Was bei der NIS 2-Konformität schief läuft und wie man es korrigiert

Eine „Einmal und fertig“-Mentalität ist nicht die richtige Lösung für die Einhaltung gesetzlicher Vorschriften – ganz im Gegenteil. Die meisten globalen Vorschriften erfordern kontinuierliche Verbesserung, Überwachung sowie regelmäßige Audits und Bewertungen. Die NIS-2-Richtlinie der EU bildet da keine Ausnahme.

Aus diesem Grund dürfte der neueste Bericht der EU-Sicherheitsagentur (ENISA) für viele CISOs und Compliance-Leiter eine interessante Lektüre sein. ENISA NIS360 2024 beschreibt sechs Branchen, die mit der Einhaltung von NIS 27001 zu kämpfen haben, und erläutert die Gründe dafür. Gleichzeitig wird hervorgehoben, wie erfahrenere Unternehmen eine Vorreiterrolle einnehmen. Die gute Nachricht ist, dass Unternehmen, die bereits nach ISO 2 zertifiziert sind, feststellen werden, dass es relativ einfach ist, die Lücken zur NIS XNUMX-Konformität zu schließen.

Was ist neu in NIS 2

NIS 2 ist der Versuch der EU, ihr Flaggschiff-Gesetz zur digitalen Resilienz für die moderne Ära zu aktualisieren. Seine Bemühungen konzentrieren auf:

• Erweiterung der von der Richtlinie abgedeckten Sektoren
• Einführung konkreterer grundlegender Anforderungen an die Cybersicherheit
• Verringerung der Inkonsistenzen im Resilienzniveau verschiedener Sektoren
• Verbesserung des Informationsaustauschs, der Reaktion auf Vorfälle und des Risikomanagements in der Lieferkette
• Die Geschäftsleitung für schwerwiegende Versäumnisse zur Verantwortung ziehen

Britische Organisationen erhalten ihre eigene aktualisierte Version der ursprünglichen Richtlinie über Netzwerk- und Informationssysteme (NIS), wenn die Gesetzentwurf zur Cybersicherheit und Widerstandsfähigkeit findet endlich Eingang in die Gesetzgebung. Viele bieten jedoch Dienstleistungen für europäische Bürger an und/oder sind auf dem Kontinent tätig, was bedeutet, dass sie in den Geltungsbereich von NIS 2 fallen. Für diese Organisationen könnte NIS360 eine nützliche Lektüre sein.

Welche Sektoren haben Probleme?

Von den 22 im Bericht untersuchten Sektoren und Teilsektoren befinden sich sechs in der Compliance-Risikozone – das heißt, ihre Risikoposition entspricht nicht ihrer Kritikalität. Dabei handelt es sich um:

IKT-Servicemanagement: Obwohl die Branche Organisationen ähnlich wie andere digitale Infrastrukturen unterstützt, ist sie noch nicht so ausgereift. Die ENISA weist auf den Mangel an standardisierten Prozessen, Konsistenz und Ressourcen hin, um die zunehmend komplexen digitalen Abläufe zu bewältigen. Die mangelnde Zusammenarbeit zwischen länderübergreifenden Akteuren sowie die mangelnde Vertrautheit der zuständigen Behörden mit dem Sektor verschärfen das Problem zusätzlich.

ENISA drängt unter anderem auf eine engere Zusammenarbeit zwischen den Zertifizierungsbehörden und eine harmonisierte grenzüberschreitende Aufsicht.

Raum: Der Sektor spielt eine zunehmend wichtige Rolle bei der Bereitstellung einer Reihe von Dienstleistungen, darunter Telefon- und Internetzugang, Satellitenfernsehen und -radio, Überwachung von Land- und Wasserressourcen, Präzisionslandwirtschaft, Fernerkundung, Verwaltung abgelegener Infrastrukturen und Sendungsverfolgung in der Logistik. Der Bericht weist jedoch darauf hin, dass sich der Sektor als neu regulierter Sektor noch in der Anfangsphase der Anpassung an die NIS-2-Anforderungen befindet. Die starke Abhängigkeit von kommerziellen Standardprodukten (COTS), geringe Investitionen in Cybersicherheit und ein relativ unausgereifter Informationsaustausch erschweren die Herausforderungen zusätzlich.

ENISA drängt darauf, den Schwerpunkt stärker auf die Steigerung des Sicherheitsbewusstseins zu legen, die Richtlinien für die Prüfung von COTS-Komponenten vor der Bereitstellung zu verbessern und die Zusammenarbeit innerhalb des Sektors und mit anderen Branchen wie der Telekommunikation zu fördern.

Öffentliche Verwaltungen: Trotz seiner zentralen Rolle bei der Bereitstellung öffentlicher Dienstleistungen ist dieser Sektor einer der am wenigsten ausgereiften. Laut ENISA gibt es kein wirkliches Verständnis der Cyberrisiken und -bedrohungen, denen er ausgesetzt ist, oder auch nur des Umfangs von NIS 2. Dennoch bleibt er ein Hauptziel für Hacktivisten und staatlich unterstützte Bedrohungsakteure.

Die ENISA empfiehlt ein gemeinsames Servicemodell mit anderen öffentlichen Einrichtungen, um Ressourcen zu optimieren und die Sicherheitskapazitäten zu verbessern. Sie ermutigt öffentliche Verwaltungen außerdem, Altsysteme zu modernisieren, in Schulungen zu investieren und das EU-Gesetz zur Cyber-Solidarität zu nutzen, um finanzielle Unterstützung für die Verbesserung von Erkennung, Reaktion und Behebung von Cyberangriffen zu erhalten.

Maritim: Der Sektor ist für die Wirtschaft unverzichtbar (er bewältigt 68 % des Frachtaufkommens) und stark technologieabhängig. Er steht vor der Herausforderung veralteter Technologien, insbesondere der OT.

Die ENISA behauptet, sie könne von maßgeschneiderten Leitlinien für die Implementierung robuster Cybersicherheits-Risikomanagementkontrollen profitieren – mit Schwerpunkt auf Secure-by-Design-Prinzipien und proaktivem Schwachstellenmanagement in der maritimen OT. Sie fordert eine Cybersicherheitsübung auf EU-Ebene, um die multimodale Krisenreaktion zu verbessern.

Gesundheit: Der Sektor ist lebenswichtig und stellt 7 % der Unternehmen und 8 % der Arbeitsplätze in der EU. Angesichts der Sensibilität von Patientendaten und der potenziell tödlichen Auswirkungen von Cyber-Bedrohungen ist die Reaktion auf Vorfälle von entscheidender Bedeutung. Die Vielfalt der Organisationen, Geräte und Technologien innerhalb des Sektors, Ressourcenlücken und veraltete Praktiken führen jedoch dazu, dass viele Anbieter über grundlegende Sicherheitsmaßnahmen hinausgehen. Komplexe Lieferketten und veraltete IT/OT verschärfen das Problem zusätzlich.

ENISA möchte mehr Richtlinien für sichere Beschaffung und bewährte Sicherheitspraktiken, Schulungs- und Sensibilisierungsprogramme für Mitarbeiter sowie eine stärkere Einbindung in Kooperationsrahmen zur Entwicklung von Bedrohungserkennungs- und -reaktionssystemen.

Gas: Der Sektor ist anfällig für Angriffe, da er zur Steuerung und Vernetzung mit anderen Branchen wie der Strom- und Fertigungsindustrie auf IT-Systeme angewiesen ist. Laut ENISA sind die Vorsorge und Reaktion auf Vorfälle besonders schlecht, insbesondere im Vergleich zu vergleichbaren Branchen im Stromsektor.

Der Sektor sollte robuste, regelmäßig getestete Notfallreaktionspläne entwickeln und die Zusammenarbeit mit dem Strom- und Fertigungssektor hinsichtlich koordinierter Cyberabwehr, gemeinsamer Best Practices und gemeinsamer Übungen verbessern.

Was machen die Führungskräfte richtig?

Laut ENISA sind die Sektoren mit dem höchsten Reifegrad aus mehreren Gründen bemerkenswert:

• Umfangreichere Leitlinien zur Cybersicherheit, möglicherweise einschließlich branchenspezifischer Gesetze oder Standards
• Stärkere Aufsicht und Unterstützung durch EU-Behörden, die mit dem Sektor und seinen Herausforderungen vertraut sind
• Tieferes Risikoverständnis und effektiveres Risikomanagement
• Stärkere Zusammenarbeit und Informationsaustausch zwischen Einrichtungen und Behörden auf nationaler und EU-Ebene
• Ausgereiftere Betriebsbereitschaft durch gut erprobte Pläne

So erreichen Sie die NIS 2-Konformität

Man sollte bedenken, dass keine zwei Organisationen in einem bestimmten Sektor gleich sind. Die Ergebnisse des Berichts sind jedoch aufschlussreich. Und während ein Teil der Last zur Verbesserung der Compliance auf den Schultern der Zertifizierungsstellen liegt – zur Verbesserung von Aufsicht, Anleitung und Unterstützung –, geht es vor allem um einen risikobasierten Ansatz im Cyber-Bereich. Hier kommen Standards wie ISO 27001 ins Spiel, die Details liefern, die NIS 2 möglicherweise fehlen, so Jamie Boote, Associate Principal Software Security Consultant bei Schwarze Ente:

„NIS 2 wurde auf einem hohen Niveau geschrieben, da es für ein breites Spektrum von Unternehmen und Branchen gelten musste und daher keine maßgeschneiderten, verbindlichen Leitlinien enthalten konnte, die über die Information der Unternehmen darüber hinausgingen, was sie einhalten mussten“, erklärt er gegenüber ISMS.online.

NIS 2 schreibt Unternehmen zwar vor, dass sie über ein ‚Incident Handling‘ oder ‚grundlegende Cyber-Hygiene-Praktiken und Cybersicherheitsschulungen‘ verfügen müssen, aber es sagt ihnen nicht, wie sie diese Programme entwickeln, Richtlinien formulieren, Personal schulen und geeignete Werkzeuge bereitstellen sollen. Die Einführung von Frameworks, die detailliert auf das Incident Handling oder die Lieferkettensicherheit eingehen, ist äußerst hilfreich, um diese Richtlinien in alle Elemente zu zerlegen, die die Menschen, Prozesse und Technologien eines Cybersicherheitsprogramms ausmachen.

Chris Henderson, Senior Director of Threat Operations bei Huntress, stimmt zu, dass es eine erhebliche Überschneidung zwischen NIS 2 und ISO 27001 gibt.

„ISO 27001 deckt viele der unter NIS 2 geforderten Governance-, Risikomanagement- und Berichtspflichten ab. Wenn ein Unternehmen bereits den ISO 27001-Standard erfüllt, ist es gut aufgestellt, auch die NIS2-Kontrollen abzudecken“, erklärt er gegenüber ISMS.online. „Ein Bereich, in dem es Verbesserungen geben muss, ist das Krisenmanagement, da es keine entsprechende ISO 27001-Kontrolle gibt. Auch die Berichtspflichten für NIS 2 stellen spezifische Anforderungen, die durch die Implementierung von ISO 27001 nicht unmittelbar erfüllt werden.“

Er fordert die Organisationen dazu auf, zunächst die obligatorischen Richtlinienelemente von NIS 2 zu testen und sie den Kontrollen ihres gewählten Rahmens/Standards (z. B. ISO 27001) zuzuordnen.

„Es ist auch wichtig, die Lücken in einem Rahmenwerk selbst zu erkennen, da nicht jedes Rahmenwerk eine Regelung vollständig abdeckt und wenn noch nicht abgebildete Regelungsaussagen übrig sind, muss möglicherweise ein weiteres Rahmenwerk hinzugefügt werden“, fügt er hinzu.

Allerdings kann die Einhaltung dieser Vorschriften ein großes Unterfangen sein.

„Compliance-Frameworks wie NIS 2 und ISO 27001 sind umfangreich und erfordern einen erheblichen Arbeitsaufwand“, so Henderson. „Wenn man ein Sicherheitsprogramm von Grund auf neu aufbaut, kann man leicht in eine Analysestarre geraten, wenn man nicht weiß, wo man anfangen soll.“

Hier kommen Lösungen von Drittanbietern ins Spiel, die bereits die Mapping-Arbeit zur Erstellung eines NIS 2-Ready-Compliance-Leitfaden, Kann helfen.

Morten Mjels, CEO von Green Raven Limited, schätzt, dass Unternehmen mit der Einhaltung von ISO 27001 etwa 75 % des Weges zur Anpassung an die NIS 2-Anforderungen zurückgelegt haben.

„Compliance ist ein ständiger Kampf mit einem Giganten (dem Regulator), der niemals müde wird, niemals aufgibt und niemals nachgibt“, erklärt er gegenüber ISMS.online. „Deshalb haben größere Unternehmen ganze Abteilungen, die sich um die Sicherstellung der Compliance in allen Bereichen kümmern. Wenn Ihr Unternehmen nicht so aufgestellt ist, lohnt es sich, eine solche zu konsultieren.“

Schauen Sie sich dieses Webinar an um mehr darüber zu erfahren, wie ISO 27001 bei der Einhaltung von NIS 2 praktisch helfen kann.