8 Maßnahmen für eine NIS 2 Konformität bei Kommunalbetrieben und Stadtwerken
In diesem Fachartikel erfahren Sie welche 8 Maßnahmen verhelfen zur NIS 2 Konformität. Vorgaben zur IT Sicherheit müssen auch von Kommunalbetrieben erfüllt werden.
1. Projektgruppe bilden
Jedes NIS 2.0 Projekt benötigt die Teilnahme aller Stakeholder. Es reicht nicht aus nur die Geschäftsleitung und das IT Team einzubinden. Es werden Vertreter verschiedener Fachbereiche benötigt, damit eine Projektgruppe eine wirksame Umsetzung der gesetzlichen Vorgaben erreichen kann. Im ersten Schritt sollten alle Team Mitglieder eine Einführung in das NIS 2.0 und Cyber Sicherheit erhalten. Die technischen experten der Organisation benötigen eine tiefergehende Cyber Security Schulung. Dieses Cybersicherheitstraining kann auch virtuell mittels Video-on-Demand erfolgen, um die zeitlichen Engpässe der Beteiligten nicht zum Flaschenhals werden zu lassen.
2. Organisatorische Maßnahmen
Führungskräfte müssen sich bewusst sein, dass NIS 2.0 sie persönlich haftbar macht. Die gerne benutzen Verzichtsvereinbarungen sind laut NIS Richtlinie und der nationalen Umsetzung unwirksam. Hier werden Geschäftsführende verpflichtet, sich persönlich um IT Sicherheitsthemen zu kümmern. Diese Verantwortung kann nicht delegiert aber mit anderen Bereichsverantwortlichen geteilt werden.
3. Einführung ISMS
Das NIS 2 Projekt beinhaltet ein Unterprojekt für die Einführung eines Informationssicherheits- Management Systems (ISMS).Hier sollen die internen IT Strukturen, Richtlinien und Sicherheitsvorkehrungen zentral dokumentiert werden. Da dieser Teil besonders kompliziert ist, greifen auch Kommunen und Stadtwerke auf externe Berater zurück. Diese können helfen die einzelnen sicherheitskritischen Bereiche zu identifizieren und sinnvolle Sicherheitsmaßnahmen vorschlagen. Zudem helfen ISO 27001 Berater auch bei der Erstellung der ISMS Dokumente und der Vorbereitung auf eine spätere Zertifizierung.
4. Lieferketten prüfen
Unternehmen der privaten als auch öffentlichen/kommunalen Wirtschaft müssen sich intensiver mit ihren eigenen Lieferketten auseinander setzen. Dazu gehört gerade im Bereich EDV auch die Bewertung der eingesetzten Hardware und Software. Die eingesetzten Produkte und Dienstleistungen (z.B. Cloud Dienste wie Microsoft 365) müssen auf ihre IT Sicherheit geprüft werden. Auch Open Source Programme sind von den NIS 2 Vorgaben betroffen. Diese Überprüfungen müssen jährlich stattfinden.
5. Zertifizierungen
Je nach Gefahreneinstufung kann der Gesetzgeber von Behörden, Kommunalbetrieben oder anderen kritischen Versorgern fordern, dass sie nur Produkte mit einem Sicherheitszertifikat (EU 2019/881) einsetzen dürfen. Eine solche Vorgabe ist aber in der Praxis kaum umsetzbar, da die gesetzlichen Rahmenbedingungen zur Zeit fehlen.
6. Meldeprozesse
Die NIS 2 Verordnung fordert, dass Organisationen binnen 24 Stunden nach der Erkenntnis eines Vorfalls die zuständige nationale oder regionale Meldestelle kontaktieren müssen. Dieser mögliche Cybersicherheitsvorfall sollte auch binnen 72 Stunden soweit bewertet werden, dass die Behörden die Gefahr für die Bevölkerung und nationale Sicherheit einordnen können. Nach einem Monat sollte aber ein Abschlussbericht an die Meldestelle übermittelt werden. Ist die Problemsituation noch nicht vollständig aufgearbeitet, so reicht die Abgabe eines Zwischenberichts.
7. Informationsaustausch
Alle betroffenen Organisationen sollen sich gemäß NIS 2 Richtlinie zum Thema Cybersicherheit austauschen. Die nationale IT Sicherheitsbehörde (in Deutschland: BSI) soll diesen Informationsaustausch organisieren.