Sichere Digitalisierung im September: Mehr Sicherheit (und mehr Papier) – NIS2 und der Mittelstand
Herzlich Willkommen zu unserem Newsletter!
Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten einen Aspekt sicherer Digitalisierung.
Interessante Aktivitäten im September:
LinkedIn-Livestream am Dienstag, den 12.09.2023, 12:00h: „Cybersicherheit: Geschäftsführungsthema oder Verantwortung der IT? “ – mit Alpha Barry, CEO secida AG. Melden Sie sich hier an.
Sichere Digitalisierung im August: Mehr Sicherheit (und mehr Papier) NIS2 und der Mittelstand
Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier.
Seit Januar diesen Jahres taucht das Thema immer wieder in der Fachpresse auf: NIS2. Bei diesem Kürzel handelt es sich um die Novelle der Cybersicherheits-Richtlinie „Network and Information Security 2“, die nach dem Beschluss der EU im Januar 2023 seitens der Mitgliedstaaten bis Ende 2024 in nationale Gesetzgebung überführt werden muss. Die erste Network und Information Security-Richtlinie aus dem Jahr 2016 wurde von Deutschland in nationales Recht überführt und mündete im Gesetz für Informationssicherheit in kritischen Infrastrukturen, kurz KRITIS-Gesetz genannt. Die aktuelle Überarbeitung dieser Richtlinie ist sinnvoll, da die Bedrohungslage in der Cybersicherheit heute eine andere ist als vor 7 Jahren. Die aktuelle Novelle der Richtlinie definiert im ersten Schritt den Kreis der von ihr betroffenen Unternehmen: Stromversorger, Krankenhäuser und andere Unternehmen, die Bürger für das tägliche Leben benötigen (z.B. auch Supermarktketten). Im nächsten Schritt enthält die Richtlinie Vorgaben, die erfüllt werden müssen, um die Gefahr, dass Unternehmen durch eine Cyberattacke ihre Aufgaben nicht mehr erfüllen können und so die reguläre Versorgung der EU-Bürger gefährdet ist, möglichst gering gehalten wird.
Der Mittelstand muss sich mit der Novelle der NIS-Richtlinie zeitnah auseinandersetzen.
Die Gruppe der von dieser Novelle betroffenen Unternehmen wurde deutlich vergrößert. Zusätzliche Branchen wurden in den Kanon der systemkritischen Unternehmen aufgenommen, so sind z.B. Post- und Kurierdienste, Abfallentsorger, Chemieunternehmen, Unternehmen aus Maschinenbau oder Automobilindustrie nun Teil der kritischen Infrastruktur. Außerdem werden die Unternehmensklassen, für die die Gesetzgebung gilt, deutlich erweitert. Ein Unternehmen, das nach der neuen Definition zur kritischen Infrastruktur gehört, kann schon mit “nur” 250 Mitarbeitenden bzw. einen Mindestumsatz von 10 Millionen Euro/Jahr unter die Unternehmen fallen, für die die Richtlinie greift. Zusätzlich wird zwischen wichtigen und besonders wichtigen Unternehmen unterschieden. Bei Zugehörigkeit zu den als besonders kritisch bewerteten Segmenten, werden sogar relativ kleine Unternehmen schon sehr strenge Vorgaben erfüllen müssen.
Die Novelle formuliert die zu erfüllenden Kriterien klar aus. In den entsprechenden Paragraphen, insbesondere Paragraph 30 der NIS2-Richtlinie, werden organisatorische und technische Voraussetzungen, die die Unternehmen berücksichtigen müssen, dediziert beschrieben. Zum Beispiel müssen systemkritische Unternehmen
- Risikoanalysen für Cybersicherheit durchführen,
- generelle Richtlinien für die Bewältigung von Sicherheitsvorfällen entwickeln, die ihrerseits Krisenmanagement, schnellstmögliche Wiederherstellung der Operabilität aus Backups etc. gewährleisten und
- sich um die Cybersicherheit innerhalb ihrer Lieferkette und bei ihren Dienstleistern kümmern.
- Zusätzlich müssen Cybersicherheits-Schulungen und die Effektivität der getroffenen Maßnahmen nachgewiesen werden.
Es werden also sehr konkrete organisatorische Maßnahmen eingefordert. Genauso ist es auch auf der technischen Seite: Unternehmen müssen sich mit Kryptografie und Verschlüsselungstechnologien auseinandersetzen und sicherstellen, dass die eigenen Daten sicher verschlüsselt werden. Außerdem müssen sie analysieren, wie aktuell der Zugriff auf IT-Systeme technisch organisiert ist. Multifaktor-Authentifizierung muss verwendet, eingesetzte Kommunikationsmechanismen explizit abgesichert werden und noch einiges mehr. Trotzdem bietet die Richtlinie keinen expliziten Laufzettel, der einfach unternehmensseitig abgearbeitet werden kann. Diese Konkretisierung wird, ausgehend vom EU-Gesetzestext, von Verbänden und Expertengremien der Mitgliedsländer erwartet. Es kann allerdings davon ausgegangen werden, dass eine Zertifizierung wie z.B. die ISO 27001 im Gegensatz zu heute in der Zukunft allein nicht mehr ausreichen wird um die Normen der NIS2-Richtlinie zu erfüllen.
Fallen Sie unter die Richtlinie? Dann verschaffen Sie sich einen Überblick über ihren Cybersicherheits-Status Quo.
Für betroffene Unternehmen ist es wichtig, sich schon heute mit der Richtlinie auseinanderzusetzen und zu prüfen, ob sie unter die neu definierten Regelungen fallen. Ist dies der Fall, ist es sinnvoll, sich einen Überblick über den aktuellen Cybersicherheits-Status Quo zu verschaffen. Dabei geht es nicht nur darum Vorgaben umzusetzen, sondern auch darum diese Aktivitäten nachweislich zu dokumentieren. Auch die formalen Vorgaben nehmen im Kontext von NIS2 zu: Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und haben in Zukunft deutlich strengere Meldepflichten zu erfüllen, wenn es zu einem Sicherheitsvorfall kommt. Je nach Systemkritikalität muss zusätzlich in regelmäßigen Abständen (alle 2 Jahre) gegenüber dem BSI nachgewiesen werden, dass die vorgegebenen Maßnahmen erfüllt sind. Um sicherzugehen, dass die Unternehmen die neuen Regeln einhalten, wurden die zusammenhängenden Bußgeldnormen deutlich verschärft: Verstöße können nach der Umsetzung in nationales Recht je nach Unternehmensgröße und Umsatz mit Bußgeldern im 6-7-stelligen Bereich geahndet werden. Auch die Einführung einer persönlichen Haftung von Vorständen und Geschäftsführern für die korrekte Umsetzung der Richtlinie ist geplant. Es wird deutlich, dass die Umsetzung in betroffenen Unternehmen einen größeren Investitionsaufwand als bisher erfordern wird. Je nach aktuellen Status der Cybersicherheit, müssen vor Ende 2024 diverse Anpassungen und Erweiterungen vorgenommen werden.
Für die Erfüllung der Richtlinie sind größere Investitionen in die Cybersicherheit notwendig.
Gerade im Mittelstand ist es nicht zwingend so, dass die Cybersicherheit schon heute mit eine großen Menge an Ressourcen versehen ist. Für die Geschäftsführung ist es jetzt essenziell zu prüfen, ob die Anpassung der aktuellen Unternehmenssituation an die geforderten Cybersicherheits-Richtlinien mit dem aktuell bestehenden Setup klappen kann. Kleinere Unternehmen, die aktuell einen qualifizierten Mitarbeitenden beschäftigen, der sich um das Thema Cybersicherheit kümmert, sind in der aktuellen Marktsituation nicht schlecht aufgestellt. Doch für diese Unternehmen stellt sich dringend die Frage, ob dieser Mitarbeitende in der Lage sein wird, allein sämtliche Vorgaben und Herausforderungen, die auf das Unternehmen zukommen, wenn es ab Ende 2024 unter die NIS2-Regulierung fällt, abzuarbeiten. Denn es ist klar, dass Geschäftsführer und Vorstände zwar in der persönlichen Haftung sein werden, ihnen aber Expertise und Zeit fehlen sich dieses Themas operativ anzunehmen. Wenn es aktuell keinen Mitarbeitenden mit dem entsprechenden Fachwissen im Unternehmen gibt, ist es noch dringender, sich mit diesem Thema auseinanderzusetzen. Ressourcen für Cybersicherheit sind schon heute rar und teuer. Wenn mehr Kapazitäten für Cybersicherheit benötigt werden, um der neuen Richtlinie zu entsprechen, müssen Unternehmen schnellstmöglich eine Strategie entwickeln, wie die notwendige Expertise für die Implementierung der notwendigen Maßnahmen fristgerecht entwickelt werden kann. In der aktuellen Marktsituation kann auch die Entscheidung getroffen werden, die notwendige Expertise extern einzukaufen. In unseren Augen ist es allerdings in jedem Falle dringend nötig, dass ein gewisses Maß an Wissen und Verständnis innerhalb des eigenen Unternehmens und auch auf Geschäftsführungsebene entwickelt wird. Wenn jetzt begonnen wird, besteht genügend Zeit diverse Alternativstrategien durchzuspielen, Einstellungsverfahren durchzuführen und/oder passende externe Dienstleister auszuwählen. Außerdem muss das richtige Maß an Investitionen für die nächsten Jahre geplant werden: Knappe Ressourcen sind immer auch teuer.
Es in unseren Augen grundsätzlich richtig und wünschenswert, dass die Sicherheit der Bürger bei Cyberangriffen auf die kritische Infrastruktur gewährleistet ist. Die in der NIS2-Richtlinie festgeschriebenen Maßnahmen sind wichtige Maßnahmen, die zum Schutze aller dienlich sind. Durch Vorgaben der Richtlinie wird ein hohes Schutzniveau erreicht, das für die aktuelle Bedrohungslage passend ist. Doch wie immer gibt es auch in dieser Novelle Themen, die für das operative Sicherheitsniveau nicht zwingend hilfreich sind, und es fehlen Dinge, die man als Unternehmen trotzdem machen sollte. Im Grundsatz bleibt die NIS2-Novelle aber ein Schritt in die richtige Richtung. Vor allem weil es nicht nur um organisatorische Maßnahmen, Dokumentationen und Zertifizierungen geht, sondern auch konkrete Weichen gestellt werden, die Technik und IT-Betrieb betreffen.
Umsetzung der NIS2-Richtlinie. Wo fängt man an?
Auch wenn die Geschäftsführung plant, alle notwendigen Maßnahmen umzusetzen. In jedem Fall müssen die Themen ausgewählt werden, mit denen gestartet werden soll. Wie angesprochen ist eine Analyse des Status Quo ein sinnvoller erster Schritt:
- Welche Systeme sind implementiert?
- Welche Richtlinien gelten aktuell?
- Welche technischen Maßnahmen sind getroffen?
- Wo sind Lücken zum definierten Mindeststandard der Richtlinie?
- Welche Maßnahmen müssen noch umgesetzt werden, um sie zu schließen?
Beginnen Sie mit Themen, die schnell und einfach umgesetzt werden können. Parallel ist es hilfreich zu definieren, welche der ausstehenden Maßnahmen einen hohen Schutzwert haben und diese in der Umsetzung zu priorisieren. Auf dieser Basis können Sie einen Fahrplan zu erstellen, der das Unternehmen zur fristgerechten Erfüllung der NIS2-Standards Ende 2024 führt. Sie benötigen allerdings eine gewissen Flexibilität, da noch unklar ist, wie genau der deutsche Staat die Richtlinie umsetzen wird. Es muss nachgeschärft werden, sobald weitere Informationen veröffentlicht werden. Zusätzlich ist es sinnvoll zu prüfen, an welchen Stellen, basierend auf eigenen Risikoanalysen, der definierte Mindeststandard nicht ausreicht und welche Maßnahmen zusätzlich getroffen werden sollten.
Ist alles an der neuen NIS2-Richtlinie gut? Mitnichten.
Natürlich gibt es im Kontext der Novelle unserer Meinung nach Themen, die bestimmte Gefahren bergen: Die Haftbarkeit der Geschäftsführung ist eine sinnvolle Maßnahme, die allerdings gerade für den Mittelstand Risiken birgt. Wenn eine Geschäftsführung für die Erfüllung von Cybersicherheis-Standards persönlich haftbar gemacht werden kann, ist deren Ziel selbstverständlich nachweislich zu dokumentieren, dass sie alles Notwendige getan hat, um das Unternehmen vor einem entsprechenden Angriff zu schützen und deswegen auch im Angriffsfall nicht haftbar gemacht werden kann. Dies bedeutet, dass gerade in kleineren Unternehmen, der Mitarbeitende oder die kleine Gruppe von Mitarbeitenden mit Cybersicherheits-Expertise, einen relativ großen Teil ihrer Zeit mit der Dokumentation der getroffenen Cybersicherheits-Maßnahmen verbringen muss. Vor allem, weil es sich hier nicht um einmalige Maßnahmen, sondern um fortlaufende Themen handelt: Die Geschäftsführung muss nachweisen, dass sie sich regelmäßig mit dem Thema auseinandersetzt. Dafür sind regelmäßige Meetings mit dem Cybersicherheits-Teams notwendig, die von dem eher kleinen Cybersicherheits-Teams vorbereitet, nahtlos dokumentiert und nachbearbeitet werden müssen. Wertvolle Zeit geht hier der eigentlichen Bekämpfung von Cyberangriffen verloren. Eine weitere offene Frage bleibt, wie viel Anstrengung bezüglich der Cybersicherheit von kleineren Unternehmen sinnhaft erwartet werden kann: Je kleiner das Unternehmen ist, desto herausfordernder wird es, die zusammenhängenden Investitionen zu stemmen. Die – den kleineren Ländern der EU geschuldete – niedrige Unternehmensgrößen- und Umsatzdefinition führt in einem Flächenland wie Deutschland dazu, dass eine überdurchschnittlich große Zahl an Unternehmen betroffen ist. Wir sind gespannt, wie sich die Dinge ausbalancieren und wie unsere Branche auf den durch die Novelle veränderten Bedarf reagieren wird. Aktuelle Angebote sind für kleinere Unternehmen eher überdimensioniert, wenig pragmatisch und nur schwer finanzierbar. Hier besteht noch deutlicher Adaptionsbedarf, der allerdings von einigen Verbänden und Vereinigungen (wie z.B. „Digital.Sicher.NRW“ in Nordrhein-Westfalen) schon heute adressiert wird.
Beginnen Sie jetzt mit Analyse und Planung, haben Sie ausreichend Zeit für die fristgerechte Erfüllung der Vorgaben.
Viele Dienstleister nutzen die aktuelle Diskussion um Angst zu schüren und so bestimmte Beratungsdienstleistungen oder Services zu verkaufen. Wenn sie die oben genannten Schritte durchführen, schaffen sie eine gute Basis, auf der Sie in den nächsten Monaten die notwendigen Investitionsentscheidungen in Ruhe treffen können. Angstentscheidungen sind zum jetzigen Zeitpunkt keinesfalls notwendig. Wenn sie jetzt beginnen, sich mit dem Thema auseinanderzusetzen haben Sie genügend Zeit einen Plan zu entwickeln und umzusetzen der es Ihrem Unternehmen ermöglicht, den Anforderungen fristgerecht zu entsprechen. Wir empfehlen vor allem der Geschäftsführung dringend, schnellstmöglich den Status Quo zu analysieren und sich auf die erhöhten Investments in das Thema Cybersicherheit vorzubereiten.
Cybersicherheit ist Managementverantwortung.
Genauso, wie die Geschäftsführung verantwortlich ist, dass Lager möglichst diebstahlsicher sind, ist sie für die Sicherheit der IT-Infrastruktur und Unternehmens-Informationen verantwortlich. In beiden Fällen geht es nicht darum genau zu wissen, wie z.B. die Schließanlage Ihrer Lager oder die entsprechende Verschlüsselung ihrer Daten funktioniert. Es geht darum, genug Expertise zu erwerben, um die strategisch richtigen Entscheidungen treffen zu können. Wir sind sicher, dass das gelingt und wünschen dabei viel Erfolg.
Quelle: LinkedIn