NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO: Die Gemeinsamkeiten
Sofern Unternehmen überhaupt von NIS2 betroffen sind, haben sie angesichts bereits bestehender Regularien weniger Zusatzaufwand als befürchtet, denn es gibt viele Schnittmengen.
Die verschiedenen IT-Sicherheitsvorgaben und Anforderungen an NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO zeigen viele Gemeinsamkeiten. Das eröffnet Unternehmen die Chance, Synergien zu nutzen und durch einen zentralen Ansatz mehrere Vorgaben gleichzeitig zu erfüllen.
Mehr über NIS2 in unserer Blog-Serie:
Teil 1 NIS2 im Kontext: IT-Grundschutz, KRITIS-Vorgaben und Co. in neuem Gewand?
Teil 3 Betroffen von NIS2? Sechs Handlungsempfehlungen
Im Rahmen des NIS-2-Umsetzungsgesetzes sind Unternehmen dazu verpflichtet, umfassende Sicherheitsgarantien zu implementieren, um ihre IT-Infrastruktur gegen Cyberbedrohungen abzusichern. Diese Sicherheitsgarantien zielen darauf ab, die Widerstandsfähigkeit von Netz- und Informationssystemen zu stärken.
Die Sicherheitsgarantien müssen zudem auf die gesamte Lieferkette ausgeweitet werden. Unternehmen sind verpflichtet, sicherzustellen, dass auch ihre Dienstleister und Zulieferer den hohen Sicherheitsanforderungen der NIS-2-Richtlinie gerecht werden. Dies soll durch vertragliche Vereinbarungen sowie regelmäßige Audits und Sicherheitsüberprüfungen gewährleistet werden.
NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO: Gemeinsamkeiten
in 6 verschiedenen Kernbereichen
Die einzelnen Richtlinien und Regulatoriken haben viele Überschneidungen und Gemeinsamkeiten, sie basieren zum Teil auf denselben Grundlagen und Anforderungen an IT-Sicherheit. Bei der Umsetzung können Unternehmen also eher mit Ergänzungsaufwand, als mit multipliziertem Aufwand rechnen. Hier der Überblick:
Risikomanagement
Ein systematisches Risikomanagement wird in allen Regularien gefordert. Organisationen müssen Risiken identifizieren, analysieren und bewerten. Darauf basierende Maßnahmen sollen Angriffe verhindern oder zumindest die Auswirkungen mildern. Das Risikomanagement muss dabei sowohl technische als auch organisatorische Maßnahmen umfassen, wie sie z.B. in den NIS2-Vorgaben detailliert beschrieben werden.
Ein zentraler Aspekt der NIS2-Richtlinie und der Datenschutzgrundverordnung ist das Risikomanagement im Rahmen der Lieferkette:
Unternehmen, die Dienstleister oder Subunternehmer beauftragen, müssen sicherstellen, dass diese ebenfalls angemessene Sicherheits- und Datenschutzmaßnahmen implementieren. Das Risikomanagement erstreckt sich also auf alle Beteiligten der Lieferkette. Dies bedeutet, dass Unternehmen auch von ihren Auftragnehmern den Nachweis der Einhaltung von Sicherheits- und Datenschutzrichtlinien einfordern müssen. Auch hier überschneiden sich die Anforderungen der NIS2-Richtlinie mit der DSGVO, da Auftragnehmer, die im Namen eines Unternehmens personenbezogene Daten verarbeiten, den strengen Anforderungen der DSGVO unterliegen.
Technische und organisatorische Maßnahmen
Unternehmen müssen nachweislich über geeignete technische und organisatorische Maßnahmen verfügen, welche potenzielle Sicherheitsrisiken zu minimieren.
Zu den technischen und organisatorischen Maßnahmen zählen unter anderem:
- Zugangskontrollen und Identitätsmanagement
Die Kontrolle von Zugriffsrechten sind ein zentrales Thema. Die Anforderungen an Identity und Access Management (IAM) überschneiden sich dabei in allen relevanten Sicherheitsnormen. - Kryptografie
Technische Maßnahmen zur sicheren Kommunikation und zum Schutz sensibler Daten durch Verschlüsselung. - Business Continuity Management
Wie gewährleistet man die Betriebsfähigkeit im Krisenfall? Unternehmen müssen die Kontinuität von kritischen Diensten auch im Falle eines Angriffs oder Systemausfalls nachweisen (siehe auch Blog-Beitrag: IT-Notfallplan erstellen). - Sicherheitsprotokolle
Unternehmen sind verpflichtet, die Sicherheitsprotokolle regelmäßig zu überprüfen und bei Bedarf zu aktualisieren.
Incident Management
Ein strukturiertes Vorfallmanagement mit Incident-Response-Plänen ist sowohl in NIS2 als auch im IT-Grundschutz und KRITIS eine zentrale Anforderung. Organisationen müssen in der Lage sein, Cybervorfälle zu erkennen, zu dokumentieren, zu melden und angemessen darauf zu reagieren. Im Nachgang eines Vorfalls geht es um die künftige Vorsorge und Verbesserung der Prozesse durch Lessons Learned.
Technische Sicherheitsmaßnahmen
Maßnahmen wie Firewalls, Intrusion Detection Systems (IDS), regelmäßige Sicherheitsupdates und Patch-Management sind explizite Anforderungen in allen Regularien. Hier finden sich viele Überschneidungen im IT-Grundschutz, KRITIS und NIS2. Der Gesetzgeber fordert außerdem, dass Unternehmen automatisierte Lösungen nutzen, um Sicherheitsvorfälle effizient zu erkennen und zu melden – eine zentrale Anforderung im Rahmen der NIS-2-Durchsetzung.
Awareness und Schulungen
Sämtliche Regelwerke betonen unisono, wie wichtig die Sensibilisierung und Schulung aller Mitarbeiter als Maßnahme zur Risikominimierung ist. Insbesondere für Mittelständler ist es wichtig, dies strukturiert und kontinuierlich umzusetzen, um ein wirksames „Human Firewall“-Konzept etablieren zu können.
Datenschutzrechtliche Aspekte und Anforderungen
Neben Cybersicherheitsmaßnahmen fordert die NIS2-Richtlinie, dass Unternehmen datenschutzrechtliche Bestimmungen wie die DSGVO einhalten. Unternehmen müssen sicherstellen, dass ihre IT-Sicherheitsmaßnahmen auch den Schutz von personenbezogenen Daten gewährleisten – insbesondere in Bezug auf Zugriffsrechte, Datenverschlüsselung und Datenspeicherung.
Viele der technischen und organisatorischen Maßnahmen, die für die IT-Sicherheit gelten, sind auch im Rahmen des Datenschutzes erforderlich.
Zu den Datenschutzmaßnahmen zählen:
- Datensicherung und Verschlüsselung
Sensible personenbezogene Daten müssen durch entsprechende Verschlüsselungs- und Sicherungsmaßnahmen vor unberechtigtem Zugriff geschützt werden. - Identitäts- und Zugriffsmanagement
Wie auch bei den Anforderungen der NIS2-Richtlinie ist ein striktes und sicheres Zugriffsmanagement erforderlich, um den unberechtigten Zugriff auf personenbezogene Daten zu verhindern. Dies schließt z.B. Multi-Faktor-Authentifizierung ein. - Datenminimierung und Speicherbegrenzung
Unternehmen müssen sicherstellen, dass nur die notwendigen personenbezogenen Daten verarbeitet und diese nicht länger als nötig aufbewahrt werden.
NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO: Gemeinsamkeiten bergen Lösungsansätze für NIS2-Compliance
Die Umsetzung der NIS2-Richtlinie erfordert erhebliche Anstrengungen – insbesondere für KMU, die bislang nicht von allen Cybersicherheitsregularien betroffen waren.
Die zentralen Herausforderungen bieten wegen vieler Überschneidungen mit bestehenden Richtlinien zugleich Lösungsansätze:
- Erweiterung des Anwendungsbereichs
Viele Unternehmen, die bisher nicht unter KRITIS fielen, fallen nun unter die NIS2-Richtlinie. Zusätzlich betroffen sind Sektoren wie die Telekommunikation, das verarbeitende Gewerbe, Chemie sowie digitale Dienste. Gerade für KMU stellt dies jedoch einen signifikanten Aufwand dar. - Nachweispflichten und Sanktionen
Richtlinien wie NIS2-Richtlinie oder auch DSGVO sehen hohe Strafen bei Verstößen vor. Unternehmen müssen daher regelmäßig Audits durchführen und Berichte über ihre Sicherheits- und Datenschutzmaßnahmen vorlegen.
Zuwiderhandlungen können sowohl nach DSGVO als auch NIS2 zu erheblichen finanziellen Sanktionen führen, in Höhe von bis zu 4 % bzw. 2 % des weltweiten Jahresumsatzes.
FAZIT
Die von NIS2 und anderen Regularien geforderten Sicherheitsmaßnahmen dienen nicht nur dem Selbstzweck der Unternehmen, ihre eigenen Systeme zu schützen. Sie leisten auch einen wichtigen Beitrag zur gesamtgesellschaftlichen Cybersicherheit, gerade in Bezug auf kritische Infrastrukturen.
Im Kern geht es bei den Richtlinien darum, Sicherheitsmaßnahmen zu treffen, welche Schwachstellen möglichst frühzeitig beheben. Zudem sollen mit den Maßnahmen Cyberangriffe, Data-Breaches und Datenschutzverstöße verhindert werden. Die Experten von ProSoft und von der Datenschutzagentur helfen Ihnen gerne weiter. Nehmen Sie unverbindlich Kontakt auf zu uns.
Das könnte Sie auch interessieren:
RFID-Technologie für doppelte Sicherheit
RFID – radio-frequency identification – kann auf eine erstaunliche Entwicklung zurückblicken: aus...
Keyless-Go Datenschutz
Keyless-Go sorgt dafür, dass Fahrzeuge ohne Betätigen des Funkschlüssels geöffnet werden können....
Windows Anmeldung ohne Passwort
Während Online-Portale immer noch Tipps für sichere Passwörter geben, gehen Microsoft und die...
Auditsicherheit durch Log-Management
Log-Management ist selten eine Lösung, sondern häufig fortwährende Aufgabe. Ein konkreterer Ansatz...
Von der Caesar-Verschlüsselung zu RSA 4096
Die symmetrische Verschlüsselung war über Jahrhunderte das Maß aller Dinge. Erfahren Sie hier,...
BitLocker Single Sign-on
Bei der nativen Nutzung der Festplattenverschlüsselung Microsoft BitLocker haben Organisationen...
99,9 % Sicherheit durch Mehrfaktor-Authentifizierung
Ein mindestens 12-stelliges Passwort mit Sonderzeichen und Zahlen? Nie das gleiche Passwort für...
Anti-Viren vs. Anti-Malware Scanner
Die Begriffe Anti-Viren und Anti-Malware Scanner werden vielfach im gleichen Kontext genutzt. Doch...
Sicheres Homeoffice: Unternehmen wollen jetzt reagieren
Zuerst aus der Not heraus, dann dauerhaft weiter im Fokus: Die Corona-Pandemie hat viele...
Keine sichere Authentifizierung unter dieser Nummer
Microsoft empfiehlt dringend den Einsatz einer Mehrfaktor-Authentifizierung und relativiert die...
