Compliance – Gastbeitrag
Die europäische Richtlinie NIS-2 verbessert die IT-Sicherheit in der EU, aber was bedeutet das für das Dokumentenmanagement?
12. September 2023 – Klaus Kilvinger, Opexa Advisory GmbH
Mit zunehmender Digitalisierung, Industriespionage und der aktuellen politischen Lage im Zusammenhang mit dem Krieg in der Ukraine steigt auch das Bedrohungspotenzial durch Cyber-Angriffe. Um dieser Gefahr entgegenzuwirken, stellt die europäische Richtlinie NIS-2 („NIS-2“) höhere Sicherheitsanforderungen an viele Organisationen und hilft so, schneller und besser auf Cyber-Krisen reagieren zu können, sowohl auf nationaler als auch auf EU-Ebene. Die Richtlinie muss bis Oktober 2024 in nationales Recht umgesetzt werden. Das Dokumentenmanagement spielt bei der Umsetzung von NIS-2 und dem Betrieb eines Informationssicherheits-Managementsystems (ISMS) eine wichtige Rolle und kann einen Beitrag leisten. Allerdings sind in der Regel auch Anpassungen notwendig.
Wer bisher noch geglaubt hat, sich aufgrund seiner Größe, seines Tätigkeitsfeldes oder vermeintlich geringer Risiken vor Cybersicherheitsregulierungen „verstecken“ zu können, muss leider feststellen, dass der Kreis der betroffenen Unternehmen erheblich ausgeweitet wurde. Die Regelungen gelten für Unternehmen ab 50 Mitarbeitern in 18 Marktsektoren.
So sind neben den zu erwartenden KRITIS-Sektoren (Energie, Verkehr, Wasserversorgung, Gesundheit, Abwasser, digitale Infrastruktur, öffentliche Verwaltung oder Raumfahrt) auch qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Register und DNS-Diensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste sowie Einrichtungen der öffentlichen Verwaltung betroffen.
Darüber hinaus ist NIS-2 relevant für Post- und Kurierdienste, Abfallwirtschaft, Chemie (Produktion und Handel), Lebensmittel (Produktion, Verarbeitung, Vertrieb), Hersteller bestimmter Güter (u.a. medizinische Geräte, Datenverarbeitungsgeräte, Maschinenbau, Kraftfahrzeuge), Anbieter digitaler Dienste (Plattformen für soziale Netzwerkdienste) und Forschungseinrichtungen.
Die Richtlinie sieht einheitliche und umfassendere Maßnahmen für die Betreiber vor. Risikomanagementmaßnahmen müssen nach einem risikobasierten Ansatz wirksam eingeführt werden und liegen in der Verantwortung der Unternehmensleitung. Sie umfassen unter anderem
a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
b) Bewältigung von Sicherheitsvorfällen;
c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
d) Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Nicht zuletzt sind Informationssicherheitsschulungen für Mitarbeitende und Führungskräfte gefordert. Letzteren kommt dabei eine besondere Bedeutung zu, denn die Schulung folgt der Prämisse, dass sie in der Lage sein sollen, die Maßnahmen zu initiieren und zu überwachen!
Signifikante Vorfälle und signifikante Bedrohungen sind den Behörden gemäß den Meldepflichten zu melden. Der Entwurf enthält genaue Vorgaben zu Ablauf, Inhalt und Zeitrahmen solcher Meldungen: So muss u. a. unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme, eine sogenannte Frühwarnung abgegeben werden.
Die Information, in welchen dieser Fälle wie vorzugehen ist, kann in einem Managementhandbuch auf Basis einer Dokumentenmanagementlösung vorgehalten und an die Mitarbeitenden verteilt werden. So stehen den Beteiligten im Unternehmen immer die aktuellen Richtlinien, Anweisungen und Hilfsmittel wie Formulare zur Verfügung, um die gesetzlichen Anforderungen einhalten zu können.
Darüber hinaus sieht NIS-2 strengere Überwachungs- und Durchsetzungsmaßnahmen vor. Die zuständigen Behörden können insbesondere Vor-Ort-Kontrollen, regelmäßige Sicherheitsüberprüfungen und anlassbezogene Ad-hoc-Kontrollen durchführen sowie bestimmte Informationen oder den Zugang zu Daten verlangen.
Verstöße werden nach nationalem Recht geahndet. Der Bußgeldrahmen ist für bedeutende Unternehmen auf mindestens 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) begrenzt. Für wesentliche Einrichtungen liegt der Höchstbetrag etwas niedriger, für den Fall, dass ein Verstoß zu einer Geldbuße nach der DSGVO führt, wird nach der NIS-2 keine Geldbuße verhängt.
Neben diesem Bußgeldrisiko birgt die NIS-2 ein erhebliches Haftungsrisiko für die Unternehmensleitung. Die Leitungsorgane wesentlicher und bedeutender Institute haben die Umsetzung der Risikomanagementmaßnahmen zu überwachen. Bei Verstößen können sie persönlich haftbar gemacht werden.
Mit einem DMS kann die Organisation sicherstellen, dass die relevanten Regelungen verfügbar und den Mitarbeitenden auch tatsächlich bekannt sind. Mit Lesebestätigungen kann dokumentiert werden, dass z.B. die Maßnahmen des Risikomanagements bekannt sind.
Der „All-Hazards-Ansatz“ beinhaltet die Berücksichtigung der physischen Sicherheit und der Sicherheit der Umgebung von Netz- und Informationssystemen sowie den Schutz dieser Systeme vor Systemausfällen, menschlichem Versagen, böswilligen Handlungen oder Naturereignissen.
Für die Umsetzung der oben genannten Maßnahmen empfiehlt sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001, da hier explizit Maßnahmen des Risikomanagements nach europäischen und internationalen Normen (z.B. der ISO/IEC 27000er-Reihe) einzubeziehen sind. Wenn eine Einrichtung dies beherzigt und durch Vorkehrungen für Meldepflichten und Business Continuity Management ergänzt, verliert NIS-2 seinen Schrecken, wird anwendbar und erhöht das Schutzniveau deutlich.
Ein Dokumentenmanagementsystem ist für den Aufbau und Betrieb eines ISMS nach ISO 27001 von unschätzbarem Wert. Ein entsprechendes ISMS erfordert eine systematische Dokumentation von Sicherheitsrichtlinien, Verfahren und Protokollen, die in einem DMS effizient organisiert und zentralisiert werden können. Darüber hinaus ermöglicht ein DMS die strukturierte und revisionssichere Ablage von Dokumenten, was für die Einhaltung und Überprüfung von Sicherheitsstandards unerlässlich ist. Über das DMS können Berechtigungen und Zugriffsrechte genau gesteuert werden, um sicherzustellen, dass nur autorisierte Personen Zugriff auf sensible Informationen haben. Ebenso können Änderungen an Dokumenten nachvollzogen werden, wodurch ein klarer Audit-Trail entsteht, der für die Zertifizierung nach ISO 27001 wichtig ist. Schließlich erleichtert ein DMS den kontinuierlichen Verbesserungsprozess, indem es die regelmäßige Überprüfung, Aktualisierung und Kommunikation von Sicherheitsdokumenten unterstützt.
Die Implementierung von NIS-2 ist eine wichtige Aufgabe, die die Beteiligung mehrerer Interessengruppen in einer Organisation erfordert. Die folgenden Personen und Teams sollten in den Implementierungsprozess einbezogen werden: Geschäftsführung, IT, Facility-Management, Personalabteilung, Rechtsabteilung sowie Produktion oder andere Fachabteilungen und externe Partner.
Für eine angemessene Informationssicherheit und den Nachweis der Erfüllung von NIS-2 ist es hilfreich, Richtlinien, Prozessbeschreibungen, Nachweise etc. geschützt aufzubewahren, aber auch allen relevanten Stellen je nach Bedarf („need to know“) zugänglich zu machen. Zur Vermeidung von Bußgeldern, aber auch zum Nachweis von geistigem Eigentum sind revisionssichere Aufbewahrungsformen zu wählen. Zudem werden im Rahmen des ISMS und durch den Datenschutz viele Aufbewahrungsregeln definiert, die umzusetzen sind. Und eine hochwertige Dokumentenlenkung mit Prozessunterstützung ist für ein ISMS ebenso hilfreich.
Die Anwendbarkeit in der täglichen Arbeit, bei internen oder externen Audits, ist eine weitere Aufgabe, bei der ein gutes Dokumentenmanagement unterstützen kann. Spezielle Softwarelösungen helfen hier weiter.
Neben den funktionalen und prozessualen Anforderungen sollte ein DMS intuitiv bedienbar sein und sich nahtlos in die bestehende IT-Infrastruktur einfügen. Nur so können die unterschiedlichen Nutzergruppen relevante Regelungen und Anweisungen im Arbeitsalltag effizient abrufen und anwenden. Die Integration neuester Technologien wie Künstlicher Intelligenz eröffnet zudem Potenziale für das betriebliche Wissensmanagement, das sich aus den im DMS gespeicherten Dokumenten speist.
Shareflex® Quality Documents
Mit Shareflex Quality Documents bringen Sie Ordnung in die Lenkung und Verwaltung Ihrer Qualitätsmanagement-Dokumente.
NIS-2 wird für viele Branchen ein höheres Maß an Informations- und Betriebssicherheit bringen. Die Umsetzung wird zunächst mit einigem Aufwand verbunden sein. Letztlich führt sie aber zu mehr Cybersicherheit in der gesamten EU!
Und gerade mit der zunehmenden Digitalisierung ist es wichtig, eine entsprechende Basis zu schaffen, d.h. eine revisionssichere Archivierung sowie eine Verfahrensdokumentation zu haben, damit eine Löschung oder Veränderung von Informationen nicht stattfinden kann.
In diesem Webinar vermitteln die Experten Klaus Kilvinger und Patrick Carl die Grundlagen und konkreten Anforderungen, die sich aus NIS-2 für Unternehmen ergeben. Sie gehen auch darauf ein, wie die Shareflex-Lösungen von Portal Systems bei der Umsetzung der neuen europäischen Richtlinie unterstützen können.
Die Ausführungen geben die Meinung des Autors wieder und haben keine bindende Wirkung. Sie stellen keine Rechtsberatung dar. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit. Für eine Umsetzung ist stets eine Beratung im Einzelfall notwendig.
