Auditierung & Beratung

Die Kernforderungen des NIS2UmsuCG

Viel, sehr viel (zu viel) ist über das NIS2UmsuCG gesprochen worden – statt es zu verabschieden und umzusetzen (der Name wäre Programm gewesen). Weder die alte Bundesregierung noch die damalige Opposition haben sich Ende 2024 mit Ruhm beklecket, wenn es darum ging, das Richtige zu tun – wo die Einen zu lange getrödelt haben, da haben die anderen mit Taktieren der Sache geschadet.

Wenn man den Gesetzesentwurf zum NIS-2 Umsetzungsgesetz nach konkreten Anforderungen durchsucht, muss man etwas Geduld mitbringen.

Natürlich werden zunächst die Begrifflichkeiten erläutert und festgelegt, an wen sich die Regulierung genau wendet.

Wenn man aber bei §30 angekommen ist, wird es unvermittelt ganz konkret. Dort steht „plötzlich“ folgendes.

Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einemgefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendesumfassen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
  2. Bewältigung von Sicherheitsvorfällen,
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Der Dreh- und Angelpunkt steht ganz oben und während etliche Folgepunkte abstrakt bleiben, wird es in Satz 10 wiederum sehr konkret.

Wichtig: sorgfältig lesen!

Wichtig zu verstehen ist, dass es mit den 10 Punkten nicht getan ist. Beim Lesen merkt man sofort: es sind im Grunde mehr Anforderungen.
Man muss die Liste in etwa so verstehen:

  1. Konzepte in Bezug auf
    • die Risikoanalyse
    • Sicherheit für Informationssysteme,
  2. Bewältigung von Sicherheitsvorfällen,
  3. Aufrechterhaltung des Betriebs, wie
    • Backup-Management und
    • Wiederherstellung nach einem Notfall, und
    • Krisenmanagement,
  4. Sicherheit der Lieferkette einschließlich
    • sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern, (Kauderwelsch! stattdessen:)
    • sicherheitsbezogener Aspekte der Beziehung zwischen Organisation(en) und ihren direkten Lieferanten
  5. Sicherheitsmaßnahmen bei
    • Erwerb,
    • Entwicklung und
    • Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich
    • Management und Offenlegung von Schwachstellen,
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  7. grundlegende Verfahren im Bereich der
    • Cyberhygiene und
    • Schulungen im Bereich der Cybersicherheit,
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
  9. Sicherheit des Personals,
  10. Konzepte für
    • die Zugriffskontrolle und
    • Management von Anlagen,
  11. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung,
  12. gesicherte
    • Sprach-, Video- und Textkommunikation
    • (Kauderwelsch! Warum sagt ihr nicht einfach: „Kommunikationssicherheit“?) sowie
  13. gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Natürlich muss man diese Vorgaben auch zu interpretieren wissen. Multi-Faktor-Authentifizierung überall? Auch für die App, die das Kantinen-Menü anzeigt? Oder an Bürotüren? Das Zauberwort heißt: „risiko-basiert“!

Ja, und was sind eigentlich „Konzepte“? Es sind zumindest schritfliche Planungen, die ein gewisses Maß an Reife und Verbindlichkeit besitzen – aber eventuell auch schon gültige organisatorische Maßnahmen; also Richtlinien.

Fazit

Zusammenfassend kann man sagen, dass die geforderten Maßnahmen in der Wirtschaft längst zum etablierten Standard gehören, doch wer sie noch nicht hat sei gewarnt: mit ein wenig „Sicherheits-Wischiwaschi“ ist es nicht (mehr) getan.
Der Fokus geht von rein technischen Maßnahmen hin zum technisch-organisatorischen Gesamtkonzept, um die Informationssicherheit in allen Kernbereichen der Organisation zu verankern.

§30 (und §31) gelten übrigens nicht für die Telekommunikations- und Energienetzbetrieber sowie die Gesellschaft für Telematik und Betreiber von Telematikinfrastruktur.

Der Gesetzesentwurf zum NIS2umsuCG ist hier verfügbar:
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf.pdf?__blob=publicationFile&v=2

Die originale NIS-2 Richtlinie ist hier verfügbar:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555