Analyse der IT-Sicherheitslage gemäß NIS2

Nach Durchsicht der vorliegenden Angaben zur IT-Sicherheit erfolgt im Folgenden eine strukturierte Bewertung der technischen und organisatorischen Maßnahmen (TOMs) sowie der Elemente des Informationssicherheitsmanagementsystems (ISMS) unter Berücksichtigung der Anforderungen der NIS2-Richtlinie.

1. Einschätzung zum aktuellen Stand des Risikomanagements

Die Angaben deuten auf ein partiell implementiertes Risikomanagement hin. Es existieren grundlegende Sicherheitsmaßnahmen (z. B. teilweise Dokumentation und Schulungskonzept), jedoch ist die Umsetzungsreife schwankend. Kritisch ist, dass zentrale Risikomanagementprozesse (Identifikation, Bewertung und Behandlung von Risiken) nicht explizit genannt oder vollständig dokumentiert sind. Die Einbindung eines systematischen Risikoanalyse-Workflows ist mit Blick auf die NIS2-Anforderungen essenziell, um die Angemessenheit der Schutzkonzepte zu begründen und kontinuierlich zu verbessern.

2. Bewertung des ISMS-Reifegrads

Das ISMS weist erste Grundstrukturen auf, wie eine (vermutlich rudimentäre) Leitlinie und ein Rollenmodell, sowie vereinzelte Richtlinien. Allerdings mangelt es an Integration, Systematik und Vollständigkeit:

• Die Richtlinienlandschaft ist lückenhaft und teilweise nicht aktuell.
• Dokumentation und Nachweisführung sind unvollständig.
• Einheitliche Prozesse für Schulungen, Überwachung und Verbesserungsmechanismen fehlen oder sind nicht etabliert.

Insgesamt ist das ISMS als „in der Entstehung“ zu bewerten (zwischen Reifegrad 1 und 2 von 5), aber noch deutlich unter NIS2-Erwartungen an Wirksamkeit und Nachweisbarkeit.

3. Fehlende ISMS-Bestandteile

• Vollständige und aktuelle IT-sicherheitsrelevante Richtlinien (z. B. Notfallmanagement, Zugriffsmanagement, Patchmanagement).
• Strukturierte Prozesse zur Risikoanalyse/-bewertung inklusive zyklischer Überprüfung.
• Kontinuierliche Schulungen und Awareness für alle Beschäftigten.
• Überwachungs-, Kontroll- und Verbesserungsprozesse (PDCA-Zyklus).
• Dokumentations- und Nachweismanagement.
• Regelmäßige Überprüfung und Aktualisierung des Rollen- und Berechtigungskonzepts.
• Definition und Überwachung sicherheitsrelevanter KPIs und Messgrößen.
• Notfallmanagementplan inkl. Wiederherstellungsprozesse und Kommunikationsabläufe.

4. Empfehlungen zum Aufbau eines ISMS nach NIS2

1. Leitlinie & Governance: Verabschiedung und Kommunikation einer umfassenden Leitlinie zur Informationssicherheit, abgestimmt auf die organisationseigenen Risiken.
2. Rollen & Verantwortlichkeiten: Klare Zuordnung und Dokumentation von Verantwortlichkeiten, z. B. für ISB, Datenschutz, Notfallmanagement.
3. Risikomanagementprozess etablieren: Festlegung eines dokumentierten, turnusmäßigen Risikoanalyseprozesses.
4. Richtlinienstruktur: Erstellung, Pflege und Kommunikation sämtlicher notwendiger IT-Sicherheitsrichtlinien (u. a. Zugriff, Patchmanagement, BYOD, Notfallmanagement).
5. Schulungskonzept: Einführung verbindlicher und regelmäßiger Awareness-Schulungen inklusive Nachweisführung.
6. Dokumentation: Zentrale Nachweisführung aller relevanten Aktivitäten und Prozesse.
7. Kontrolle & Review: Etablierung von Überprüfungen (z. B. interne Audits, Management Reviews) und kontinuierlicher Verbesserungsprozesse.

5. Empfohlene technische und organisatorische Maßnahmen (TOMs)

• Verpflichtende Multi-Faktor-Authentisierung für alle administrativen und sensiblen Zugänge.
• Segmentierung des Netzwerks in Zonen mit abgestuften Schutzmechanismen und Firewalls.
• Automatisierte und regelmäßige Datensicherungen inkl. Dokumentation und Test der Rücksicherung.
• Schulung und Sensibilisierung der Mitarbeiter in Bezug auf Cybersecurity- und Datenschutz-Risiken.
• Dokumentierte Prozesse für die Vergabe, Kontrolle und Entziehung von Zugriffsrechten.
• Regelmäßige Schwachstellenanalysen und Penetrationstests zur Identifikation von Angriffspunkten.
• Verträge mit Dienstleistern inkl. klarer Sicherheitsanforderungen und Überprüfbarkeit der Einhaltung.

6. Eventuell auditrelevante Schwächen

• Fehlende Aktualität und Nachvollziehbarkeit von Richtlinien und Dokumentationen.
• Unzureichende oder nicht nachweisbare Schulungsmaßnahmen.
• Unvollständig definierte bzw. umgesetzte Rollen und Verantwortlichkeiten.
• Mangelhafte oder fehlende Risikoanalysen und Notfallpläne.
• Keine lückenlose Dokumentation von Vorfällen und deren Bearbeitung.
• Unzureichende Vorgaben/Verträge für Dienstleister in Bezug auf IT-Sicherheit.

Diese Schwächen können bei einer Prüfung nach NIS2 erhebliche Beanstandungen zur Folge haben, ggf. verbunden mit aufsichtsrechtlichen Vorgaben zur Nachbesserung.