Ein Information Security Management System (ISMS) legt Regeln und Verfahren fest, mit denen sich die Informationssicherheit in einem Unternehmen sicherstellen, steuern, kontrollieren und kontinuierlich verbessern lässt. Warum das gerade im Hinblick auf die nahende NIS2-Gesetzgebung wichtig ist, verriet uns Thomas Wimmer, Bereichsleiter Consulting & Business Support bei der AirITSystems GmbH im Interview.
Was ist der Unterschied zwischen der ersten NIS-Direktiven und NIS2?
Die NIS- sowie die CER-Richtlinien (KRITIS) aus dem Jahr 2016 wurden komplett überarbeitet. Insgesamt sollen die Sicherheitsanforderungen für Unternehmen strenger und umfassender werden. Es sollen einheitlichere Standards eingeführt und die Zusammenarbeit auf EU-Ebene verstärkt werden. Während NIS2 für die Sicherheitsanforderungen zuständig ist, werden in der aktualisierten CER-Richtlinie die kritischen Sektoren geregelt. In diesem Bereich wurden jetzt neue kritische Infrastrukturen definiert und aufgeführt, so dass noch mehr Unternehmen unter diese Regelung fallen.
Ein weiterer wichtiger Punkt sind die Meldepflichten: sicherheitsrelevante Vorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit von Diensten haben könnten, müssen den nationalen Behörden gemeldet werden.
Im Bereich der Strafen und Sanktionen erhöht die NIS2-Richtlinie die Bußgelder und legt einheitlichere Strafen für Verstöße gegen die Vorschriften fest. Darüber hinaus betont die NIS2-Richtlinie die Bedeutung von Zertifizierung und der Verwendung von EU-weit anerkannten Normen als Mittel zur Verbesserung der Cybersicherheit.
Die wichtigste Änderung aber ist sicherlich die Forderung nach „Sicherheit in der Lieferkette“. Das heißt: Die hohen Sicherheitsanforderungen gelten nicht nur für das eigene Unternehmen, sondern auch für Partner, Kunden und Lieferanten. Somit können Hundertausende Unternehmen indirekt von NIS2 betroffen sein!
Im Oktober muss NIS2 in nationales Recht gegossen werden. Viele bleiben weiterhin entspannt und glauben nicht an eine schnelle Umsetzung bzw. lange Übergangsfristen. Wie sehen Sie es?
Ganz gleich, ob NIS2 im Oktober kommt oder erst im Januar 2025 oder noch später – das Gesetz wird kommen. Aufgrund der vielseitigen Anforderungen an Unternehmen kann ich auch niemandem empfehlen, unnötig Zeit verstreichen zu lassen.
Grundsätzlich gilt aber: Das NIS2UmsuCG sieht verschiedene Zeitrahmen für die Umsetzung seiner Anforderungen vor. NIS2UmsuCG soll geplant im Oktober 2024 in Kraft treten.
Für wichtige Einrichtungen und besonders wichtige Einrichtungen gelten die folgenden Fristen:
- Registrierung innerhalb von drei Monaten nach Identifizierung gemäß §33 (1)
- Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten gemäß §30 (7)
Können Sie exemplarisch ein paar Anforderungen nennen, die mit NIS2 auf Unternehmen zukommen?
Viele der NIS2-Anforderungen, die sich hauptsächlich aus §30 ergeben, sind noch sehr „weitreichend“ formuliert, sodass es viel Interpretationsraum dafür gibt. Folgende Sicherheitsmaßnahmen sehen wir aber jetzt schon:
- Nachweise, Melde- und Registrierungspflichten
- Sicherheit in der Informationstechnik in Form von IT-Monitoring, SOC, SIEM, Endpoint Security, Schwachstellen-Management, usw.
- Maßnahmen zur Festlegung der Sicherheit der Lieferkette
- Backups, Disaster Recovery, Business Continuity
- Informationssicherheits-Mangement-System (ISMS)
- Risk-Management-Tools
- Informationssicherheits- und Datenschutz-Maßnahmen
- Physische Sicherheit wie BMA, EMA, ZuKos, etc.
- Methoden zur Kryptografie und Verschlüsselung
- Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie Notfall-Kommunikation
- Security Awareness Trainings sowie Schulungen für die Geschäftsführung
- Nutzung ausschließlich zertifizierter Produkte und Services nach (EU) 2019/881
Über welche Strafen sprechen wir bei Verstößen?
Die Bußgelder richten sich je nach Wichtigkeit des Unternehmens und der zu schützenden kritischen Infrastruktur. Das bisherige Stufensystem von NIS1 wurde beibehalten, wobei die Stufen angepasst wurden. Die Stufen sind auf den Werten 10 bzw. 7 Millionen, (höchste Stufe), 2 Millionen Euro (zweite Stufe), 500.000 Euro (dritte Stufe) und 100.000 Euro (vierte Stufe) angesetzt.
NIS2 fordert eine Risiko-Bewertung sowie das Management und die Offenlegung von Schwachstellen der informationstechnischen Systeme – Sie bieten mit AirIT-ONE dazu ein passendes ISMS an. Was bedeutet ISMS?
Ein Informationssicherheitsmanagementsystem (ISMS) ist ein systematischer Ansatz, der dazu dient, die Sicherheit von Informationen innerhalb einer Organisation zu gewährleisten. Es ist ein strukturiertes Rahmenwerk, das Richtlinien, Verfahren, Prozesse und Ressourcen umfasst, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Das ISMS zielt darauf ab, Risiken zu identifizieren, zu bewerten, zu behandeln und zu überwachen, um die Informationssicherheit zu gewährleisten und kontinuierlich zu verbessern. Es basiert oft auf international anerkannten Standards wie ISO/IEC 27001 und kann an die spezifischen Anforderungen und Risiken einer Organisation angepasst werden. Das Hauptziel besteht darin, die Organisation vor internen und externen Bedrohungen sowie vor Sicherheitsvorfällen wie unbefugtem Zugriff oder Datenverlust zu schützen.
Warum sollte ich als Kunde auf die Lösung AirIT-ONE ISMS setzen?
AirIT-ONE ist ein schlüsselfertiges und webbasiertes ISMS, für eine schnelle und rechtssichere Umsetzung der Anforderungen und Leitlinien – sozusagen „ready for use“.
Darüber hinaus ist es eine einzigartige Kombination aus vorgefertigten Prozessen und Leitlinien, funktionierender Automation und einer erprobten und stringenten Projektmethode. Dazu kommt unser Know-how: vor allem im Bereich der Hochsicherheits-Infrastrukturen.
Weitere Vorteile sind:
- Vorgefertigte Projektpläne, Leitlinien, Richtlinien und Arbeitstasks mit verknüpften Blaupausen zur Qualitätssicherung nach internationalen Standards wie ISO/IEC 27001
- Leistungsfähiges Dokumentenmanagement – revisionssicher und mit einfach erkennbarer Historie
- Funktions- und Rollenklärung für eine klare Zuweisung von Aufgaben & Verantwortlichkeiten
- Nahtloser Übergang in den Betrieb, inkl. Security-Incident-Behandlung, Risikobewertung und -erhebung sowie Change- und Anforderungsmanagement
- Die AirIT-ONE-Prozess-Engine steuert nach Vorgaben und Leitlinien den permanenten Betrieb des Managementsystems
Sollte ein Unternehmen eine ISO-27001-Zertifizierung anstreben, begleiten wir dieses natürlich auch gerne dorthin.
Und Ihre Berater sind immer dabei und helfen dem Kunden durch die Prozesse?
Ein klarer Vorteil, ich würde schon fast sagen, ein einzigartiger Mehrwert unseres Hauses, ist die Verknüpfung von Beratung und Technik. Wir sagen immer so schön, wir können „Krawatte und Konsole“.
Wir begleiten den Kunden natürlich durch die Prozesse, aber die Expertise endet nicht mit Dokumentationspflichten. Als „trusted Advisor“ kümmern wir uns auch um technische Infrastrukturlösungen. Wir gewährleisten die ganzheitliche Weiterentwicklung der Prozess- und IT-Sicherheit sowie, falls gewünscht, den Betrieb.
Auf Ihrer Website kann man auch kostenlos ein NIS2 GAP-Analyse-Self-Assessment-Template anfordern. Worum handelt es sich hierbei?
Mit unserer NIS2-GAP-Analyse möchten wir Unternehmen eine erste Hilfe im Regularien-Dschungel bieten und dabei helfen, eine erste Einschätzung der geforderten Maßnahmen zu erhalten.
Die NIS2 GAP-Analyse ist ein Arbeitspapier, das in acht Sicherheitsbereiche unterteilt ist. Zu jedem dieser Bereiche werden Fragen gestellt, die das Unternehmen eigenständig beantworten kann. Die Fragestellungen sind themenspezifisch sortiert und werden insb. mit der ISO27001:2022 verknüpft, um die Anforderungen der NIS2 zu konkretisieren. Die Ergebnisse der GAP-Analyse bieten einen Überblick über die Unterschiede zwischen dem aktuellen Zustand Ihrer Organisation und dem gewünschten Zielzustand (sofern Bekannt, Änderungen noch möglich Basis ist im Kern §30 BSIG-E (NIS2UmsuCG). Diese Analyse identifiziert Lücken oder „Gaps“ in den jeweiligen Themenfeldern.
Welche Sicherheitsbereiche eines Unternehmens checkt man hier durch?
Das NIS2-Umsetzungsgesetz sowie die EU NIS2-Direktive legen die Rahmenbedingungen für das Risikomanagement und die Sicherheitsmaßnahmen fest, die von betroffenen Einrichtungen umgesetzt werden müssen. Die Anforderungen gemäß §30 BSIG-E (NIS2UmsuCG) umfassen Maßnahmen, die dem aktuellen Stand der Technik und dem Management von IT-Risikomanagement (IT-RM), Informationssicherheitsmanagementsystemen (ISMS) und Business Continuity Management Systemen (BCMS) entsprechen. Zudem werden auch einige konkrete technische Maßnahmen beschrieben.
Welche und wie viele Reifegrade gibt es?
Die NIS2 GAP-Analyse umfasst fünf Stufen, die von einem Anfangsstadium der Sicherheitsmaßnahmen bis zur idealen Umsetzung reichen. Mithilfe des Fragenkatalogs können die Anforderungen für die eigene IT-Sicherheit abgeleitet werden. Zusätzlich bietet die Analyse dem Unternehmen eine Bewertung seines aktuellen Umsetzungsstandes sowie einen Überblick über erforderliche weitere Maßnahmen. Diese Struktur ähnelt dem Modell des Capability Maturity Model Integration (CMMI), das ebenfalls eine schrittweise Verbesserung der Prozesse und Fähigkeiten eines Unternehmens unterstützt.
In Zusammenhang mit ISMS hört man auch oft den Begriff ISB. Worum handelt es sich hierbei?
Ein ISB (Informationssicherheitsbeauftragter) ist eine Person in einer Organisation, die für die Planung, Implementierung, Überwachung und Aufrechterhaltung von Informationssicherheitsmaßnahmen verantwortlich ist. Der ISB fungiert als Ansprechpartner für Sicherheitsfragen, koordiniert Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter und überwacht die Einhaltung von Sicherheitsrichtlinien und -standards. Ihre Aufgaben umfassen auch die Bewertung von Risiken, die Entwicklung von Sicherheitsstrategien und die Reaktion auf Sicherheitsvorfälle.
Welche Unternehmen brauchen einen ISB?
Unternehmen (aller Größenordnungen und Rechtsformen), die einen hohen Wert auf den Schutz ihrer Informationen legen, sei es aufgrund gesetzlicher Vorschriften, Branchenstandards oder eigener Sicherheitsinteressen, sollten einen Informationssicherheitsbeauftragten (ISB) ernennen. Auch NIS2 erfordert einen ISB, indem es das Management und die Offenlegung von Schwachstellen der informationstechnischen Systeme fordert (§30). Ein Verantwortlicher, wie der ISB, ist hierfür notwendig und kann diese Aufgaben übernehmen.
Sollte man auf einen externen oder internen ISB setzen?
Aus unserer Sicht auf extern, aber es kommt natürlich drauf an. Es ist immer eine Frage der Ressourcen und des fachlichen Know-hows. Beides ist möglich. Ein Externer bietet aus unserer Sicht einen breiteren Überblick, Objektivität, Flexibilität und Zugang zu themenspezifischen Netzwerken und Spezialressourcen. Ein großer Konzern wird aber vermutlich eher auf einen eigenen, internen ISB setzen.
Wie gehen Sie vor, wenn ein Unternehmen Sie beauftragt NIS2-ready zu werden?
Am Anfang steht bei uns immer die Beratung und eine erste Analyse, um zu sehen, wie groß der Bedarf ist und wie wir am besten unterstützen können. Das Ganze ist in folgende Schritte unterteilt:
- Auftakttermin
- NIS2-Betroffenheitsanalyse: Fällt das Unternehmen unter die Regelung oder ist es vielleicht indirekt betroffen (Lieferkette)?
- Dokumentensichtung und Experten-Interviews zur Überprüfung der Initialbewertung und Konsistenz
- Identifizierte GAPs bewerten und Maßnahmenempfehlungen erarbeiten
- Abschlussbericht + ggf. Präsentation
Das Beste an unser NIS2-GAP-Analyse ist, dass man eine erste Einschätzung dafür bekommt, was gefordert wird und ob man unter diese Regelung fällt.
Was ist, wenn ich herausfinde, dass mein Unternehmen von NIS2 nicht direkt betroffen ist? Kann ich mich dann zurücklehnen und freuen?
Leider nein. Das BMI schätzt derzeit, dass 29.000 Unternehmen direkt von NIS2 betroffen sein werden. Durch die Anforderung nach „sicheren Lieferketten“ werden auch unzählige andere Unternehmen indirekt betroffen sein. Im schlimmsten Fall kann das am Ende Hunderttausende Firmen treffen.
Thomas Wimmer ist Bereichsleiter Consultuing & Business Support bei der AirITSystems GmbH im Interview.
Hier geht’s zur Website von AirITSystems.
Quelle: AirITSystems GmbHThomas Wimmer, Bereichsleiter Consulting & Business Support AirITSystems GmbH
