NIS2 Cybersicherheit – Security für (fast) alle!

Veröffentlicht vonITSupport Schreibe einen Kommentar zu NIS2 Cybersicherheit – Security für (fast) alle!

Die Frage nach NIS2 erreicht uns in letzter Zeit häufiger, so dass wir dazu eine Stellung abgeben möchten.

NIS2 ist eine EU-Richtlinie zur Netz- und Informationssicherheit. Sie wurde im Oktober 2022 beschlossen und soll seit 2024 in den Unternehmen eingeführt sein. Ziele ist es die Cybersicherheit in der EU zu stärken. Betroffen sind Unternehmen, die kritische oder wichtige Dienste bereitstellen.

Im Detail:

Wer ist von NIS2 betroffen?

Unternehmen auf den Gebieten

  • Energie (Strom, Gas, Öl)
  • Transport (Bahn, Luftfahrt, Schifffahrt)
  • Gesundheitswesen
  • Trinkwasser- und Abwasserversorgung
  • Öffentliche Verwaltung
  • Digitale Infrastruktur (z. B. Rechenzentren, DNS-Anbieter)
  • Lebensmittelproduktion
  • Chemie
  • Maschinenbau
  • Post- und Kurierdienste
  • Anbieter digitaler Dienste (Cloud, E-Mail, Suchmaschinen)

Ausgenommen sind Unternehmen mit weniger als 50 Mitarbeitern und weniger als 10 Mio. Euro Jahresumsatz.

Was regelt NIS2?

Die Richtlinie verpflichtet Unternehmen und Behörden zu strengen Cybersicherheitsmaßnahmen. Hierzu zählen u.a.

  • Technische und organisatorische Schutzmaßnahmen
  • Regelmäßige Risikoanalysen, Notfallpläne, Sicherheitsupdates usw.
  • Meldepflichten bei Sicherheitsvorfällen. Schwere IT Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden.
  • Die Unternehmensleitung wird persönlich verantwortlich, wenn Sicherheitsanforderungen nicht erfüllt werden
  • Es drohen hohe Bußgelder (je nach Land mehrere Millionen Euro), ähnlich wie bei der DSGVO

Was muss ich konkret für NIS2 tun?

TOP 1: Betroffenheits-Check

Zuerst: Klären ob ihr betroffen seid! Gehört ihr zu den betroffenen Unternehmen oder fallt ihr in die Ausnahmen-Regelung?

TOP 2: Verantwortlichkeiten benennen

Falls ihr betroffen seid – die Geschäftsführung ist haftbar. Es muss eine verantwortliche Person benannt werden. Diese sollte sich jetzt via weiterführender Literatur oder Schulungen mit dem Thema vertraut machen.

TOP 3: Risiko-Management aufsetzen

Es wird ein Risiko-Management benötigt, das folgende Punkte dokumentiert:

  • Bedrohungsanalyse (z. B. durch Penetrationstests),
  • Bewertung der IT-Risiken,
  • Maßnahmenplan zur Risikominimierung

TOP 4: Technische und organisatorische Maßnahmen umsetzen (TOMs)

  • Zugangskontrollen, Firewalls, VPN
  • Patch- und Update-Management
  • Schutz vor Malware & Ransomware
  • Datensicherung (Backups, Notfallwiederherstellung)
  • Logging & Monitoring von Vorfällen
  • Incident-Response-Plan
  • Lieferkettenabsicherung (z. B. Prüfung von IT-Dienstleistern)

TOP 5. Meldeprozesse einrichten
Achtung: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden! Meldekette einrichten, definieren, was meldepflichtig ist und gffs. eine Kommunikationsschnittstelle zur zuständigen Behörde vorbereiten. (In Deutschland: BSI? Kann sich aber noch ändern.)

TOP 6 . Schulungen und Awareness
Betrifft alle Mitarbeiter, incl. Führungskräfte. Regelmäßige Schulungen (z. B. zu Phishing, Passwortsicherheit, IT-Notfällen) und Wissen, wie sie sich im Ernstfall verhalten sollen

TOP 7. Dokumentation und Nachweisfähigkeit
Du musst gegenüber Behörden nachweisen können, dass du NIS2 einhältst.

  • Dokumentiere alle Sicherheitsmaßnahmen und Prozesse,
  • Halte deine Sicherheitsstrategie schriftlich fest
  • Pflege ein Verzeichnis deiner IT-Systeme und Dienste (Hardware, Software, Webanbieter, Adressen u. Ansprechpartner)

Die ursprüngliche Idee sich aus irgendeiner Quelle mal eben eine Software aus dem Dark Web besorgen, die aufspielen und solange zu verwenden, bis die Hardware ins Museum gehört, könnt ihr erst einmal vergessen!  Aber falls ihr das doch machten wollt – ihr müsst dann dafür sorgen, dass dieses besondere IT Gebilde keine Sicherheitslücken nach außen aufbaut, also z.B. nur interne Verbindungen (eigenes Netzwerk, VPN Absicherung oder gar kein Netzwerk), abgekoppelt vom öffentlichen Netz des Unternehmens und natürlich auch mit einer Backup-Technologie ausgestattet, die im Fall einer Fehlfunktion den weiteren Betrieb übernehmen und sicherstellen kann. Kurzum: natürlich könnt ihr auch ein potenziell unsichereres System betreiben. Ihr müsst es nur in so einen dicken Käfig isolieren, dass nichts und niemand von außen ran kommt. Und es entsprechend dokumentieren!

Wie meistens in der Marktwirtschaft gibt es für NIS2 Dienstleister und Hilfen. Die IHKs halten in der Regel viele nützliche Informationen bereit, Dienstleister begleiten euch auf Wunsch bei dem ganzen Prozess usw usf.

Beispiel für eine Bonbonfabrik Leckersüss GmbH

Unternehmensprofil: Kleiner Lebensmittelhersteller (Bonbons), 80 Angestellte, 12 Mio. € Jahresumsatz, moderne Produktionsanlagen, IT-gestützte Logistik und ERP-System.

So setzt Leckersüss GmbH NIS2 um:

-) Zuständigkeiten klären. Die Geschäftsführung benennt NIS2-Verantwortlichen (z. B. IT-Leiter). Führungskräfte werden geschult – sie haften bei grober Fahrlässigkeit

-) Risikobewertung durchführen. Analyse: Welche IT-Systeme sind betriebs- oder versorgungsrelevant? Produktionssteuerung ERP-System (Lager, Lieferanten) Versand- und Logistiksysteme. Bewertung: Was passiert bei Ausfall, Hack, Datenleck?

-) Sicherheitsmaßnahmen umsetzen. Technische Maßnahmen:

  • Starke Passwörter + 2FA für kritische Systeme,
  • Regelmäßige Updates für Maschinensteuerung & Server
  • Firewall, Virenschutz, Netzwerksegmentierung
  • Tägliche Backups + Wiederherstellungstests

-) Organisatorische Maßnahmen:

  • IT-Sicherheitsrichtlinie (z. B. keine USB-Sticks, Updatepflicht)
  • Schulung der Mitarbeiter zu Cybergefahren
  • Notfallplan bei Ransomware oder Systemausfall

-) Meldesystem einführen. Eigene IT-Vorfälle intern erfassen und bewerten. Bei kritischen Ausfällen: Meldung innerhalb von 24h an BSI (oder zuständige Stelle)

-) Lieferkette im Blick. Prüfen: Wie sicher sind die Systeme von Zulieferern (z. B. Verpackung, Zuckerlieferanten)? Vertragsklauseln zu IT-Sicherheit und Ausfällen ergänzen

-) Dokumentation. Alles wird schriftlich festgehalten:

  • Risikobewertung
  • Maßnahmenpläne
  • Schulungsnachweise
  • Vorfallberichte

Diese Dokumentation dient dem Nachweis gegenüber Behörden. Nicht zu vergessen: Risikobewertungen und Updates müssen in regelmäßigen Abständen wiederholt werden. Allerdings ist der Aufwand in der Regel dann meistens deutlich geringer und es sind nur Aktualisierungen notwendig.

Was erfüllen die Produkte von AE SYSTEME?

Zuallererst einmal geht es  dabei um unsere Softwareprodukte. Als Hersteller eigener Software sind wir verpflichtet in der Entwicklung nur aktuelle Werkzeuge einwandfreier Herkunft einzusetzen. Wir programmieren z.B. mit Microsoft Visual Studio oder dem Android Studio von Google. Unsere Programmierer sind ausgewählte Mitarbeiter und Firmensitz ist im Inland. Wir vergeben keine Subaufträge irgendwo ans Ende der Welt an Organisationen, bei denen wir weder wissen noch erkennen können, wie sie ihren Job erledigen!

Unsere Software wird regelmäßig geupdatet und für betroffene Kunden bieten wir regelmäßige Update Services an. Es werden keine Hintertüren oder Schnittstellen programmiert, um ohne Kenntnis des Kunden Zugang zum Programm zu erlangen. Die Software ist transparent. Die Funktionen sind dokumentiert. Interne Prozesse sorgen bei uns dafür, dass Dokumentationen bei Änderungen schnellstmöglich aktualisiert werden.

Beispiel: So kann die Lagerverwaltung AEWWSLite zur NIS2 Compliance beitragen

TOP 1: Benutzer- und Zugriffskontrollen

  • AEWWSLite verwaltet Lagerdaten, Warenein-/-ausgänge und ggf. automatisierte Maschinenprozesse.

  • Nutzerkonten mit Rollen und Rechten (z. B. nur bestimmte Mitarbeiter dürfen Bestände ändern)

  • Einsatz von starken Passwörtern

  • Sperrung inaktiver Konten

In Verbindung mit dem Modul BENUTZERVERWALTUNG erfüllt NIS2-Anforderung an Zugangskontrolle.

TOP 2: Nachvollziehbarkeit und Protokollierung

  • AEWWSLite protokolliert jede Änderung: z. B. Lagerbewegungen, Umbuchungen, Bestandskorrekturen.

  • Diese Logs sind wichtig für: forensische Analyse nach einem Vorfall und

  • Nachweispflichten gegenüber Behörden

In Verbindung mit der BENUTZERHISTORIE erfüllt NIS2-Anforderungen an Ereignis- und Protokollmanagement.

TOP 3: Teil des Notfallmanagements

AEWWSLite ist betriebskritisch: Ohne Lagerdaten kann z. B. keine Produktion oder kein Versand erfolgen.

Integration in den IT-Notfallplan:

  • Wo liegen die Backups der Datenbank?
  • Wie schnell ist ein Wiederanlauf möglich?
  • Wer ist verantwortlich für die Wiederherstellung?

Erfüllt NIS2-Vorgaben zur Geschäftskontinuität.

TOP 4. Updates und Schwachstellenmanagement

Für AEWWSLite sind verfügbar:

  • regelmäßige Sicherheitsupdates
  • Tests auf Sicherheitslücken, z.B. durch Penetrationstests
  • der Hersteller kann gffs. Support oder Wartungsverträge anbieten, um dieses automatisiert sicherzustellen.

Erfüllt NIS2-Anforderung an Systemaktualität.

TOP 5. Schnittstellen-Absicherung

AEWWSLite hat keine automatisierten Schnittstellen ERP, Produktion oder Online-Bestellsystemen! Datenaustausch mit anderen Systemen muss vom Benutzer geprüft und genehmigt werden.

Zusätzlich kann in der Installation ein Schutz gegen Manipulation von außen eingerichtet werden, z.B. durch VPN, Firewalls.

Erfüllt NIS2-Anforderung an Netz- & Informationssystemschutz.

TOP 6. Mitarbeiterschulungen

Mitarbeiter, die mit AEWWSLite arbeiten, sollten in folgenden Punkten geschult sein:

  • Umgang mit Benutzerkonten
  • Erkennen ungewöhnlicher Aktivitäten
  • Verhalten im Notfall

Erfüllt NIS2-Vorgabe zur Sensibilisierung und Awareness.

Fazit: Die Lagerverwaltungssoftware AEWWSLite kann aktiv zur Einhaltung von NIS2 beitragen, wenn:

  • Sie technisch abgesichert ist
  • Sie in Notfall- und Sicherheitsprozesse eingebunden ist
  • Sie dokumentiert und überwacht wird
  • Sie von geschultem Personal genutzt wird

 

Anzeige: Lagerverwaltung – auch für kleine Lager und Logistikaufgaben! 

Ansprechpartner: (c) AE SYSTEME Testcenter, Hans-J. Walter.

Hans-J. Walter ist Programmierer für Anwendungen in Windows DOT.NET / C# und Java / Android Apps und Autor journalistischer Fachbeiträge über interessante Technik, Trends und Innovationen. Kontakt: hjw@terminal-systems.de

Für diese und alle nachfolgenden Seiten gilt der obligatorische Hinweis: Alle Angaben ohne Gewähr. Bilder und Codes zeigen Beispiele. Beschreibungen beziehen sich auf aktuell bei uns vorliegenden Zustand und stellen keine Bewertung der verwendeten Techniken da. Fehler und Änderungen vorbehalten!

 

Schreibe einen Kommentar