Checkliste für Unternehmen NIS-2 einfach erklärt

NIS-2 fasst nicht nur zahlreiche Einzelmaßnahmen, die viele Unternehmen der Energie- und Versorgungswirtschaft bereits umsetzen, in einem Regelwerk zusammen, sondern bringt auch konkrete Neuerungen, wie Andreas Nolte von Arvato Systems und Dr. Consuela Utsch von Acuroc Solutions erläutern.

Bild: Arvato, Acuroc; iStock, matdesign24
18.09.2024

NIS-2 ist vergleichbar mit einer Hausordnung, die sicherstellt, dass Energie- und Versorgungsunternehmen ihre IT-Systeme ordnungsgemäß verwalten und schützen. Dienstleister übernehmen dabei die Rolle des Hausmeisters. Was sich für Energieerzeuger und -versorger ändert und welche Maßnahmen sie implementieren müssen, zeigt die folgende Checkliste.

NIS-2 führt nicht nur zahlreiche Einzelmaßnahmen, die viele Unternehmen im Energie- und Versorgungssektor bereits umsetzen, in ein Regelwerk zusammen, sondern bringt auch konkrete Neuerungen mit sich: Ab Mitte Oktober 2024 müssen Unternehmen der Energie- und Versorgungsbranche relevante Security-Vorfälle innerhalb vorgegebener Fristen melden, sonst drohen empfindliche Bußgelder. Durch NIS-2 wird der Paragraph 5c im Energiewirtschaftsgesetz (EnWG) eingeführt, der die wesentlichen Anforderungen an Unternehmen aus der Energie- und Versorgungswirtschaft beschreibt. Die Bundesnetzagentur (BNetzA) wird einen Katalog bereitstellen, der die kritischen Komponenten und Funktionen im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) definiert. Ebenso werden die IT-Sicherheitskataloge der BNetzA aktualisiert. Generell ergeben sich für Erzeuger und Versorger die nachfolgenden acht Aspekte, auf die Betroffene besonders achten sollten.

System-Inventur

Energie- und Versorgungsunternehmen müssen ihre IT-Systeme und -Assets vollständig erfassen, ähnlich wie Bewohner ihre Schätze im Dachboden inventarisieren sollten, um den Überblick zu behalten. Nur so können sie Cyber-Risiken verlässlich handhaben. Doch kennen alle Firmen der Branche ihre Unternehmenswerte? Und sind diese vor Missbrauch oder Diebstahl geschützt? In der Haus-Analogie gedacht: Wie oft verstaut die Mieterschaft Schätze auf dem Dachboden und verliert gänzlich den Überblick darüber, was sie eigentlich alles Wertvolles besitzt. Vergleichbar dazu sind womöglich sensible Kundendaten auf einem Speichergerät unter einem Schreibtisch vorgehalten – und damit vor unberechtigten Zugriffen nicht sicher. Eine umfassende Bestandsaufnahme ist also der erste Schritt.

System-Monitoring

Gerade in der Energie- und Versorgungsindustrie müssen Systeme auf Schwachstellen gescannt und ein Vorgehen für deren Beseitigung definiert werden. Fakt ist: Unternehmen werden früher oder später Opfer eines Cyber-Angriffs – je systemrelevanter und kritischer die Infrastrukturen (KRITIS) sind, umso höher das Risiko. Unternehmen der Energie- und Versorgungswirtschaft benötigen darum zwingend Systeme zur Angriffserkennung (SzA). Zudem braucht es weitere Maßnahmen wie Pentesting, Security Audits, Log Monitoring und Compliance Monitoring. Wie Rauchmelder warnen, bevor ein Brand ausbricht, so müssen Unternehmen Systeme zur Angriffserkennung einsetzen, um frühzeitig reagieren zu können. Aber: Die Batterie könnte leer oder der Rauchmelder defekt sein, was bedeutet, dass Energieerzeuger beziehungsweise -versorger trotz ergriffener Prevention- und Detection-Maßnahmen mit Hackerangriffen rechnen müssen.

Schadenserkennung

Energie- und Versorgungsunternehmen müssen Schwachstellen identifizieren, bewerten, priorisieren und beheben. Darum sind automatisierte Detection- und Response-Maßnahmen ebenso in den Kernprozessen dieser Unternehmen zu verankern wie das Patch Management. Ein typisches Problem: Ein Energieversorger mit komplexer IT-Systemlandschaft setzt für das Schwachstellenmanagement auf lokale Excel-Listen. Weil es aufgrund der Menge an Schwachstellen den Überblick verliert, dringen Hacker in die Unternehmens-IT ein. Zum Verständnis der Vergleich: Ist im Haus beispielsweise eine Fensterscheibe oder ein Schloss defekt, lässt sich dies leicht erkennen und beheben. Doch was, wenn in einem Gebäudekomplex gleich mehrere solcher Schwachstellen identifiziert werden? Dann gilt es, zu priorisieren und die Maßnahmen zu koordinieren.

Sensibilisierung

Unternehmen benötigen zentrale Richtlinien und müssen Mitarbeitende und Geschäftsführung für die allgegenwärtigen Cyber-Gefahren sensibilisieren. Zudem ist neben Identity und Access Management auch Incident Management Pflicht. Man stelle sich nur vor: Weil Mitarbeitende unsichere Passwörter verwenden, sind ihre E-Mail-Konten nicht nur in der Cloud ungesichert. Zugleich dürfen sie auf Software zugreifen, mit der Datenströme verarbeitet werden, ohne sich mit einem zweiten Faktor zu authentifizieren. Ein Krimineller dringt dann beispielsweise über gehackte E-Mail-Konten in die Unternehmens-IT ein und breitet sich immer weiter aus. Im Vergleich findet man eben auch in Hausordnungen Vorgaben, die es beispielsweise untersagen, bei Unbekannten den Haustüröffner zu betätigen oder für Paketdienste Ablageorte innerhalb der Mieteinrichtung zu vereinbaren.

Transparenz

Wie ein unbedarft abgelegter Müllsack ein Brandrisiko in einem Mietshaus darstellt, so können unbekannte Tools Sicherheitslücken öffnen. In der Energie- und Versorgungsbranche müssen Unternehmen ihre Systeme mithilfe von Tools für Endpoint Detection and Response (EDR), Network Detection and Response (NDR) sowie Security Information and Event Management (SIEM) fortlaufend überwachen und bezüglich ihrer Sicherheitsrisiken bewerten. Das Problem: Unternehmen wissen unter Umständen gar nicht, welche Systeme ihre Mitarbeitenden alles einsetzen. Diese unbekannten oder „vergessenen“ Tools sind meist nicht erfasst und werden darum weder auf Schwachstellen gescannt noch gepatcht. Daneben entstehen ungewollte Abhängigkeiten, weil das Personal unautorisierte Systeme nutzt, um wichtige Prozesse zu managen.

Notfallpläne

Energie- und Versorgungsunternehmen müssen mit vorab definierten Response-Maßnahmen im Angriffsfall unmittelbar reagieren können. Sie sind dazu verpflichtet, sicherheitsrelevante Vorfälle in einem bestimmten Zeitfenster zu melden – einschließlich Zwischen- und Abschlussmeldungen. Diese Meldewege im Betrieb müssen vorbereitet, bekannt und implementiert sein – schließlich benötigen Wohn- und Geschäftsgebäude auch einen Flucht- und Rettungswegeplan. Im Kontext der Energieversorger sind zudem belastbare Vorkehrungen für bestimmte Ernstfälle treffen: Notfallplanung, Notfallmanagement und Pläne für die Wiederherstellung der Produktion und des Geschäftsbetriebs sind Pflicht. So ist beispielsweise auszuschließen, dass hochsensible Daten auf mobilen Geräten der Mitarbeitenden existieren, sodass unbefugte Dritte bei Verlust oder Diebstahl bequem Zugang zu den Daten erhalten und das Unternehmen so Opfer von Hackerangriffen oder Erpressungen wird.

Kommunikationswege

Es sind Verhaltensanweisungen für das Personal vorzubereiten und zu kommunizieren. Über Änderungen ist jederzeit zur informieren. Interaktive (Online-)Schulungen dienen dem Zweck, die Belegschaft zu trainieren und ihr Wissen regelmäßig aufzufrischen. Während es von der Hausverwaltung meist Aushänge, Briefe oder E-Mails mit wichtigen Handlungsanweisungen gibt, gilt für IT-Sicherheit in energieerzeugenden und versorgenden Unternehmen: Es braucht abgestimmte Kommunikations- und Notfallpläne, die allen zugänglich sind. Zudem sind notwendige Änderungen sorgfältig vorzubereiten, zu bewerten, mit risikominimierenden Maßnahmen zu unterlegen und zu dokumentieren. Und natürlich müssen sich im Notfall alle entsprechend verhalten. Hat ein Security-Dienstleister für ein Unternehmen belastbare Notfallpläne ausgearbeitet, doch die Organisation bespricht diese Strategien nicht mit dem Personal, kommt es bei einer Cyber-Attacke – wie bei einem Wohnungsbrand – schnell zu Panik oder unbedachten Handlungen, die das Problem unter Umständen verschärfen.

Supply-Chain-Risiken

Es gilt, Supply-Chain-Risiken ganzheitlich abzufragen und wirkungsvoll zu managen. Hierfür sollten Unternehmen der Energiewirtschaft auf branchenspezifische, bewährte Best Practices setzen. Für Geschäftsgebäude wie für die Unternehmenssysteme gilt: Lieferanten, Partner und andere Betriebsfremde, die Zugang haben oder auf Applikationen zugreifen, sind ins Risikomanagement zu integrieren. Im Bereich IT sind zum einen nur gesicherte IT-Lösungen bereitzustellen, zum anderen ist zu gewährleisten, dass Externe selbst nicht zum Sicherheitsrisiko werden. Darum sind Zero Trust und Multi-Faktor-Authentifizierung unverzichtbar.

Fazit

Um die Anforderungen der NIS-2-Richtlinie effektiv umzusetzen, müssen Energie- und Versorgungsunternehmen gezielt auf ihre IT-Sicherheit achten. Entscheidend ist es, frühzeitig zu bewerten, welche Maßnahmen bereits bestehen und welche ergänzt werden müssen. Dabei sind klare Verantwortlichkeiten, ein umfassendes Risikomanagement sowie transparente Kommunikationswege essenziell. So sichern sich Unternehmen nicht nur gegen Cyber-Risiken ab, sondern stärken auch ihre Position.

Bildergalerie

  • NIS-2 entspricht einer Hausordnung für IT-Systeme in der Energie- und Versorgungswirtschaft.

    NIS-2 entspricht einer Hausordnung für IT-Systeme in der Energie- und Versorgungswirtschaft.

    Bild: Arvato

  • Andreas Nolte ist Head of Cyber Security bei Arvato Systems.

    Andreas Nolte ist Head of Cyber Security bei Arvato Systems.

    Bild: Arvato

  • Dr. Consuela Utsch ist Geschäftsführerin und Gründerin der Acuroc Solutions und der AQRO.

    Dr. Consuela Utsch ist Geschäftsführerin und Gründerin der Acuroc Solutions und der AQRO.

    Bild: Arvato

Firmen zu diesem Artikel
Verwandte Artikel