NIS2 in Deutschland
NIS2 Konformität: Ein Leitfaden für die Umsetzung  

Die NIS2 Richtlinie ist eine gesetzliche Anforderung, deren Konformität über die Einrichtung eines Informations-Sicherheits-Managementsystem (ISMS) erbracht wird.  Die NIS2 Richtlinie gibt vor: 

"Die Maßnahmen sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen."

 

Best Practices für die Etablierung eines ISMS sind im Goldstandard der internationalen Norm ISO 27001 beschrieben. Deshalb bietet sich für viele betroffene Unternehmen an, ein ISMS gemäß ISO 27001 als Basis für den Nachweis der NIS2 Anforderungen zu nutzen, unabhängig von vorhandenen oder etwaig angestrebten Zertifizierungen. Wer bereits nach ISO 27001 zertifiziert ist, hat schon den größten Schritt zur NIS2 Konformität implementiert.​​​

​

Projektmanagement:

 

Die Planung und Implementierung eines ISMS sollte innerhalb eines Projekts durchgeführt werden. Aufgrund der hohen Anforderungen an die Einrichtung eines ISMS ist es empfehlenswert, das Projekt ebenso an hohen Standards in der Methodik auszurichten. Eine kontrollierte Umgebung stellt sicher, dass  Scope, Zeit, Kosten, Risiken und Nutzen optimiert werden und eine Projektrisiken in die Betrachtung frühzeitig mit einbezogen werden. Zudem wird sichergestellt, dass die Projektergebnisse kontrolliert in den Betrieb überführt werden, um dort den entsprechenden Nutzen zu generieren.

​

​​​​​​​​​​

Die Implementation eines ISMS:

​

Commitment der Führungsebene:
 

NIS2 fordert, dass die Geschäftsleitung die Gesamtverantwortung für die Informationssicherheit innerhalb der Organisation übernimmt und ebenso die Einhaltung der Anforderungen an Mitarbeiter kommuniziert. Dies erfolgt über die Erstellung einer IS Policy (Informationssicherheitsleitlinie). Die Geschäftsleitung hat die notwendigen personellen und finanziellen Ressourcen zum Aufbau des ISMS und zur Umsetzung der IS Strategie bereitzustellen.

​

Geltungsbereich,  Scope des ISMS:

​

Der Scope definiert, welche Assets, z.B. Prozesse, Geschäftsbereiche, Standorte, Applikationen etc., sich innerhalb und welche außerhalb des Geltungsbereichs befinden.

Hierzu wird eine Umfeldanalyse und Anforderungsanalyse erstellt und mit dem Ist-Zustand des Unternehmens  abgeglichen (Gap Analyse).

Das Verständnis des Geltungsbereichs ist die Grundlage und wesentliche  Voraussetzung für die weitere Planung und gibt einen definierten Rahmen für Machbarkeit, Ressourcen, Budget, Zeitrahmen und die Übergabe zum Betrieb des ISMS. 

​

Definieren Sie langfristige IS-Ziele für das ISMS: 

​

Gute Ziele sind SMART (specific, measurable, achievable, realistic, time-bound)​und an die IS-Strategie ausgerichtet. Sie beinhalten die wesentliche Schutzziele für Integrität, Verfügbarkeit und Vertraulichkeit. Die Erreichung der Ziele, bzw. der Fortschritt, wird über definierte KPI's gemessen. Aus den Zielen werden die konkreten Maßnahmen abgeleitet. 

​

​Definieren Sie Rollen sowie deren Verantwortlichkeiten für den Aufbau, die Aufrechterhaltung und kontinuierliche Verbesserung des ISMS:

​

Die Rolle eines Chief Information Security Officer (CISO) sollte etabliert werden.  Weiterhin sind innerhalb des ISMS die Rollen des Risikoeigentümers (risk owner) und des Vermögenswerteigentümer (asset owner) zu definieren und zu etablieren.​​​​​​

​​​​

IS Risikomanagement:

​

Die konkreten Ziele des IS Risikomanagements  sind:

• Frühzeitiges Erkennen und Beheben von IS-Risiken;

• Etablierung einheitlicher Bewertungsmethoden für identifizierte Risiken;

• Eindeutige Zuweisung von Verantwortlichkeiten beim Umgang mit Risiken

• Standardisierte und übersichtliche Dokumentation von Risiken, inklusive deren Bewertungen

• Effiziente Behandlung von Risiken: Reduzieren, Selbstbehalt, Vermeiden, Transfer

Auf der Grundlage der Risikobewertung müssen Organisationen umfassende Risikomanagementpläne entwickeln, die Maßnahmen zur Risikominderung, Überwachung und Berichterstattung umfassen.

​

Monitoring:

​

Es muss sichergestellt werden, dass die Vorgaben für die Umsetzung der NIS2 Richtlinie in die Praxis kontinuierlich erfüllt und sichergestellt ist, was mittels eines entsprechenden Monitorings dokumentiert wird:

• Performance-Monitoring umfasst die Bewertung der Wirksamkeit des ISMS im Hinblick auf die Erreichung der Sicherheitsziele (u.a. NIS2 Konformität) und die Erfüllung der Anforderungen der ISO 27001.

• Risiko-Monitoring bezieht sich auf die Bewertung und Überwachung von Sicherheitsrisiken im Unternehmen und im ISMS 

• Das Compliance-Monitoring bezieht sich auf die zusätzliche Überwachung der Einhaltung von rechtlichen Anforderungen und regulatorischen Vorgaben, aber auch von internen Richtlinien und Standard​s

​

​​Kommunikation:

​

Ziel ist es, den Bedarf an interner und externe Kommunikation zu beschreiben. darunter fallen zum Beispiel die Meldepflichten von Vorfällen an das BSI oder die Unterrichtungspflichten an Kunden. Der interne Kommunikationsbedarf ist zu verstehen und entsprechende Kommunikationskanäle sind zu bestimmen. Die Ergebnisse werden in einem Kommunikationsplan zusammengefasst.

 

 

Awareness und Schulungen:

​

Die Schaffung eines Risikobewusstseins im Unternehmen ist ein wesentlicher Bestandteil eines ISMS.  Dadurch werden Bedrohungen frühzeitig erkannt, Sicherheitsvorfälle vermieden und die Aufwände, die für deren Behandlung notwendig wären, werden eingespart. Dazu werden Schulungskonzepte und Schulungspläne erstellt.

​

Lieferantenbeziehungen:

​

Die Anforderungen der ISO 27001 fokussieren auf verschiedene Schutzmaßnahmen, wie z.B. die Festlegung von Prozessen und Verfahren und vertragliche Regelungen mit dem Lieferanten, Meldewege bei Vorfällen. Dabei sind auch Risiken aus deren IT-Infrastruktur und Lieferketten zu berücksichtigen. 

Eine genauere Berücksichtigung der Lieferkette  bietet die ISO 27036. Sie beschreibt detailliert die notwendigen Prozesse.

Sie unterscheidet zwischen: 

• Lieferantenbeziehungen für Produkte 

• Lieferantenbeziehungen für Services 

• Lieferkette für Informationstechnologie 

• Cloud Computing 

​

Zertifizierungen:

​

Informationssicherheit bei Kunden wird durch Lieferanten zunehmend mittels Zertifizierungen erbracht. Hierfür geeignet sind insbesondere die ISO 27001 oder auch der IT-Grundschutz. Im Automobil-Sektor hat sich TISAX® etabliert. 

NIS2 schreibt für bestimmte Einrichtungsarten, insbesondere für Betreiber kritischer Anlagen, Zertifizierungen vor.

​

Incidentmanagement:

​

Ziel des Prozesses zur Behandlung von Informationssicherheitsvorfällen (Incidents) zielgerichtetes Handeln beim Eintreten einer tatsächlichen Sicherheitsverletzung oder eines gezielten Cyberangriffs in der Organisation.

Die Organisation muss eine Klassifizierung der Incidents festlegen, die eine Abgrenzung des Schweregrads ermöglicht. Beispielsweise Unterscheidung zwischen Störungen, Sicherheitsvorfällen, Notfällen und Krisen. Es ist ein entsprechender Incident Response Plan zu erstellen, indem die Abläufe beschrieben werden, nachdem ein Incident erkannt wurde und wie der Schaden eingedämmt oder beseitigt wird.

  

Continual Improvement:

​

Unternehmen sind aufgefordert, stetig ihre Prozesse und Ergebnisse zu analysieren und an neue Erkenntnisse anzupassen und Verbesserungspotenziale abzuleiten, um dadurch ihr ISMS stetig zu verbessern. 

Eine Organisation, die ein normkonformes ISMS betreiben möchte, muss folglich organisatorische Maßnahmen festlegen, auf deren Basis eine kontinuierliche Verbesserung gezielt und planmäßig stattfindet. Die Organisation hat nachzuweisen, wie sie bei festgestellten Mängeln dafür sorgt, dass sich diese nicht wiederholen. ​​​​​​​​​