Bei der Debatte um NIS2 verengt sich oftmals der Blick auf die Implementierung zusätzlicher technischer Lösungen. Doch für KMUs gilt es erst einmal ihre derzeitigen Compliance-Prozesse unter die Lupe zu nehmen. Um NIS2-Konformität zu gewährleisten, müssen gerade kleine Unternehmen in der Regel grundlegende Prozesse und Strukturen neu aufbauen. Externe Dienstleister unterstützen bei der komplexen Transformation.
Neben einer Ausweitung der betroffenen Sektoren und Industrien beinhaltet die neue NIS2-Richtlinie auch einen überarbeiteten Katalog verpflichtender Maßnahmen. So wird unter anderem nun mehr Wert auf Lieferketten-Sicherheit, Cyberrisikomanagement durch die Chefetage selbst und regelmäßige Sicherheits-Audits und Schulungen gelegt. Auch beim Reporting und der Meldepflicht gibt es Änderungen. Im Rahmen der Reaktion auf Vorfälle gelten nun formalisierte Meldefristen, die etwa in Form einer Versicherungs-Schadensmeldung nicht unähnlich ausfallen. Die Inhalte dieser Reportings sollen dabei die Anzeichen der Kompromittierungen darstellen, sowie die verwendeten Taktiken und Methoden der Cyberkriminellen erläutern.
Das alles mag sich im ersten Moment nach viel anhören, doch die lange Liste an Anforderungen sollte niemanden in Schrecken versetzen. Bei NIS2 handelt es sich um die Durchsetzung sinnvoller Mindeststandards, die wohl in vielen Unternehmen sowieso bereits gelten dürften. Dem Gesetzgeber geht es um den einheitlichen und ganzheitlichen Schutz der Volkswirtschaft, etwa durch Vermeiden eines Dominoeffekts in der Lieferkette.
Trotzdem sollten gerade kleine Unternehmen das Thema NIS2 nicht verschlafen. Nichteinhaltung der durch NIS2 nun formal festgeschriebenen Mindeststandards kann zu empfindlichen Strafen führen und zudem gilt es zu bedenken, dass der erfolgreiche Angriff auf ein Unternehmen oftmals Schäden – etwa durch Produktionsausfälle – an vielen weiteren Firmen und Subunternehmen verursachen kann. Das heißt, die Unternehmen sind nicht nur für sich selbst verantwortlich.
Falls es zu Cyberangriffen kommt, will der Gesetzgeber zudem wissen, wer verantwortlich war und wer welche Sicherheitsmaßnahmen konkret umgesetzt hatte. Gerade aus diesem Grund liegt NIS2 nicht nur Wert auf IT-Security selbst, sondern betont den Wert der Compliance und Dokumentation. Konkret kann dies zum Beispiel durch den Betrieb eines ISMS (Information Security Management System) gewährleistet werden.
Mit einem ISMS die Compliance sichern
ISMS steht für Informationssicherheitsmanagementsystem und ist ein Rahmenwerk zur systematischen Verwaltung von Informationen und deren Sicherheit in einer Organisation. Es umfasst die Planung, Umsetzung, Überwachung und kontinuierliche Verbesserung von Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. ISMS basiert oft auf internationalen Standards wie ISO/IEC 27001 und hilft Unternehmen dabei, Risiken zu identifizieren, zu bewerten und angemessene Sicherheitskontrollen zu implementieren. In NIS2 wird zwar ein ISMS selbst nicht referenziert, jedoch beschreiben die Regularien einen IT-Betrieb nach ISO 27000-Normenreihe, welches wiederum ein solches System enthält.
Konkret besteht ein ISMS aus zwei Teilen. Der erste Teil beschäftigt sich mit der elektronischen Pflege und Dokumentation der vorhandenen Assets. Der zweite Teil umfasst die Controls der verschiedenen Assets. Dies alles geschieht revisionssicher und historisch nachvollziehbar. Das heißt, das Unternehmen kann mit einem ISMS anhand von übersichtlichen Checklisten jederzeit nachvollziehen, welche Maßnahmen noch umgesetzt werden müssen und welche Maßnahmen bereits implementiert worden sind. Im Grunde handelt es sich beim ISMS also um eine akkurate Dokumentation aller IT-Security-Maßnahmen im Unternehmen. Dabei gibt es viele Möglichkeiten ein ISMS konkret zu implementieren. Größere Unternehmen setzen in der Regel auf ein Full-Blown-System, dass etwa nach BSI Grundschutz, ISO 27000, NICT CSF oder NIST SP800-53 aufgebaut ist. Ist ein solches System vorhanden, dann ist das Unternehmen bereits auf einen guten Weg zur vollständigen Compliance-Gewährleistung gemäß NIS2. Denn das ISMS bildet den Rahmen für einen geordneten, strukturierten IT-Betrieb.
Für kleinere Unternehmen mit weniger Budget kann jedoch auch eine einfachere Implementierung etwa mit Microsoft Excel vorstellbar sein. Hierbei sollte aber darauf geachtet werden, dass die Excel-Liste nicht zu einem reinen Datengrab wird, sondern einer ständigen Wartung unterliegt. Sollte im Unternehmen noch keinerlei Dokumentation vorhanden sein, gilt es sich zügig daranzusetzen. Denn wer erst heute beginnt, ein ISMS zu implementieren, muss sich, selbst wenn Budget und IT-Fachkräfte vorhanden sind, auf eine Wartezeit von bis zu zwei Jahren einstellen. Dies liegt auch an der derzeitigen Marktsituation, da IT-Berater und Dienstleister mit dem nötigen Know-how gerade voll ausgelastet sind.
Wie können externe Dienstleister bei IT-Security und Compliance unterstützen?
Gerade für kleine Firmen bietet sich die Partnerschaft mit einem externen Dienstleister an. Dieser übernimmt Implementation und Betrieb der technischen Maßnahmen und führt regelmäßige Sicherheits-Audits durch. Auf diese Weise können Lücken schnell gefunden, bewertet und geschlossen werden. Neben dem Betrieb des ISMS kann der Partner gleichzeitig auch Wartung und Kontrolle der eigenen Cybersecurity-Maßnahmen übernehmen. So entlasten die Unternehmen die eigene IT-Abteilung und erhalten gleichzeitig volle Kontrolle über Assets und IT-Sicherheit. Viele IT-Dienstleister bieten zudem Incident Response an. Das forensische Wissen, regelmäßiges Reporting und die guten Kontakte in die Cybersecurity-Industrie sind dabei ein enormer Vorteil für den Kunden, gerade im Fall eines Sicherheitsvorfalls.
Fazit: Nicht nur die Technik, auch die Compliance-Prozesse sind wichtig
NIS2 fordert in erster Linie mehr Strukturiertheit und Dokumentation von IT-Security-Maßnahmen. Aus technischer Sicht geht es eher um das formale Festschreiben von Mindeststandards, die in den Unternehmen bereits seit einiger Zeit gelten sollten. Aus diesen Gründen ist es für kleinere Unternehmen ratsam, erst einmal ihre Compliance-Prozesse unter die Lupe zu nehmen. Ein ISMS hilft dabei, Übersicht über die eigene Cybersecurity zu gewinnen, konkrete Maßnahmen und Prozesse zu überprüfen und somit die Compliance zu gewährleisten. Auf diese Weise gelingt es, einen strukturierten und sicheren IT-Betrieb aufzubauen und zudem verhindern die Checkpoints eines ISMS, dass wichtige Sicherheitsaspekte in der alltäglichen Arbeit verloren gehen.
Welche Art von ISMS für ein Unternehmen interessant ist, hängt dabei von der Größe und der Infrastruktur ab. Betreiben größere Firmen und Institutionen meistens ein umfassendes System, so ist für kleinere Unternehmen die Implementierung über eine Excel-Liste ebenso vorstellbar. Wer aber noch kein ISMS hat sollte tunlichst vermeiden, selbst eines aufbauen zu wollen, auch wenn die Zeit mittlerweile drängt. Externe Dienstleister unterstützen stattdessen bei Aufbau und Betrieb und helfen Lücken zu finden und zu schließen. Zudem bieten sie technische Maßnahmen für die IT-Security und eine fundierte Incident Response. So haben auch kleine und mittelständische Unternehmen nichts von NIS2 zu befürchten.