Neues IT-Sicherheitsgesetz für die EU

Die gravierendste Neuerung der EU-Richtlinie NIS2 ist die Zielgruppe. Während bisher hauptsächlich große und kritische Unternehmen Vorschriften zur Cybersecurity befolgen müssen, werden es ab Oktober 2024 auch kleine und mittelständische Betriebe aus 18 Sektoren sein, die einen Jahresumsatz von mindestens 10 Millionen Euro vorweisen können und mindestens 50 Mitarbeiter haben.

Bisherige Entwürfe zur Umsetzung in Deutschland

Wie genau NIS2 in Deutschland umgesetzt werden wird, ist noch unklar, es wurden allerdings bereits zwei Entwürfe im April und Juli 2023 veröffentlicht. Diese bestätigen, dass der Adressatenkreis des sogenannten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) deutlich mehr Unternehmen umfassen wird als das bisher geltende IT-Sicherheitsgesetz 2.0. Außerdem ist bekannt, dass es sich um ein Artikelgesetz handeln wird. Das Herzstück stellt dabei das Bundesgesetz für die Sicherheit in der Informationstechnik (BSIG) dar, das 65 Paragraphen beinhalten soll.

Der Energiesektor ist hiervon ausgeschlossen und bekommt eine Sonderstellung. Er wird überwiegend im Energiewirtschaftsgesetz EnWG behandelt. Neben den konkreten Vorgaben, welche Pflichten Unternehmen nun zu erfüllen haben, enthalten die Entwürfe auch einen Plan, wie mit Geschäftsführern verfahren wird, die sich dem Gesetz verweigern: Sie haften persönlich und können mit Bußgeldern bis 20 Millionen Euro belangt werden.

Diese Vorgaben müssen Unternehmen wegen NIS2 erfüllen

Sobald NIS2 beziehungsweise das NIS2UmsuCG gilt, müssen betroffene Unternehmen beim Aufbau ihrer Cybersicherheit darauf achten, dass internationale Normen wie die ISO/IEC 27001 eingehalten werden. Außerdem ist es dann vorgesehen, dass regelmäßig Risikobewertungen und Audits stattfinden. Sobald es zu einem Sicherheitsvorfall kommt, muss dieser an die Behörden gemeldet werden. Auch die Mitarbeiter sollen auf dem Laufenden bleiben und regelmäßig Trainings zur “Cyberhygiene” erhalten. Nicht zuletzt müssen die Sicherheitsbestimmungen nicht nur vom Betrieb eingehalten werden, vielmehr haben Geschäftsführer auch dafür zu sorgen, dass sämtliche Unternehmen der Lieferkette die entsprechenden Vorgaben erfüllen.

Cloud gegen Angreifer schützen

Wer sich optimal auf das kommende Sicherheitsgesetz vorbereiten möchte, beginnt jetzt bereits damit, Maßnahmen umzusetzen. Dabei muss bedacht werden, dass die Sicherung der Cloud eine gemeinsame Verantwortung zwischen dem Cloud-Anbieter und dem Kunden darstellt. Die Cloud-Anbieter bieten in der Regel eine sichere Infrastruktur, während die Kunden für die Sicherheit ihrer eigenen Daten und Anwendungen in der Cloud verantwortlich sind. Daher ist eine umfassende Cloud-Sicherheitsstrategie von größter Bedeutung. Die folgenden Maßnahmen dienen als Orientierung für Unternehmen:

1. Identifizierung von Sicherheitsanforderungen
   Unternehmen sollten zuerst ihre spezifischen Sicherheitsanforderungen und Compliance-Vorgaben identifizieren, um sicherzustellen, dass ihre Cloud-Sicherheitsstrategie diesen gerecht wird.
2. Zugangs- und Identitätsmanagement
   Die Implementierung von Zugriffskontrollen und Identitätsmanagement ist entscheidend, um sicherzustellen, dass nur autorisierte Benutzer auf Cloud-Ressourcen zugreifen können. Dies kann durch die Verwendung von Multi-Faktor-Authentifizierung (MFA) und rollenbasiertem Zugriff erreicht werden.
3. Verschlüsselung
   Unternehmen sollten Daten in der Cloud sowohl während der Übertragung als auch im Ruhezustand verschlüsseln. Dies schützt vor Datenlecks und unberechtigtem Zugriff.
4. Datenklassifizierung und -schutz
   Es ist wichtig, Unternehmensdaten zu klassifizieren und entsprechend ihrer Sensitivität zu schützen. Dies kann bedeuten, dass bestimmte Daten in der Cloud gespeichert oder verarbeitet werden, während andere offline oder in privaten Clouds gesichert werden.
5. Netzwerksicherheit
   Cloud-Netzwerke sollten sorgfältig konfiguriert werden, um unautorisierten Zugriff und Angriffe zu verhindern. Firewalls, Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) sind wichtige Komponenten der Netzwerksicherheit.
6. Security as Code
   Unternehmen sollten Sicherheit in ihre DevOps- und CI/CD-Pipelines integrieren, um sicherzustellen, dass Sicherheitsprüfungen und -richtlinien automatisiert und konsistent angewendet werden.
7. Cloud-spezifische Sicherheitslösungen
   Es gibt viele Cloud-spezifische Sicherheitstools und -dienste, die Unternehmen verwenden können, um ihre Cloud-Workloads und -Daten zu schützen. Dazu gehören Cloud Access Security Broker (CASB), Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platforms (CWPP).
8. Überwachung und Protokollierung
   Unternehmen sollten Cloud-Ressourcen kontinuierlich überwachen, um verdächtige Aktivitäten frühzeitig zu erkennen. Die Protokollierung ist entscheidend, um Sicherheitsvorfälle zu analysieren und Compliance-Anforderungen zu erfüllen.
9. Incident Response und Notfallwiederherstellung
   Unternehmen sollten einen klaren Plan für den Umgang mit Sicherheitsvorfällen in der Cloud haben und sicherstellen, dass ihre Daten regelmäßig gesichert und wiederhergestellt werden können.
10. Schulung und Sensibilisierung der Mitarbeiter
    Die Mitarbeiter sind oft die erste Verteidigungslinie gegen Sicherheitsbedrohungen. Schulungen und Sensibilisierungskampagnen können dazu beitragen, das Bewusstsein für Sicherheitsrisiken zu schärfen.

Andreas O. Schwan

ist Experte für das Management von Informationen und Daten. Er unterstützt Konzerne sowie kleine und mittelständische Unternehmen dabei, ihrer Datenmengen zielführend zu organisieren und sie gewinnbringend einzusetzen.