nur sicher sind, wenn sie auf eine cyberresiliente Lieferkette bauen können. Daher verpflichtet die neue EU-Richtlinie wesentliche und wichtige Einrichtungen dazu, ihre eigenen Lieferketten zu überprüfen. Wie getroffene Maßnahmen bei den entsprechenden Zulieferern bewertet werden, obliegt Stand heute den KRITIS selbst. Für Lieferanten kann die Neuerung aber durchaus bedeuten, dass ihre IT-Sicherheitsmaßnahmen in absehbarer Zeit stärker in den Fokus ihrer Auftraggeber geraten. Auch eröffnet NIS2 die Möglichkeit, dass kritische Lieferketten, die die Europäische Kommission in Rücksprache mit der ENISA (Agentur der Europäischen Union für Cybersicherheit) und der neu geschaffenen NIS-Kooperationsgruppe festlegt, einer koordinierten Risikobewertung unterzogen werden. Diese ist dann für alle Einrichtungen verbindlich, die die entsprechende Lieferkette nutzen.

Risikomanagement: Umfangreiche IT-Sicherheitsmaßnahmen und Governance

Inhaltlich gibt NIS2 zehn Themenblöcke mit aus EU-Sicht unabdingbaren IT-Sicherheitsmaßnahmen vor, die sich weiter aufgliedern lassen. Grundlegende Verfahren im Bereich des Sicherheitsbewusstseins sowie Cyber-Sicherheitsschulungen zielen zudem darauf ab, Risiken durch den „Faktor Mensch“ zu verringern. Hinzu kommen Sicherheitsrichtlinien, Präventions- und Erkennungsmaßnahmen für Vorfälle sowie die Implementierung von Systemen zur Zugangskontrolle und Multi-Faktor-Authentifizierung. Business Continuity-Maßnahmen sollen Schäden durch Betriebsunterbrechungen begrenzen.

Darüber hinaus sieht NIS2 vor, dass die Leitungsorgane der KRITIS, also etwa der Vorstand oder die Geschäftsführung, verstärkt in die Pflicht genommen werden – bei der Überwachung der umzusetzenden Risikomaßnahmen ebenso wie durch die Verantwortung für Verstöße gegen die Vorgaben der EU-Richtlinie.

Jetzt die notwendigen Vorbereitungen treffen

Auch wenn die Details der NIS2-Umsetzung in deutsches Recht heute noch in der Schwebe sind, lässt der aktuelle deutsche Referentenentwurf erwarten, dass die Gesetzgebung die Forderungen der EU-Richtlinien konsequent umsetzen und stellenweise sogar darüber hinaus gehen wird.

Unternehmen, bei denen durch die Ausweitung des NIS2-Anwendungsbereichs zu erwarten ist, dass sie als Betreiber einer kritischen Infrastruktur eingestuft werden, können mit einem zertifizierten Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 einen verlässlichen Rahmen schaffen, um ihre Prozesse und IT-Systeme fortlaufend auf Schwachstellen zu prüfen und mit Blick auf die aktuellen Sicherheitsstandards weiterzuentwickeln. Damit sind sie nicht nur für die veränderten gesetzlichen Rahmenbedingungen gewappnet, sondern bieten auch Cyber-Kriminellen weniger Angriffsflächen. Denn diesen ist die besondere Rolle von KRITIS im gesellschaftlichen Gefüge durchaus bewusst.

Zulieferer, die Teil der Lieferkette einer regulierten Einrichtung sind, können sich mit dem Statusreport Informationssicherheit von TÜV SÜD einen stichhaltigen Überblick über den Status quo ihrer Informationssicherheit verschaffen. Aus den ermittelten Schwachstellen und möglichen Risiken können sie dann je nach ihrer Größe angemessene Maßnahmen ableiten, um die Cyber-Resilienz ihrer Organisation und IT-Systeme zu erhöhen. So sind sie in der Lage, die notwendigen Schritte nach ihrem eigenen Zeitplan vorzubereiten sowie umzusetzen, anstatt das – zum Beispiel aufgrund externer Forderungen – im Hauruck-Verfahren zu tun.

NIS2 in der Übersicht

Detaillierte Informationen zur geänderten Einstufung von KRITIS-Betreibern sowie den umfangreichen Forderungen von NIS2 lesen Sie im Fachartikel „NIS2 – der IT-Schutzschirm der EU“ der TÜV SÜD-IT-Experten Alexander Häußler und Thomas Janz.

Informationen von TÜV SÜD zur Zertifizierung nach ISO/IEC 27001 für Informationssicherheits-Managementsysteme

Der Statusreport Informationssicherheit von TÜV SÜD

Ansprechpartner:

Alexander Häußler, Global Product Performance Manager IT, TÜV SÜD Management Service

Thomas Janz, Product Compliance Manager IT Standards, TÜV SÜD Management Service


Wissenswert

KMU Statusreport Informationssicherheit

KMU Statusreport Informationssicherheit

Wie kleine und mittlere Unternehmen Informationssicherheit sicherstellen

Erfahren Sie mehr

10. KRITIS PRAXIS Forum am 11. & 12. Oktober 2023 in Würzburg
Veranstaltung

10. KRITIS PRAXIS Forum

Am 11. und 12. Oktober 2023 treffen sich in Würzburg KRITIS-Betreiber der Sektoren Energie, Entsorgung, ÖPNV, Wasser und Abwasser. Kommen Sie an unserem Stand vorbei, wir freuen uns auf Sie!

Alle Infos und Anmeldung

UP KRITIS
Flyer

Der Flyer zum UP KRITIS

Was ist UP KRITIS und welche Vorteile hat dadurch Ihr Unternehmen?

Download

KRITIS

KRITIS

Nachweis über angemessene IT-Sicherheit

Erfahren Sie mehr

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German