Die NIS-2-Richtlinie verpflichtet Unternehmen zur Umsetzung von Cybersicherheitsmaßnahmen, die dem Stand der Technik entsprechen. In der deutschen Umsetzung wird dieser Begriff in § 30 Absatz 2 NIS2UmsuCG ausdrücklich genannt. Dort heißt es:
Maßnahmen [...] sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen.
Doch was genau bedeutet das? Der Stand der Technik beschreibt den aktuell etablierten Entwicklungsstand wirksamer technischer und organisatorischer Sicherheitsmaßnahmen. International findet man verwandte Begriffe wie „State of the Art“ oder im Kontext von Umweltverordnungen die „Best Available Techniques”.
Den „Stand der Technik“ umzusetzen heißt die eigenen Schutzmaßnahmen systematisch, risikobasiert und nachvollziehbar an anerkannten Standards auszurichten. Hilfestellung bieten verschiedene Institutionen. So schlägt beispielsweise die europäische Cybersicherheitsagentur ENISA für kleine und mittlere Unternehmen (KMU) einen praxisnahen Dreiklang vor: People – Process – Technology. People umfasst organisatorische Maßnahmen wie klare Zuständigkeiten, regelmäßige Awareness-Schulungen und Sicherheitskultur. Process steht für strukturelle Aspekte wie Sicherheitsrichtlinien, Audits und Datenschutzmanagement. Technology beschreibt konkrete technische Maßnahmen wie Verschlüsselung, Netzwerksegmentierung, Backup-Strategien und Zugangskontrollen. Die unter dem Titel „Cybersecurity for SMEs - Challenges and Recommendations“ veröffentlichte Studie gibt eine umfassende Übersicht zu Überlegungen, die bei der Erfüllung vom Stand der Technik wesentlich sind. Begleitet wird das Dokument von einem 12-Schritte Leitfaden mit dem Titel „Cybersecurity guide for SMEs - 12 steps to securing your business“, der sich praxisnah an den Bedürfnissen von KMU orientiert.
Ein zentrales Hilfsmittel zur Umsetzung des Standes der Technik in Deutschland ist die Handreichung „Stand der Technik in der IT-Sicherheit“ des IT-Sicherheitsverbands TeleTrusT. Sie wird regelmäßig aktualisiert und gilt als maßgebliche Orientierung für Unternehmen, die rechtliche Anforderungen aus NIS-2, IT-Sicherheitsgesetz oder DSGVO erfüllen müssen. Die Handreichung betont, dass der Stand der Technik nicht statisch ist. Unternehmen sollten daher ihre Sicherheitsvorkehrungen regelmäßig überprüfen und anpassen. Die Handreichung ersetzt keine gesetzliche Vorschrift oder Zertifizierung, bietet aber eine anerkannte und belastbare Grundlage, um technische Maßnahmen im Unternehmen systematisch auszuwählen, zu priorisieren und zu dokumentieren. Insbesondere in der Kommunikation mit Aufsichtsbehörden kann sie helfen, eigene Entscheidungen fachlich zu untermauern. Die Handreichung findet auch für international agierende Unternehmenden Anerkennung, so wurde in Zusammenarbeit mit der ENIS eine autorisierte englische Variante veröffentlicht.
Eine weitere Orientierung bieten nationale und international anerkannte Rahmenwerke, wie ISO/IEC 27001, der BSI IT-Grundschutz oder das NIST Cybersecurity Framework. Der weltweit verbreitete ISO/IEC 27001 Standard für Informationssicherheit-Managementsysteme legt Anforderungen für den Schutz vertraulicher Informationen fest, inklusive Risikobewertung, Governance, Kontrolle und kontinuierlicher Verbesserung. Die Zertifizierung nach ISO 27001 gilt als Nachweis und aktuell sicherste Konformitätsvermutung für die Erfüllung von einem NIS-2 konformen „Stand der Technik“. Der IT-Grundschutz bietet einen modularen Baukasten an Maßnahmen und ist abgestimmt auf verschiedene Schutzbedarfe. Das BSI hat bereits eine Reihe von Empfehlungen zur Umsetzung von NIS-2 gegeben, betreffend den Stand der Technik bietet sich zunächst ein CyberRisikoCheck nach DIN SPEC 27076 an. Der IT-Grundschutz kann außerdem mit Inhalten aus der ISO 27002 erweitert werden, die praktischere Umsetzungsoptionen gibt im Vergleich zur ISO 27001. Der BSI -Standard 200-3 für Risikomanagement und der BSI-Standard 200-4 für Business Continuity Management geben weitere Orientierung und helfen die in NIS-2 verankerten Mindestanforderungen erfolgreich in KMU zu etablieren.
NIS-2 wird die kommenden Jahre ein kontinuierliches Projekt für viele Unternehmen. Dies betrifft ebenfalls die Entwicklung und Anpassung an den Stand der Technik. Es wird erwartet, das mit Inkrafttreten der Richtlinie die genauen Konturen der Anforderungen sichtbar werden. Bis dahin ist es ratsam, gängige Standards zu befolgen und die Belegschaft auf steigende Anforderungen vorzubereiten. Unsere Lernplattform KMU.kompetent.sicher hilft ihrem Unternehmen, Informationssicherheits-Awareness nach dem Stand der Technik umzusetzen und so die Anforderung nach Schulungen im Bereich Cybersicherheit zu erfüllen.