Dieser Blogpost behandelt was die Kernpunkte sind, die man behandeln muss, um von einem bestehenden ISMS auf Basis der ISO/IEC 27001 die NIS2 Anforderungen zu erfüllen.
Nochmal in Kürze worum es in der NIS2 Richtlinie geht. Die EU hat mit der NIS 2-Richtlinie zur Erhöhung der Cybersicherheit, den europäische Rahmen für Betreiber Kritischer Infrastrukturen bzgl. Informationssicherheitsmindeststandards in der EU festgelegt. Die Umsetzung der EU-Richtlinie in nationales Recht erfolgt voraussichtlich durch das Artikelgesetz NIS2UMsuCG im März bzw. Oktober 2024
Was ist von Unternehmen allgemein im Rahmen von NIS2 umzusetzen?
Als erstes muss das Thema Informationssicherheit nachweislich in der Führungsebene verankert werden und ein Informationssicherheits-Managementsystem, ein ISMS implementiert werden, welches Vorgaben für IT und Mitarbeiter definiert. Sprich die Management Awareness und ein geordneter Umgang mit der Informationssicherheit muss nachgewiesen werden.
Ebenfalls muss ein Risikomanagement zur Bewertung und Behandlung von Informationssicherheitsrisiken eingeführt werden, dass auch die Informationssicherheitsrisiken bei Lieferanten und Dienstleistern identifiziert und behandelt.
Aufbauend auf das Risikomanagement müssen dann technische, operative und organisatorische Maßnahmen und Sensibilisierungsmaßnahmen umgesetzt werden.
Last but not least muss sich ein Unternehmen auf ein Informationssicherheitsvorfall vorbereiten und beispielsweise die Meldung an das BSI in den Prozess integrieren. Zusätzlich müssen noch IT-Notfallpläne erstellt werden, um auf entsprechende Vorfälle vorbereitet reagieren zu können.
Was ist von Unternehmen auf Basis eines bereits vorhandenen ISMS zu tun?
Das Vorgehen ist Vergleichbar zu den Inhalten die man bereits aus der ISO/IEC 27001 kennt und somit ist ein Unternehmen schon gut vorbereitet auf NIS2 wenn es bereits ein ISMS auf Basis der ISO/IEC 27001 umgesetzt hat und es kann das Vorgehen angepasst werden.
Als wichtigsten Schritt muss ein Unternehmen zu Beginn abgleichen, ob denn der Geltungsbereich des vorhandenen ISMS bereits den vollständigen NIS2 Geltungsbereich abdeckt. Für „NIS 1“ wurde vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik, Anforderungen definiert, die man erstmal auch für NIS2 verwenden kann.
Gegebenenfalls muss dann der Geltungsbereich des ISMS entsprechend erweitert werden, was natürlich weitere Anpassungen nach sich zieht, die hier nicht weiter behandelt werden sollen.
Bezüglich der Schutzziele spricht man bei der ISO/IEC 27001 typischerweise von den 3 Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität.
- Vertraulichkeit bedeutet, dass der Zugang zu Informationen auf Personen mit den entsprechenden Befugnissen beschränkt ist.
- Verfügbarkeit bedeutet, dass Informationen dann verfügbar sind, wenn sie benötigt werden, also zur richtigen Zeit.
- Und Integrität bedeutet, dass die Informationen vollständig und korrekt sind
Also zusammengefasst: Die richtige Person mit dem richtigen Zugang erhält zur richtigen Zeit, zu den richtigen Daten Zugriff.
NIS2 spricht jedoch von 4 Schutzzielen. Neben den 3 bereits genannten Schutzzielen, wird noch die Authentizität als weiteres Schutzziel genannt.
Authentizität bedeutet, dass die Echtheit und Glaubwürdigkeit des Objekts bzw. Subjekts anhand einer eindeutigen Identität und charakteristischen Eigenschaften überprüfbar ist.
Spricht, die Identität einer Quelle oder Kommunikationspartners ist zu verifizieren und die Kommunikationswege so sicher wie möglich, bspw. mit Hilfe von Verschlüsselung und/oder Zertifikaten, zu gestalten.
Die Authentizität ist eng mit der Integrität verknüpft.
Für die NIS2 Compliance müssen alle 4 Schutzziele im Rahmen des Risikomanagements berücksichtigt werden. Sofern eine Schutzbedarfsfeststellung durchgeführt wird, sind hier alle 4 Schutzziele zu betrachten und zu bewerten.
Beim Risikomanagement ist zusätzlich sicherzustellen, dass dem All-Gefahren-Ansatz gefolgt wird und somit alle Gefahrenarten (z. B. Naturgefahren, technologische Gefahren, usw.) berücksichtigt werden. Eine Liste der Gefährdungen könnt ihr aus dem IT-Grundschutz-Kompendium herausziehen („elementaren Gefährdungen“).
Conclusio
Wenn man diese drei Punkte abgearbeitet hat, ist man der erfolgreichen Umsetzung der NIS2 schon deutlich näher. Es gilt dann noch abzugleichen, ob noch weitere Maßnahmen die von NIS2 gefordert werden, umgesetzt werden müssen und noch das eine oder andere Detail zu beachten.
Für „NIS 1“ gibt es vom BSI bereits eine Beschreibung worauf zu achten ist, wenn ein Unternehmen ein bestehendes ISO/IEC 27001-Zertifikats als Bestandteil eines Nachweises (gemäß § 8a Absatz 3 BSIG) gegenüber dem BSI verwenden möchte. Voraussichtlich wird dies in ähnlicher Weise auf NIS2 übertragbar sein.
Quellen
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
https://intrapol.org/wp-content/uploads/2023/05/NIS2UmsuCG.pdf