Salta al contenuto
News

NIS2: Der Fehler bei der Kategorisierung von Aktivitäten, der Unternehmen teuer zu stehen kommen kann

NIS2: Der Fehler bei der Kategorisierung von Aktivitäten, der Unternehmen teuer zu stehen kommen kann

Auf einen Blick

Die Kategorisierung von NIS2-Aktivitäten und -Diensten kann, wenn sie nicht auf einer Business Impact Analysis (BIA) basiert, zu unzureichenden Sicherheitsmaßnahmen und Compliance-Risiken führen. Eine schwache Klassifizierung ermöglicht es nicht, die tatsächlichen Auswirkungen einer Kompromittierung auf die erbrachten Dienste zu verstehen. Dies erschwert den Nachweis eines korrekten Cyberrisikomanagements und die Ausrichtung zukünftiger Minderungsmaßnahmen.

Hintergrund

Der Umsetzungsprozess der NIS2-Vorschriften in Italien sieht die Registrierung auf der ACN-Plattform und die Einführung grundlegender Sicherheitsmaßnahmen vor. Die nächste Phase erfordert die Auflistung, Charakterisierung und Kategorisierung der Aktivitäten und Dienste, was entscheidend ist, um das Verständnis und das Management des Cyberrisikos zu demonstrieren. Das Gesetzesdekret vom 4. September 2024, Nr. 138 (Art. 30) legt fest, dass wesentliche und wichtige Einrichtungen jährlich (vom 1. Mai bis 30. Juni) die Liste ihrer Aktivitäten und Dienste mitteilen und aktualisieren müssen, wobei eine Relevanzkategorie über die digitale ACN-Plattform zugewiesen wird.
Die ACN-Bestimmung Nr. 155238/2026 hat diese Vorgabe umgesetzt, indem sie den Prozess und die Kriterien festgelegt hat. Die zugewiesene Kategorie drückt die Auswirkungen einer potenziellen Kompromittierung auf die Fähigkeit der Organisation aus, die Dienste bereitzustellen. Dies erfordert eine Rekonstruktion der Abhängigkeiten zwischen Prozessen, Diensten, Informationssystemen, Anbietern, Nutzern, Service-Levels und Wiederherstellungszeiten. Diese Herangehensweise erinnert an die typischen Funktionen einer Business Impact Analysis (BIA), obwohl sie in Artikel 30 nicht ausdrücklich erwähnt wird.
Artikel 24 des Gesetzesdekrets 138/2024 schreibt die Annahme technischer, operativer und organisatorischer Maßnahmen vor, die angemessen und proportional zur Risikosteuerung sind, mit dem Ziel, die Auswirkungen von Vorfällen auf die Empfänger der Dienste zu verhindern oder zu mindern. Artikel 30 verbindet die Kategorisierung mit solchen Maßnahmen, während Artikel 31 der nationalen zuständigen NIS-Behörde erlaubt, proportionale Verpflichtungen basierend auf dem Risikograd, der Größe der Subjekte und den Auswirkungen von Vorfällen festzulegen, auch in Bezug auf die Relevanzkategorien.

Warum es wichtig ist

Eine unzureichende Kategorisierung, die nicht durch eine Business Impact Analysis (BIA) unterstützt wird, birgt das Risiko, schwache, unterschätzte oder schwer zu verteidigende Klassifizierungen zu erstellen, was die Fähigkeit der Organisation beeinträchtigt, langfristige Sicherheitsmaßnahmen korrekt auszurichten. Dies kann zu einer Nichteinhaltung der Artikel 24, 30 und 31 des Gesetzesdekrets 138/2024 führen, die die Einführung angemessener und verhältnismäßiger Maßnahmen in Bezug auf die Auswirkungen von Vorfällen auf die Dienste erfordern. Ohne eine BIA kann die Angemessenheit der Maßnahmen nicht korrekt eingeschätzt werden, was die Exposition gegenüber Cyberrisiken erhöht.
Der Fehler bei der Kategorisierung verhindert das Verständnis dafür, welche Aktivität durch die Technologie unterstützt wird, welche Dienste erbracht werden und welche Konsequenzen sich aus einer Kompromittierung ergeben würden, was den Nachweis eines korrekten Cyberrisikomanagements, wie von der NIS2-Richtlinie gefordert, erschwert und potenziell die Fähigkeit beeinträchtigt, die Konformität mit Standards nachzuweisen, die einen risikobasierten Ansatz erfordern.

Was zu tun ist

  • Führen Sie eine Business Impact Analysis (BIA) oder eine gleichwertige Analyse durch, um Dienste zu identifizieren, die Auswirkungen ihrer Unterbrechung abzuschätzen und die organisatorischen und technologischen Abhängigkeiten zu verstehen.
  • Rekonstruieren Sie systematisch die Abhängigkeiten zwischen Prozessen, Diensten, Informationssystemen, Anbietern, Nutzern, Service-Levels und Wiederherstellungszeiten für jede kritische Aktivität oder jeden kritischen Dienst.
  • Teilen Sie die Liste Ihrer Aktivitäten und Dienste jährlich (vom 1. Mai bis 30. Juni) auf der digitalen ACN-Plattform mit und aktualisieren Sie diese, indem Sie die korrekte Relevanzkategorie zuweisen.
  • Stellen Sie sicher, dass die Sicherheitsmaßnahmen den tatsächlichen Auswirkungen, die ein Vorfall auf die Dienste haben könnte, proportional sind und nicht nur der verwendeten Technologie.

Was zu vermeiden ist

  • Erstellen Sie keine schwachen, unterschätzten oder schwer zu verteidigenden Klassifizierungen für NIS2-Aktivitäten und -Dienste.
  • Beschränken Sie sich nicht auf eine abstrakte Kategorisierung, die die tatsächliche Kritikalität der Dienste und deren geschäftliche Auswirkungen ignoriert.
  • Schätzen Sie die Angemessenheit der Sicherheitsmaßnahmen nicht nur anhand der Technologie ein, ohne die unterstützte Aktivität, den erbrachten Dienst und seine Konsequenzen zu verstehen.

Praktische Auswirkungen

Eine fehlerhafte oder oberflächliche Kategorisierung unter NIS2 kann zu Sanktionen wegen Nichteinhaltung und einer tatsächlichen Ineffektivität der implementierten Sicherheitsmaßnahmen führen, wodurch die Organisation anfällig für Cybervorfälle mit schwerwiegenden operativen, wirtschaftlichen und reputationsbezogenen Auswirkungen wird. Die Unfähigkeit, ein korrektes Risikomanagement nachzuweisen, kann zudem den Ruf und das Vertrauen der Kunden beeinträchtigen.

Empfohlene Maßnahmen

  • Integrieren Sie die Business Impact Analysis (BIA) in den NIS2-Kategorisierungsprozess für eine ganzheitliche Bewertung.
  • Bewerten Sie die sozialen und wirtschaftlichen Auswirkungen von Vorfällen zusätzlich zu den technischen Auswirkungen für jeden Dienst.
  • Passen Sie die technischen, operativen und organisatorischen Sicherheitsmaßnahmen an die tatsächliche Relevanzkategorie der Dienste an.
  • Schulen Sie das Personal in den Kategorisierungsverfahren und der Bedeutung der BIA für die gesamte Resilienz.

Zu vermeidende Fehler

  • Unterschätzen Sie nicht die Bedeutung der Kategorisierung als Grundlage für alle zukünftigen Sicherheitsmaßnahmen und NIS2-Verpflichtungen.
  • Basieren Sie die Kategorisierung nicht nur auf dem Organigramm oder dem Anwendungsbestand, ohne die tatsächlichen geschäftlichen Auswirkungen zu berücksichtigen.
  • Verzögern Sie nicht die Mitteilung und Aktualisierung der Aktivitäten und Dienste auf der ACN-Plattform.

Fragen zur Selbsteinschätzung

  • Hat unsere Organisation eine Business Impact Analysis durchgeführt, um die Relevanz der NIS2-Dienste zu identifizieren?
  • Sind unsere aktuellen Sicherheitsmaßnahmen proportional zu den Auswirkungen, die eine Kompromittierung unserer Dienste haben könnte?
  • Haben wir die Abhängigkeiten zwischen Prozessen, Informationssystemen, Anbietern und Diensten für die Kategorisierung genau abgebildet?
  • Können wir nachweisen, wie wir das Cyberrisiko basierend auf der Kritikalität unserer Dienste verstanden und geordnet haben?

Verweise

Nationales Recht: D.Lgs. 4 settembre 2024, n. 138 (Art. 24, Art. 30, Art. 31) · Determinazione ACN n. 155238/2026 · Direttiva NIS2

Zum Originalartikel auf Agenda Digitale ↗

Lesen Sie auch