Gemäß der NIS-Verordnung Anhang 1 fordert der Gesetzgeber die Umsetzung von Sicherheitsmaßnamen aus den unterschiedlichsten Schwerpunkthemen. Das erste Kapitel umfasst die Bereiche Governance und Risikomanagement. Wir beleuchten für Sie die Anforderungen und zeigen potenzielle Herausforderungen bei der Umsetzung auf.
Bevor die Anforderungen nach NIS ins Detail beleuchtet werden, gilt es, die Begrifflichkeiten Governance und Risikomanagement näher zu erläutern.
Im Kontext des NIS-Gesetzes ergeben sich für die Bereiche Governance und Risikomanagement unterschiedliche Herausforderungen, die bereits durch den prominenten ISO 27001 Standard bekannt sind. Die NIS-Verordnung fordert in der Anlage 1 explizit die Umsetzung folgender Punkte:
Für all jene Bereiche und Systeme, die vom NIS-Gesetz betroffen sind, ist eine Risikoanalyse und eine anschließende Risikobewertung durchzuführen. Im Fokus der Analyse steht die Verfügbarkeit der notwendigen Systeme, um den wesentlichen Dienst erbringen zu können. Es sei angemerkt, dass die Analyse und Bewertung lediglich zwei der vier Schritte des Risikomanagement sind.
Eine Sicherheitsrichtlinie ist zu erstellen und periodisch zu aktualisieren. Dabei wird der erstrebte Sicherheitsanspruch einer Institution definiert, wobei der Fokus auf Verfügbarkeit und Informationssicherheit und den damit einhergehenden Sicherheitsanforderungen liegt.
Die betroffenen Systeme Betreiber wesentlicher Dienste oder Anbieter digitaler Dienste müssen regelmäßig überprüft werden. Die Durchführung der Überprüfungen ist zu planen und die Ergebnisse sind zu dokumentieren. Darüber hinaus sind diese auch im Bereich Risikomanagement zu berücksichtigen.
Um die Verfügbarkeit der NIS-relevanten Systeme kurz-, mittel- und langfristig zu gewährleisten, müssen die betroffenen Einrichtungen die notwendigen Ressourcen bereitstellen. Hierfür sind die regelmäßige Auswertung und laufende Prognose der benötigen Ressourcen notwendig, um eine angemessene Planung durchführen zu können.
Dieser Punkt der NIS-Verordnung impliziert, dass betroffene Einrichtungen über ein Informationssicherheitsmanagementsystem (ISMS) verfügen beziehungsweise für die NIS-relevanten Bereiche und Systeme ein ISMS implementiert haben. Darauf basierend ist die regelmäßige (i.d.R. jedes Jahr) Überprüfung des ISMS die daraus resultierende Konsequenz. Eine Zertifizierung des ISMS gemäß ISO 27001 ist vom Gesetzgeber nicht gefordert.
Das erste Kapitel der geforderten Sicherheitsmaßnahmen der NIS-Verordnung erfordert oftmals grundlegende Änderungen in den betroffenen Einrichtungen. Für die entsprechenden Bereiche ist ein Risikomanagement und ISMS zu etablieren. Darüber hinaus müssen die notwendigen Ressourcen zur Verfügung gestellt, regelmäßige Überprüfungen durchgeführt und ein Fokus auf die Mitarbeiter*innen gelegt werden.
Um die geforderten Sicherheitsmaßnahmen erfüllen zu können, gilt es, Prozesse und Richtlinien in den Bereichen Governance und Risikomanagement zu definieren, zu etablieren und anschließend zu dokumentieren. Je nach Reifegrad der Einrichtung kann dies mit erheblichem Aufwand verbunden sein.