Wie Mittelständler ihre IT durch Notfallplanung & NIS2 effektiv absichern
Cloud-Dienste fallen aus, der Server-Raum brennt oder wichtige Daten sind in Folge eines Ransomware-Angriffs plötzlich verschlüsselt: Jetzt ist schnelles und effizientes Handeln gefragt.
Ein gut durchdachter und regelmäßig getesteter IT-Notfallplan ermöglicht es Unternehmen, in solchen Fällen schnell zu reagieren und Schaden abzuwenden. Er legt fest, wie ein Sicherheitsvorfall erkannt, bewertet, kommuniziert und behandelt wird, wer verantwortlich ist und welche Schritte zur Wiederherstellung der Systeme und zur Nachbereitung erfolgen.
Bereits seit 2016 sind Unternehmen der kritischen Infrastrukturen (KRITIS) laut dem BSIG und IT-Sicherheitsgesetz dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von IT-Störungen zu treffen: Dazu gehören auch Notfall- und Wiederanlaufkonzepte.
Angesichts multipler Bedrohungen der IT-Sicherheit hat die EU mit der neuen NIS2-Richtlinie die Anforderungen an die Cybersicherheit verschärft. Das Erstellen von Notfall- und Wiederanlaufkonzepten ist nun nicht mehr eine dringende Empfehlung, sondern wird für sehr viele Unternehmen der wesentlichen und wichtigen Einrichtungen ab dem 31.12.2025 Pflicht. Das betrifft insbesondere viele mittelständische Unternehmen, z.b. Zulieferer und digitale Dienstleister.
Aber was gehört in einen Notfallplan und was ändert sich konkret durch die NIS2-Regelung?
Grundlagen eines IT-Notfall-Plans
Ein IT-Notfallplan dokumentiert, welche Meldepflichten, Verantwortlichkeiten und Wiederanlauf-Prozesse im Notfall greifen.
1. Meldepflichten & Meldewege
Im IT-Notfallplan werden die internen & externen Meldewege festgelegt. Wer muss wann informiert werden?
Interne Meldewege legen entsprechend fest, wer im Unternehmen wann und wie informiert wird. Welche Kommunikationskanäle werden verwendet und wie wird dieser Prozess dokumentiert? Ebenso sollte dokumentiert werden, wann diese Meldewege in Kraft treten. Im besten Falle enthält der Notfallplan auch Standard-Meldetexte und ggf. Kontaktlisten der Behörden.
Externe Meldewege legen fest, wann und an wen welche Information an Behörden, Dienstleister und Kunden weitergereicht werden muss. Das hängt von rechtlichen Rahmenbedingungen ab.
So müssen KRITIS-Unternehmen Störungen ihrer IT-Systeme unverzüglich dem BSI oder der zuständigen Datenschutz-Behörde melden. Bei der Verletzung des Schutzes personenbezogener Daten (Data Breach), z.B. im Falle eines Ransomware-Angriffs, bei dem Daten verschlüsselt werden, wird die zuständige Datenschutzbehörde binnen 72h informiert.
Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeiten der IT-Systeme, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung führen können oder bereits geführt haben, werden an das BSI gemeldet. Darunter fällt beispielsweise der Ausfall von Rechenzentren oder ein Malware-Befall, der kritische Prozesse lahmlegt. Gemeldet wird dabei die Ursache, betroffene Komponenten, Art der Dienstleistungen und Auswirkungen.
Kurzzeitige interne Störungen, abgewehrte Phishing-Versuche oder technische Fehlermeldungen ohne Datenverlust oder Systemausfall sind dabei nicht meldepflichtig.
Unternehmen, die nicht zur kritischen Infrastruktur gehören, hatten vor NIS2 keine Meldepflichten.
2. Verantwortlichkeiten & Krisenstab
Im IT-Notfallplan sollte ein zentraler Ansprechpartner festgelegt werden, der den gesamten Ablauf im Notfall organisiert. Gleichzeitig ist die Etablierung eines Krisenstabs empfohlen, damit klar geregelt ist, welcher Mitarbeiter für welche Aufgaben zuständig und wie dieser erreichbar ist.
Gleichzeitig sollte dokumentiert werden, wer über welches Fachwissen verfügt, das relevant sein könnte, z.b. zu verwendeter Software oder Dienstleister-Kontakten.
Wichtig ist außerdem zu definieren, mit welchen Ressourcen der Krisenstab arbeiten darf: Steht ein bestimmtes Budget zur Bewältigung des Notfalls zur Verfügung?
3. Technische Wiederanläufe & Priorisierung
Um den Betrieb bei einem System-Ausfall wieder zum Laufen zu bekommen, ist es wichtig, vorher zu definieren, welche Systeme in welcher Reihenfolge benötigt werden, um die richtigen Prioritäten setzen zu können. Dazu sollten im Vorfeld kritische Prozesse und Systeme identifiziert, dokumentiert und nach ihrer Relevanz bewertet werden. Im IT-Notfallplan erfolgt dann die Beschreibung eines genauen Wiederanlaufs. Dies war bisher nur eine implizite Pflicht von Unternehmen.
4. Dokumentation & Tests
Alle festgelegten Prozesse und Verantwortlichkeiten sollten in einem Dokument festgehalten werden, das jederzeit zentral abrufbar ist. KRITIS-Unternehmen müssen darüber hinaus alle 2 Jahre Nachweise über Sicherheitsmaßnahmen gegenüber dem BSI erbringen. Wie diese Inhalte dokumentiert werden, ist dabei relativ offen.
Gleichzeitig sollte der IT-Notfallplan regelmäßig getestet, überprüft und angepasst werden, damit er im Notfall auch wirklich funktioniert.
NIS2-Anforderungen für IT-Notfallpläne
Mit Inkrafttreten der NIS-Richtlinie ändern sich für viele Unternehmen die Anforderungen an IT-Notfallpläne. Betroffen sind nun nicht nur KRITIS-Unternehmen, sondern auch Firmen aus wesentlichen und wichtigen Bereichen.
1. Meldepflicht nach NIS2
Die Meldepflicht ist nun mehrstufig, an konkrete Zeiten gebunden und bezieht alle sicherheitsrelevanten Störungen mit ein. Damit sind nicht mehr nur Cyberangriffe meldepflichtig, sondern alle möglichen Stör- / Ausfallszenarien. So können nun auch nicht kriminelle Ursachen meldepflichtig sein, wenn diese kritisch genug sind, beispielsweise fehlerhafte Updates oder Cloud-Ausfälle.
Ein IT-Sicherheitsvorfall muss binnen 24h an die zuständige Behörde gemeldet werden. 72h erfolgt eine detailliertere Bewertung sowie ein Abschlussbericht nach einem Monat.
Im IT-Notfallplan muss exakt beschrieben werden, wie die 24h-Meldung sichergestellt wird, wer sie auslöst und welche Informationen darin enthalten sein müssen und wie Nachmeldungen erfolgen.
Ebenfalls neu ist, das Beinahe-Vorfälle bewertet und gemeldet werden müssen, z.B. ein Ransomware-Angriff, der auf der letzten Stufe abgefangen werden konnte.
2. Verantwortlichkeiten nach NIS2
Die Rollen und Zuständigkeiten im IT-Notfall müssen ganz klar durch eine nachweisbare Governance-Struktur geregelt sein. Lag die Verantwortung vorher meist beim IT-Sicherheitsbeauftragen, so haftet nun die Geschäftsführung bzw. der Vorstand bei Pflichtverletzung persönlich. Auch eine Schulungspflicht von Mitarbeitern und Geschäftsführung kommt hinzu.
3. Technische Wiederanläufe nach NIS2
Wo zuvor nur eine „angemessene technische und organisatorische Vorkehrung nach dem Stand der Technik“ gefordert wurde und Wiederanlaufpläne damit nur implizit Teil der BSI-Standards waren, erfolgt mit NIS2 explizit die Erstellung eines funktionsfähigen Wiederanlaufplans inklusive Backup-Strategie, Krisenstab und Kommunikationsplan.
4. Dokumentation & Tests nach NIS2
Mit der NIS2-Richtline greifen erweiterte Nachweispflichten. Unternehmen müssen jederzeit nachvollzieh dokumentieren, wie Risikomanagement, Notfallplanung und Meldewege und Wiederanlauf organisiert sind. Die Dokumentation muss laufend aktuell gehalten werden und auditfähig sein.
Ebenso werden regelmäßige Tests und Übungen der Notfallpläne vorgeschrieben. Dabei gilt es, auch physische und umweltbedingte Risiken mit einzubeziehen sowie eventuelle Lieferketten zu integrieren. Unternehmen haben zudem die Pflicht zur regelmäßigen Bewertung der Wirksamkeit – sie sollen also nicht nur nachweisen können, dass er Plan vorhanden ist, sondern auch wie er funktioniert.
IT-Notfallplanung nach NIS2 erstellen und prüfen
Unter NIS2 wird der IT-Notfallplan von einer Best Practice zu einem Pflichtdokument. Sind Sie betroffen und wünschen sich eine individuelle Beratung zur Erstellung oder Prüfung eines NIS2-konformen Notfallplans?
Dann buchen Sie gern hier unverbindlich einen Termin mit unserem Vertriebsteam.
Die LargeNet ist seit über 25 Jahren ein führender Experte im Bereich IT-Security in Norddeutschland und bietet als inhaberführtes Unternehmen spezialisierte IT-Lösungen für den Mittelstand diverser Branchen an. Ein Schwerpunkt liegt auf der IT-Dokumentation, Notfall-Planung und Systemanalysen, wofür wir mit unserem Partner Docusnap zusammenarbeiten.
Gerne können Sie sich unsere Checkliste zum NIS2-konformen IT-Notfall-Plan anfordern. Wir freuen uns über Ihre Anfrage!