Thought Leadership
Am 19. Juli wurde die viel diskutierte und lang erwartete EU-Richtlinie zur Netz- und Informationssicherheit (NIS) im Amtsblatt der Europäischen Union veröffentlicht. Die Richtlinie wurde entwickelt, um das Vertrauen der Gesellschaft in die Technologie sicherzustellen, von der sie immer mehr abhängig ist.
Am 8. August 2016 tritt die Richtlinie in Kraft, ist dann aber noch nicht unmittelbar anzuwenden. Den EU-Mitgliedstaaten bleibt noch Zeit bis zum bis zum 10. Mai 2018, um die Richtlinie in nationales Recht umzusetzen. Unternehmen sollten folglich bis zum 11. Mai 2018 zusehen, dass sie den Anforderungen gerecht werden. Einige Länder könnten die NIS-Richtlinie bereits früher in nationales Recht umsetzen. In jedem Fall muss das verantwortliche Sicherheitsteam einen Zeitplan definieren, wann was zu tun ist.
Zunächst gilt es zu klären, ob das eigene Unternehmen überhaupt betroffen ist. Im Rahmen einer Studie, die Palo Alto Networks gemeinsam mit IDC durchgeführt hat, wurde bereits deutlich, dass hier noch etwas Verwirrung herrscht. Die Richtlinie gilt zum einen für „Erbringer wesentlicher Dienstleistungen“. Dies ist eine öffentliche oder private Einrichtung, die „eine Dienstleistung erbringt, die für die Aufrechterhaltung wichtiger gesellschaftlicher und wirtschaftlicher Tätigkeiten wesentlich ist; von Netz- und Informationssystemen abhängig ist; und bei der ein Angriff auf die Netz- und Informationssysteme erhebliche störende Auswirkungen auf den Betrieb hätte.“
Maßnahme 1
Obwohl die Richtlinie Branchen und Teilsektoren als Erbringer wesentlicher Dienstleistungen auflistet, muss jedes Land identifizieren, welche Unternehmen dazugehören. Die Unternehmen müssen bei der zuständigen nationalen Behörde überprüfen, ob sie betroffen sind. Nur weil ein Industriesektor nicht als „wesentlicher Dienst“ in der Richtlinie aufgeführt ist, bedeutet das nicht, dass er nicht den Sicherheitsanforderungen der EU unterliegt. Die Richtlinie erkennt an, dass einige Sektoren bereits branchenspezifischen EU-Anforderungen an die Sicherheit unterliegen, die entweder der Richtlinie entsprechen oder möglicherweise höher als in der Richtlinie definiert sind. Unter anderem verlangt die Richtlinie, Maßnahmen zu ergreifen, die dem „Stand der Technik“ entsprechen.
Maßnahme 2
Es gilt zu überprüfen, ob die eigene Branche aufgrund bestehender gesetzlicher oder Compliance-Anforderungen die Ziele der Richtlinie bereits übererfüllt und damit nicht betroffen ist. Für Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Provider) gilt ebenfalls eine Meldepflicht für Sicherheitsvorfälle, wenn auch weniger streng als für die Erbringer wesentlicher Dienstleistungen. Die Anforderungen gelten aber nicht für „sehr kleine“ oder „kleine“ Unternehmen im Sinne des EU-Rechts.
Maßnahme 3
Die Mitgliedstaaten werden „Anbieter digitaler Dienste“ nicht zusätzlich definieren, damit gilt die Definition in der Richtlinie. Somit sollten entsprechende Unternehmen in der Lage sein, sofort zu bestimmen, ob dies auf sie zutrifft.
Maßnahme 4
Die Sicherheits- und Meldeanforderungen für digitale Dienstleister werden von der Europäischen Kommission entwickelt. Wer betroffen ist, hat die Möglichkeit, die Anforderungen zu beeinflussen. In einem ersten Schritt wird zurzeit eine Umfrage von der ENISA über den Umfang der Meldepflicht zu Vorfällen durchgeführt. Was gibt es als nächstes zu beachten? Die Richtlinie besagt, dass sowohl Betreiber von wesentlichen Dienstleistungen als auch digitale Dienstleister Cybersicherheitsmaßnahmen auf dem Stand der Technik einsetzen müssen. Zudem müssen sie nationale Behörden über Cybersicherheitsvorfälle informieren.
Maßnahme 5
Da der Umfang der Richtlinie und die Fristen nun festgelegt sind, müssen Unternehmen, die betroffen sind, eine Analyse durchführen, wie weit sie von den Anforderungen entfernt sind, was die Sicherheits- und Meldepflichten betrifft:
Für Erbringer wesentlicher Dienstleistungen gilt (Auszug aus Artikel 14): „Die Mitgliedstaaten stellen sicher, dass die Erbringer wesentlicher Dienstleistungen angemessene und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit von Netzen und Informationssystemen, die sie in ihrem Betrieb verwenden, zu verwalten. Diese Maßnahmen müssen dem Stand der Technik entsprechen, um ein Maß an Sicherheit von Netzen und Informationssystemen entsprechend der Gefährdung zu gewährleisten.“ (…) „Die Betreiber müssen unverzüglich an die zuständige Behörde oder das zuständige CSIRT alle Vorfälle melden, die eine bedeutende Auswirkung auf die Kontinuität der wesentlichen Dienste, die sie zur Verfügung stellen, haben.“
Für Anbieter digitaler Dienste gilt (Auszug aus Artikel 16) „Die Mitgliedstaaten stellen sicher, dass die Anbieter geeignete und angemessene technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit von Netzen und Informationssystemen, die sich im Zusammenhang mit ihren Angeboten [Online-Marktplatz, Online-Suchmaschine, Cloud-Computing-Dienste] ergeben, zu verwalten.“ (…) „Anbieter digitaler Dienste müssen einen Vorfall, der einen wesentlichen Einfluss auf die Erbringung einer Dienstleistung [Suche, Online-Marktplätze, Cloud] in der EU hat, unverzüglich an die zuständige Behörde oder das zuständige CSIRT melden.“
Nun geht es um folgende Fragen: Wie sieht die Strategie im Unternehmen aus, um den Anforderungen gerecht zu werden? Wurde bereits ein Budget zugewiesen und besteht Unterstützung von entsprechenden Anbietern, um dies zu erreichen? Wie soll sichergestellt werden, dass der Stand der Technik validiert und gepflegt wird? Ebenso geht es um die Nutzung der verfügbaren Ressourcen. Jeder Mitgliedsstaat muss ein CSIRT etablieren und die CSIRTs sollen untereinander nicht-vertrauliche Informationen über Cybersicherheitsvorfälle und die damit verbundenen Risiken teilen. Dies wird einen sehr guten Einblick vermitteln, welches die wichtigsten Cyberrisiken für die Unternehmen sind, für die die Richtlinie gilt. Die CSIRTs sollen Zugang zu qualifizierten Ressourcen zur Verfügung stellen zu Zwecken der Definition und Überprüfung und während der Incident-Response-Zyklen.
Ist das CSIRT oder die zuständige nationale Behörde, an die Vorfälle gemeldet werden müssen, bekannt? (CSIRTs können bereits vorhanden sein, in anderen Fällen werden die Mitgliedstaaten sie erst einrichten.) Wie sieht die Verbindung zu diesen Institutionen aus?
Maßnahme 6
Besteht im Unternehmen bereits eine Incident-Response-Strategie? Wenn nicht, wie sieht die Vorbereitung auf diese Anforderung aus? Dies bedeutet, wie sollen die verfügbaren Fähigkeiten, Kenntnisse und Ressourcen genutzt werden, um einen Vorfall zu definieren, zu validieren oder bei einem Vorfall unterstützend zu agieren.
Es scheint noch eine lange Zeit zu sein bis 2018, aber die Unternehmen sollten zusehen, die Anforderungen der Richtlinie bereits 2017 zu erreichen. Die restliche Zeit im Jahr 2018 sollte genutzt werden, um die Fähigkeiten zu validieren und zu testen, egal ob es um das Erreichen des Stands der Technik geht oder um die Reaktion auf Vorfälle und Benachrichtigungsfunktionen. Entscheidend ist es, zu verstehen, ob die neue Richtlinie für das jeweilige Unternehmen gilt. Zudem empfiehlt Palo Alto Networks, mit den nationalen Behörden und vertrauenswürdigen Anbietern zusammenzuarbeiten, um die verbleibende Zeit zu nutzen – und die Cybersicherheit bis zur Frist im Mai 2018 auf den Stand der Technik zu bringen.
