Ein international tätiger Hersteller von Maschinen hat sich auf die Umsetzung der Anforderungen der neuen NIS-2-Richtlinie vorbereitet. Dafür führte die Organisation eine NIS-2-Gap-Analyse durch. Bei der Umsetzung hat das international tätige Produktionsunternehmen mit der secunet Security Networks AG zusammengearbeitet. Sie bietet ihren Kunden Lösungen, Produkte und Dienstleistungen im Bereich der IT-Sicherheit und unterstützt auch durch nachhaltige Informationssicherheitsberatung.
Die Herausforderung: Digitale Industry und steigende Risiken
Die Industry ist zu großen Teilen auf digitale Prozesse umgestellt. Moderne Maschinen vernetzen sich mit Backend-Systemen, werten Betriebs- und Felddaten aus und empfangen Updates. Zudem kommunizieren sie untereinander und mit Maschinen anderer Hersteller. Diese Vernetzung vergrößert die Angriffsfläche für unberechtigte Zugriffe und Manipulationen. Die EU-Kommission fordert deshalb mit der Network and Information Security -2-Richtlinie (NIS-2-Richtlinie) Maßnahmen zur Erhöhung der Cybersicherheit von den EU-Mitgliedstaaten.
Das fordert die NIS-2-Richtlinie von Unternehmen
Basierend auf der NIS-2-Richtlinie ist jedes EU-Mitgliedsland verpflichtet, ein entsprechendes Umsetzungsgesetz zu erlassen. Dabei legt die Richtlinie unter anderem Parameter zur Ermittlung der Betroffenheit von Unternehmen und Organisationen fest.
Zur Feststellung der Betroffenheit nach dem NIS-2-Umsetzungsgesetz müssen insbesondere folgende Kriterien berücksichtigt werden:
Branche bzw. Sektor (Tätigkeitsbereich) sowie Unternehmensgröße (Anzahl der Beschäftigten, Jahresumsatz und Jahresbilanzsumme).
Zur Unterstützung der Betroffenheitsprüfung nach dem deutschen Umsetzungsgesetz stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein entsprechendes Prüfverfahren bereit.
Ein zentrales Element, das sowohl die NIS-2-Richtlinie als auch die Umsetzungsgesetze fordern, ist der Aufbau eines Informationssicherheitsrisikomanagements. Dieses bildet das Fundament der Informationssicherheit und ermöglicht es, individuell zu bewerten, ob die ergriffenen Maßnahmen angemessen sind, um das Informationssicherheitsniveau der jeweiligen Organisation kontinuierlich zu steigern.
Im deutschen NIS-2-Umsetzungsgesetz werden verbindliche Themengebiete und Maßnahmen definiert, die von betroffenen Unternehmen verpflichtend umgesetzt werden müssen. Dazu zählen insbesondere technische und organisatorische Cybersicherheitsmaßnahmen, die dem aktuellen Stand der Technik entsprechen. Hierzu gehören die Absicherung und Aufrechterhaltung der IT-Infrastruktur bzw. industriellen Systeme, sowie beispielsweise Maßnahmen zur Personalsicherheit und angemessenen Dienstleistersteuerung. Darüber hinaus sind Sicherheitsrichtlinien einzuführen, einzuhalten und zu pflegen. Ein weiterer zentraler Punkt ist die Pflicht zur Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden nach deren Bekanntwerden an die zuständigen Behörden.
Mit den neuen Vorgaben erhöht sich auch die Verantwortung der Geschäftsführung deutlich: Diese haftet bei Verstößen gemäß den Bestimmungen der jeweiligen Rechtsform. Zusätzlich drohen der Organisation empfindliche Bußgelder in Höhe von bis zu 10 Millionen Euro oder alternativ zwei Prozent des weltweiten Jahresumsatzes. Diese verschärften Anforderungen führen zu einem erheblichen Handlungsdruck für Unternehmen, ihre IT-Sicherheitsmaßnahmen und -prozesse zeitnah anzupassen und zu stärken.
Umsetzung: So lief das Projekt
Die Betroffenheit der Organisation wurde selbstständig durchgeführt. Im ersten Projektschritt wurde eine Kickoff-Veranstaltung ausgeführt, um das konkrete Vorgehen abzustimmen und alle Beteiligten zur Thematik zu sensibilisieren. Anschließend wurden je Standort Gap-Analysen in Form von „Self-Assessments“ vorbereitet. Hierzu wurden Fragebögen von secunet vorbereitet und zur Befüllung bereitgestellt. In Abhängigkeit der konsolidierten Ergebnisse der Fragebögen, wurden zusätzliche Interviewtermine durchgeführt. Komplexe Themengebiete wurden ebenfalls in Interviewterminen näher beleuchtet. Darüber hinaus haben Prüfungen für ausgewählte Dokumente mit Vorgabecharakter stattgefunden. Das Gesamtergebnis wurde mittels einer Ergebnispräsentation dargestellt. In dieser wurden der Ist-Zustand, die identifizierten Befunde, ein potenzieller Behandlungsplan sowie der Reifegrad von Themengebieten und einer dazugehörigen Priorisierung bereitgestellt. Hierbei wurde sich an den folgenden 12 Themengebieten orientiert. Diese bilden auch die Grundlage für die folgende Umsetzungsphase, welche nach Abschluss der Analyse gestartet ist.
