Die im Dezember 2022 veröffentlichte NIS-2 Richtlinie definiert eine Reihe von Maßnahmen zur Verbesserung des Cyber-Risikomanagements in einigen Branchen innerhalb der Europäischen Union. Bis Oktober 2024 sollen dann alle EU-Mitgliedstaaten die Inhalte und Vorgaben der NIS-2 Richtlinie in nationales Recht übertragen. Sobald diese Gesetze in Kraft treten, müssen alle davon betroffenen Organisationen die darin festgelegten Vorschriften einhalten. In Deutschland wird NIS-2 in Form des NIS2-Umsetzungsgesetzes und Cybersicherheitsstärkungsgesetz diskutiert. Österreich plant das bestehende Gesetz „Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024“ mit den Neuerungen aus NIS-2 zu aktualisieren.

NIS2 ersetzt die vorherige Version der NIS-Richtlinie, die für weit weniger Unternehmen galt und für ihre Unklarheit und mangelnde Homogenität bei der Umsetzung durch die Mitgliedsstaaten kritisiert wurde. Dieser Artikel beschreibt den Anwendungsbereich von NIS2 und die damit verbundenen Pflichten für betroffene Organisationen. Ferner gehen wir kurz darauf ein, welche Lösungen von Outpost24 Ihnen bei der Einhaltung der in NIS-2 festgelegten Vorschriften helfen können.

Die Ziele der NIS-2 Richtlinie

Abgesehen von den Schwierigkeiten bei der europaweiten Implementierung der ersten Version von NIS ist einer der Hauptgründe für die Erweiterung der Richtlinie die deutlich gestiegene Gefährdung durch Cyberbedrohungen. Die ursprüngliche NIS-Richtlinie stammt aus dem Jahr 2016, als Ransomware-Angriffe noch in den Kinderschuhen steckten und Schäden für Unternehmen aus Cyberangriffen noch nicht so flächendeckend waren. Zur Verdeutlichung: 2017 kostete die Cyberkriminalität weltweit 0,7 Billionen Dollar; 2025 werden es 10,5 Billionen Dollar sein.

Zudem hat Covid-19 die digitale Transformation in vielen kritischen Sektoren beschleunigt, sodass es für Hacker nun eine größere Angriffsfläche als je zuvor gibt. Hinzu kommt, dass die verschiedenen Dienste und Sektoren stärker voneinander abhängig und miteinander verbunden sind als früher.

NIS und NIS-2: Was ist der Unterschied?

Die drei wichtigsten Änderungen zwischen NIS und NIS-2 sind Folgende:

• NIS-2 fügt eine Vielzahl neuer Branchen hinzu, um den Anwendungsbereich auf wesentlich mehr Organisationen auszuweiten, die in der heutigen Zeit eine wichtige Rolle spielen.
• Beseitigung von Unstimmigkeiten bei der Umsetzung durch Klärung der Sicherheits-, Melde- und Umsetzungsanforderungen, die für alle Organisationen und alle Mitgliedsstaaten gelten.
• Einführung von Planung, Krisenmanagement und verstärkter Zusammenarbeit zwischen den Mitgliedstaaten im Falle groß angelegter Cyberangriffe mit potenziell systemweiten Auswirkungen.

Der Umfang von NIS-2

Um zu verstehen, wie groß die Ausweitung des Anwendungsbereichs von NIS-2 ist, sollten wir uns die neuen Sektoren ansehen, die darin enthalten sind:

• Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
• Abwasser- und Abfallwirtschaft
• Hersteller von lebenswichtigen Produkten wie Chemikalien und medizinischen Geräten
• Lebensmittel
• Digitale Dienste wie soziale Netzwerke und Rechen/Datenzentren
• Luft- und Raumfahrt
• Post- und Kurierdienste
• Öffentliche Verwaltung

Diese Sektoren ergänzen die sieben Sektoren, die bereits in der ersten Fassung der NIS enthalten waren: Gesundheitswesen, digitale Infrastruktur, Verkehr, Wasserversorgung, Anbieter digitaler Dienste, Energie, Banken und Finanzmarktinfrastruktur.
In der neuen NIS-2 Richtlinie wird zwischen zwei Kategorien von Organisationen unterschieden:

Wesentliche Einrichtungen (essential entities)

Organisationen, die in einem kritischen Sektor tätig sind, in dem eine Störung durch Cyberangriffe der Wirtschaft oder Gesellschaft schweren Schaden zufügen könnte (z. B. Gesundheitswesen und Energie). Hier gilt auch eine Größenschwelle: Wesentliche Unternehmen in diesen kritischen Sektoren müssen mindestens 250 Mitarbeiter ODER einen Jahresumsatz von mindestens 50 Millionen Euro ODER eine Jahresbilanz von mindestens 43 Millionen Euro haben.

Wichtige Einrichtungen (important entities)

Dies sind entweder mittelgroße Organisationen, die in einem kritischen Sektor tätig sind, oder mittelgroße und große Organisationen, die in einem der Sektoren tätig sind, die nicht zu den kritischen Sektoren gehören. Um den Schwellenwert für die mittlere Größe zu erreichen, müssen Organisationen mindestens 50 Mitarbeiter ODER einen Jahresumsatz (oder eine Bilanzsumme) von mindestens 10 Millionen Euro haben.

Beide Unternehmensgruppen müssen die Anforderungen der Richtlinie erfüllen. Der Hauptunterschied besteht darin, dass bei einer „essential entity“ die Einhaltung der Richtlinie proaktiv überwacht wird; „important entities“ werden nur kontrolliert, wenn ein Verstoß gegen die Richtlinie auftritt und gemeldet wird.

Zehn zentrale Anforderungen der NIS-2

Um den Überblick über die Verpflichtungen der Unternehmen zu erleichtern und ein hohes Maß an Cybersicherheit zu erreichen, werden in der NIS-2 Richtlinie zehn wesentliche Maßnahmen für das Management von Cyberrisiken aufgeführt.

1. Organisationen müssen über Strategien zu Risikobewertung und zum Umgang mit der allgemeinen Informationssicherheit verfügen.
2. Geeignete Pläne für den Umgang mit Sicherheitsvorfällen müssen vorhanden sein.
3. Strategien und Prozesse zur Bewertung der Wirksamkeit von Sicherheitsmaßnahmen, z. B. regelmäßige Tests und Audits müssen vorhanden sein.
4. Die Beziehungen und Verbindungen zwischen Ihrem Unternehmen und Dienstleistern oder Lieferanten müssen definiert sein.
5. Verbesserung der Authentifizierung durch Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierungslösungen. Verschlüsseln Sie auch die Sprach-, Video- und Textkommunikation.
6. Sorgen Sie für Cybersecurity-Schulungen und einer grundlegenden Cyberhygiene für User.
7. Notfallpläne, die Business Continuity, Backup-Management, Disaster Recovery und Krisenmanagement beinhalten.
8. Vorrangige Berücksichtigung von Sicherheitsaspekten bei der Anschaffung von Netzwerk- und Informationssystemen sowie bei der Entwicklung und Wartung solcher Systeme durch Maßnahmen wie den Umgang mit Sicherheitslücken und deren Veröffentlichung.
9. Einführung von Richtlinien und Verfahren für den Einsatz von Kryptographie und, wo angebracht, Verschlüsselung.
10. Schwachstelle Mensch im Auge behalten, Zugangskontrollen einführen und ein effektives Asset-Management betreiben.

Nach Ansicht der EU reicht diese Kombination aus technischen, betrieblichen und organisatorischen Maßnahmen aus, um das gewünschte Mindestmaß an verbessertem Cyber-Risikomanagement und erhöhter Cyber-Resilienz für betroffene Organisationen zu erreichen.

Meldepflichten nach NIS-2

Möglicherweise als Reaktion auf die Tatsache, dass Verzögerungen bei der Meldung von Datenschutzverletzungen oder anderen Sicherheitsvorfällen immer wieder für Schlagzeilen in den Medien sorgen und unnötig zusätzliche Risiken verursachen, verfolgt die EU in ihrer NIS-2 Richtlinie eine strikte Linie hinsichtlich der Meldepflichten:

• Unternehmen, die von einem schwerwiegenden Vorfall betroffen sind, müssen die zuständigen Behörden oder das nationale Computer Security Incident Response Team (CSIRT) ihres Landes innerhalb von 24 Stunden nach Entdeckung eines solchen Vorfalls benachrichtigen.
• Die nächste Anforderung ist, dass Sie innerhalb von 72 Stunden nach Entdeckung des Vorfalls Ihre ursprüngliche Meldung über den Vorfall mit einer ersten Bewertung aktualisieren müssen, die den Schweregrad, die Auswirkungen und etwaige Indikatoren für eine Kompromittierung enthält, sofern diese festgestellt wurden.
• Auf Anfrage der zuständigen Behörden oder des CSIRT müssen Sie einen Zwischenbericht über den Vorfall oder andere Statusaktualisierungen über den Vorfall vorlegen.
• Spätestens einen Monat nach dem ersten Vorfallsbericht legen Sie einen Abschlussbericht vor, in dem Sie den Schweregrad und die Auswirkungen des Vorfalls, die Art der Bedrohung oder die Grundursache, die ergriffenen Gegenmaßnahmen und etwaige länderübergreifende Auswirkungen, falls beobachtet, angeben.

In den meisten Fällen werden Sie dem CSIRT Ihres Landes Bericht erstatten, aber in Mitgliedsstaaten wie Frankreich, Belgien oder Deutschland können Sie Sicherheitsvorfälle auch den zuständigen Behörden in diesen Ländern melden.

Strafen bei Nichteinhaltung der NIS-2 Vorgaben

Wie bei vielen anderen Vorschriften gibt es auch hier Bußgelder für die Nichteinhaltung der erforderlichen Maßnahmen zum Management von Cyberrisiken oder der Meldepflichten. Die NIS2 sieht Geldstrafen vor, um Organisationen zu ermutigen, sich den Anforderungen anzupassen und sicherzustellen, dass die Risiken wirklich verstanden werden.

Jeder Mitgliedstaat kann selbst über angemessene Geldbußen entscheiden, aber die Obergrenze für maximal anwendbare Geldbußen bei NIS2-Verstößen liegt bei mindestens:

• Essential Entities: Entweder 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
• Important Entities: 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Die höhere der beiden Zahlen ergibt die letztlich zu zahlende Strafe. Die NIS-2 Richtlinie ist jedoch nicht auf Geldstrafen beschränkt. Zu den diskutierten Strafmaßnahmen der Richtlinie gehören auch Bestimmungen über die Haftung der Inhaber von Führungspositionen bei Cybervorfällen, bei denen ein Unternehmen grob fahrlässig handelt. Damit soll es für Führungskräfte Awareness Schulungen zu den Anforderungen der NIS-2 Richtlinie geben, um die Verantwortung für die Umsetzung von Cybersecuritymaßnahmen nicht mehr allein bei den IT-Abteilungen zu platzieren.

Wie kann Outpost24 Ihnen bei der Umsetzung und Einhaltung der NIS-2 Richtlinie unterstützen?

Laut NIS-2 Richtlinie [§30 (2)] wird eine Reihe von Maßnahmen zum Risikomanagement gefordert, die betroffene Organisationen umsetzen müssen:

1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Outpost24 kann Sie bei manchen dieser Anfoderungen mit unserem Lösungsportfolio bei der Umsetzung unterstützen oder Ihnen diese als Managed Service zur Verfügung stellen.

So helfen Penetrationstests bei der Umsetzung von NIS-2

Von den zehn wesentlichen Maßnahmen, die Unternehmen umsetzen müssen, ist die Forderung nach regelmäßigen Tests und Kontrollen der Sicherheitsmaßnahmen besonders hervorzuheben. Penetrationstests und Red-Teaming sind dafür eine der besten Möglichkeiten, da sie Ihre Sicherheitsmaßnahmen bis an die Grenzen testen. Gestützt durch Bedrohungsinformationen aus der Cyber Threat Intelligence-Abteilung bieten wir Ihnen realistische Szenarien und Übungen basierend auf den Vorgehensweisen, Methoden und Techniken, die auch von realen Angreifern eingesetzt werden.

Pentests und Red-Teaming von Outpost24 bieten einen proaktiven und systematischen Ansatz, um Schwachstellen in Ihren Netzwerken, Anwendungen und Systemen zu identifizieren und zu beseitigen. Bei diesen simulierten Angriffen, die von unserem Team von Sicherheitsexperten durchgeführt werden, wird versucht, beliebige oder vordefinierte Software und Hardware zu kompromittieren.

Schachstellenmanagement und die externe Angriffsfläche Ihrer Organisation unter NIS-2

NIS-2 stellt das auch die Maßnahmen zum Risikomanagement von Organisationen in den oben genannten Branchen in den Vordergrund. Um hier die Anforderungen zu erfüllen kann Sie unser Risikobasierter Ansatz beim Schwachstellenmanagement und unsere External Attack Surface Management-Lösung unterstützen.

Neben Automatischen Scans und einer Überwachung Ihrer Systemlandschaft auf neu auftretende Schwachstellen, mithilfe unserer Canning-Less-Scanning-Technologie, hilft Ihnen RBVM von Outpost24 bei der Bewertung und Priorisierung von gefundenen Schwachstellen über CSS-Scores hinaus. Detaillierte Berichte unterstützen bei der Dokumentation und Kommunikation des Sicherheitsstatus und der ergriffenen Maßnahmen an interne und externe Stakeholder und individuelle Compliance-Scans bei der Identifikation von Verstößen gegen Richtlinien und Vorgaben.

Doch letztendlich können Sie nur das überwachen, was Sie auch kennen! Haben Sie alle Exposed Services und Assets im Blick und kennen Sie die Schwachstellen die darin stecken? Sweepatic EASM von Outpost24 bietet hier eine Reihe von Vorteilen, um mögliche Risiken und Gefahren aufzudecken:

• Die Identifikation bekannten und unbekannten Assets: Identifiziert und katalogisiert alle öffentlich zugänglichen digitalen Assets, einschließlich Schatten-IT und verwaister Services, die ein potenzielles Sicherheitsrisiko darstellen.
• Kontinuierliche Überwachung: Überwacht kontinuierlich Ihre externe Angriffsfläche auf neue Schwachstellen und Bedrohungen, wodurch proaktive Maßnahmen ergriffen werden können.
• Sicherheitsbewertung: Analysiert die Sicherheitslage Ihrer externen Systeme und bietet Empfehlungen zur Risikominderung.

Sowohl RBVM als auch EASM bieten eine Reihe von Funktionen zur Erkennung und Meldung von Schwachstellen und Gefahren, was eine schnelle Implementierung von proaktiven Sicherheitsmaßnahmen erlaubt. Detaillierte und automatisierte Berichte unterstützen bei der Erstellung der notwendigen Dokumentation, die zur Einhaltung der NIS-2-Richtlinien erforderlich ist.

Wir freuen uns darauf, Ihnen bei der individuellen Umsetzung Ihrer Vorgaben und der kommenden Anforderungen von „NIS2-Umsetzungsgesetzes und Cybersicherheitsstärkungsgesetz“ oder „Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024“ behilflich zu sein.