Während die Regierung noch auf dem Weg ist, arbeitsfähig zu werden, und daher eine Verabschiedung der NIS2- und KRITIS-Gesetze zeitlich noch nicht absehbar ist, hat sich etwas wirklich Erfreuliches weitgehend unterhalb des Radars der Öffentlichkeit im Bereich NIS2 getan.
Ich bin betroffen, was tun?
Betroffene fragen sich derzeit oft,
- ob Sie eine Zertifizierung machen müssen (Spoiler-Alert: Nein, müssen Sie nicht) und
- ob Sie ein ISMS einführen müssen (die Richtlinie verlangt kein bestimmtes Framework wie ISO 27001), und wenn ja, nach welchem Standard.
Es gibt jetzt einen Fingerzeig: Die EU selbst hat mit der Durchführungsverordnung C(2024)7151 inklusive ihres Anhangs einen konkreten Katalog technischer und organisatorischer Maßnahmen veröffentlicht. Der Katalog kann als Orientierung für die Umsetzung der NIS2-Anforderungen dienen. Zum Download.
Hinter diesem Link stecken also 2 Dokumente: die Durchführungsverordnung zur NIS-2-Richtlinie sowie der Anhang zu dieser Durchführungsverordnung. Letzterer enthält in 13 Themeneinheiten aufgeteilte und darin in 53 Themenaspekten formulierte Anforderungstexte. Auch wenn diese Anforderungstexte wiederum auf die jeweilige Organisationseinheit angewendet und dahingehend interpretiert werden müssen, so ist doch eines dafür zu beachten: Im Gegensatz zu Standards wie ISO 27001, Grundschutz, VDS10000, CISIS12 ist dieser Anhang für DNS-Diensteanbieter, Anbieter von TLD-Namensregistrierungsdiensten und Root-Nameserver-Betreiber rechtsverbindlich. Für diese gelten die Anforderungen unmittelbar.
Auch wenn dem Security-Experten der eine oder andere Aspekt eines vollständigen ISMS noch fehlen mag, ist das eine gute Nachricht für viele Betroffene. Der Anhang ist zwar nicht rechtsverbindlich, stellt aber eine Konkretisierung dar, wie die Anforderungen aus Art. 21 NIS2 („Pflichten der Cybersicherheitsmaßnahmen“) in der Praxis verstanden und umgesetzt werden können. Er kann damit als De-facto-Leitfaden dienen – aber nicht als alleinige oder abschließende Handlungsanweisung.
Damit besteht ein Katalog an sogenannten „technischen und methodischen Anforderungen“, die in der Umsetzung adressiert werden können. Das kann wiederum durch die Anwendung der klassischen ISMS-Schlachtschiffe erfolgen, jedoch ohne alle über diese Durchführungsverordnung hinausgehenden Anteile zu intensiv verfolgen zu müssen.
Fazit
Dessen ungeachtet reflektiert sie bzw. insbesondere ihr Anhang die Inhalte der Anforderungen aus NIS2 und liest sich wie ein Handbuch zur NIS2-Absicherung (ein vielgehörtes Buzzword der letzten Monate). Sie bietet eine strukturierte, nachvollziehbare und fachlich belastbare Sammlung von Anforderungen, die für viele andere betroffene Unternehmen ein hilfreicher Maßstab sein kann. Dennoch ersetzt sie keine individuelle Risikobewertung. Ebenso wenig ist sie ein Ersatz für ein systematisches Informationssicherheitsmanagement.
Wenn Sie Fragen zur NIS2-Betroffenheit oder der Umsetzung von Anforderung haben, sprechen Sie uns gerne an.