NIS 2, ISO 27001 und Systemhärtung: Ein Dreiklang, an den immer mehr Unternehmen denken müssen

NIS 2 ist da. Die Anforderungen der EU-weiten Cybersecurity-Direktive sind sehr hoch. Zu Recht! Hier erfahren Sie, worauf Sie bei der Umsetzung unbedingt achten müssen.

Was ist NIS 2?

Die Network and Information Security Directive oder NIS-2-Richtlinie stellt eine bedeutende Weiterentwicklung der Cyber-Sicherheitsregeln in der Europäischen Union dar. Die NIS-2-Richtlinie wurde Ende 2022 veröffentlicht und musste von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.

Parallel dazu mussten auch Bund und Länder erste Regelungen treffen. So setzte beispielsweise das rheinland-pfälzische Ministerium für Arbeit, Soziales, Transformation und Digitalisierung eine Verwaltungsvorschrift um, damit das Thema “NIS 2” zeitnah realisiert wird.

Warum gibt es NIS 2?

Das Hauptziel von NIS 2 ist es, mehr europäische Unternehmen widerstandsfähiger gegen die wachsende Bedrohung durch Cyber-Angriffe zu machen. Deshalb gelten die neuen Vorgaben nicht nur für Organisationen im Bereich KRITIS (Kritische Infrastruktur), sondern für eine Vielzahl an Unternehmen, die eine gewisse Unternehmensgröße haben.

Gilt NIS 2 auch für Ihre Organisation?

Laut dem BSI gibt es allein in Deutschland rund 30.000 nach dem Gesetz “besonders wichtige” und “wichtige” Einrichtungen, für die nun erstmals Registrierungs-, Nachweis- und Meldepflichten entstehen.

Wenn Sie wissen möchten, ob Ihr Unternehmen die NIS-2-Anforderungen erfüllen muss, können Sie ein Online-Tool des Bundesamtes für Sicherheit in der Informationstechnik (BSI) konsultieren. Der sogenannte NIS-2-Betroffenheitscheck des BSI liefert Ihnen eine automatisierte Ersteinschätzung, die jedoch nicht rechtsverbindlich ist.

Welche Folgen hat NIS 2?

Muss sich Ihr Unternehmen bzw. Ihre Organisation an NIS 2 halten? Dann haben Sie umfassende IT-Sicherheitsmaßnahmen zu implementieren! Dazu gehören zum Beispiel diese:

Bestandsaufnahme
Wenn Informationssicherheit bei Ihnen bislang eine untergeordnete Rolle gespielt hat, sollten Sie unter anderem den Cyber Risiko Check nach DIN SPEC 27076 durchführen.

Risikomanagement
Es müssen regelmäßig Risikoanalysen durchgeführt werden, um Schwachstellen in Ihren IT-Systemen zu finden und diese professionell zu bewerten. Zudem müssen Gegenmaßnahmen ergriffen werden, um die Sicherheitslücken zu beseitigen.

Technische Maßnahmen
Schützen Sie Ihre Systeme gegen Cyber-Attacken und die (meist teuren) Folgen von Kompromittierungen – unter anderem mit einer Systemhärtung.

Organisatorische Maßnahmen
Führen Sie ein Information Security Management System (ISMS) ein. Und es muss  immer ein Business Continuity Management (BCM) geben, um stets den laufenden Betrieb zu gewährleisten.

Meldepflichten
Ein zentraler Aspekt der NIS-2-Richtlinie sind die Meldepflichten. Gibt es bei Ihnen einen Cyber-Vorfall, ist dieser innerhalb von 24 Stunden zu melden.

Schaubild: NIS 2 Reporting (Bild: VDMA)
Klicken Sie auf das Schaubild für eine größere Ansicht (Quelle)

Lieferketten-Sicherheit
Im Rahmen von NIS 2 muss Ihr Unternehmen auch sicherstellen, dass Ihre Lieferanten und Dienstleister die hohen Sicherheitsstandards erfüllen. So soll der Schutz der Lieferketten sichergestellt werden.

Sanktionen
Hält sich Ihre Organisation bzw. Ihr Unternehmen nicht an die NIS-2-Vorgaben, drohen hohe Geldstrafen. Diese können je nach Schwere des Verstoßes bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes betragen.

Wie setzt man die NIS-2-Vorgaben um?

Diese Frage lässt sich nicht so leicht beantworten, da die Erfüllung von NIS 2 eine komplexe Herausforderung ist. Doch vereinfacht kann man sagen: Halten Sie sich an die Vorgaben der ISO 27001:2022, um einen Großteil der Anforderungen zu erfüllen. Diese Norm beschreibt, wie Sie ein ISMS zu gestalten haben, sodass Sie damit aktuelle Cybersecurity-Regularien und -Gesetze wie NIS 2 bestens erfüllen können.

Ein essentieller Aspekt der “neuen” ISO 27001 ist die Reduzierung von Angriffsflächen mittels Configuration Management. Dahinter verbergen sich zahlreiche Maßnahmen, die man in der IT auch als Secure Configuration oder System Hardening (zu deutsch: Systemhärtung) kennt.

Tipp: Das “NIS Fact Sheet” des österreichischen Bundeskanzleramtes listet zahlreiche Maßnahmen auf. Dabei fällt auf, dass mehrfach die sichere Konfiguration von IT-Systemen empfohlen wird.

Systemhärtung nach NIS 2: Beispiele für die Umsetzung

Sichere Passwörter
Systeme und Geräte werden oft mit Standard-Passwörtern ausgeliefert, die leicht zu erraten sind. Eine sichere Konfiguration erfordert die Änderung dieser Passwörter und eine Zwei- oder Multifaktor-Authentifizierung, um ein System – beispielsweise einen Windows-Server – besser zu schützen.

Konfigurationsrichtlinien
Ihr Unternehmen hat sicherzustellen, dass es verbindliche Richtlinien für die sichere Konfiguration von IT-Systemen und -Diensten gibt. Diese Richtlinien müssen von Ihnen erstellt und dauerhaft überwacht werden. Denn mit jeder neuen Software oder Hardware entstehen neue, potentielle Angriffsflächen, die Hackern ausnutzen können.

Unnötige Applikationen
Jedes nicht benötigte Programm stellt ein mögliches Einfallstor für Angreifer dar. Daher sollten Sie unnötige Applikationen so schnell wie möglich deinstallieren. Und unnötige und/oder unsichere Dienste und offene Ports, die nicht zwingend gebraucht werden, deaktivieren Sie.

Veraltete Systeme
Systeme, die ungepatcht sind oder für die gar keine Updates mehr erscheinen, entsprechen nicht dem aktuellen Stand der Technik. Sie müssen sofort aktualisiert, ausgetauscht oder speziell abgesichert werden.

In anderen und simplen Worten ausgedrückt: Stellen Sie sich vor, Ihre IT-Systeme seien ein Haus. Schließen Sie hier alle Fenster und Türen, damit keine Einbrecher eindringen können.

Fazit

Wenn Sie die Vorgaben von NIS 2 zu erfüllen haben, müssen Sie sich mit Systemhärtung bzw. Secure Configuration beschäftigen. Ohne die präventive Security-Maßnahme wird es Ihnen nicht gelingen, den sehr hohen Anforderungen gerecht zu werden.

Das alles ist auch gut so! Denn am Ende geht es nicht darum, Compliance-Vorgaben zu erfüllen, sondern Ihre IT-Systeme bestmöglich für den “Cyber War” zu wappnen. Jeder erfolgreiche Angriff bedroht Ihre “Datenschätze” und das Überleben Ihrer Organisation. Seien Sie sich dessen immer bewusst.

Benötigen Sie Unterstützung bei der Secure Configuration bzw. der Systemhärtung gemäß NIS 2? Wir sind gerne für Sie da!

💬 Schicken Sie uns Ihr Anliegen!

 

Bild: Freepik

Schreibe einen Kommentar