Die Rolle von SOCs bei der NIS2-Registrierung von Einrichtungen beim BSI nach §33 BSIG

Die NIS2-Richtlinie der EU hat das Ziel, das Cybersicherheitsniveau in Europa zu harmonisieren und zu erhöhen. Sie verlangte von den Mitgliedstaaten, diese bis 17. Oktober 2024 in nationales Recht umzusetzen. Dies haben allerdings 23 von 28 Mitgliedsstaaten nicht geschafft, weshalb die EU im November 2024 ein Vertragsverletzungsverfahren einleitete. 

In Deutschland erfolgt dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), welches unter anderem das BSIG (Bundesamt für Sicherheit in der Informationstechnik-Gesetz / BSI-Gesetz) neu fasst. Damit werden die Anforderungen der NIS2-Richtlinie in deutsches Recht übertragen, so findet sich die Registrierpflicht aus Artikel 3 Abs. 4 der NIS2-Richtlinie nun in §33 BSIG neu und die aktuellen Herausforderungen bei der Umsetzung.

Die Umsetzung der NIS2 in Deutschland wird durch den Bruch der Ampelkoalition verzögert. Bislang wurde das BSI noch nicht als zuständige Behörde für die Registrierungspflicht benannt.

Diese Entwicklung wird im Artikel „Bruch der Ampelkoalition: Auswirkungen auf NIS2„ detailliert analysiert. Dort heißt es: „Die politische Uneinigkeit hemmt nicht nur den Gesetzgebungsprozess, sondern bringt auch Unternehmen in Unsicherheit, da sie sich nicht auf konkrete Anforderungen vorbereiten können.“

Es steht zu befürchten, dass sich die Umsetzung bis in den Herbst 2025 oder gar bis 2026 verzögert, sofern nicht ein „Black Swan“-Ereignis eine sofortige Umsetzung politisch geboten macht, etwa ein großflächiger Cyberangriff auf kritische Infrastrukturen innerhalb der NATO.

Dazu gehören:

1. Name und Anschrift der Einrichtung:

   • Hierbei handelt es sich um grundlegende Identifikationsdaten.

2. Kontaktdaten:

   • Diese müssen eine Erreichbarkeit der Organisation sicherstellen und umfassen in der Regel Telefonnummer (Festnetz und/oder Mobil) und E-Mail-Adresse.

3. Beschreibung der wesentlichen Tätigkeiten:

   • Eine kurze, aber präzise Darstellung der Dienste, die von der Einrichtung erbracht werden.

4. IP-Adressbereiche und technische Ansprechpartner:

   • Diese Informationen sind essenziell, um die Infrastruktur der Einrichtung im Falle eines Vorfalls schnell analysieren zu können.

• Kontaktdaten nach Absatz 1:
  Diese betreffen wichtige und besonders wichtige Einrichtungen, die ihre grundlegenden Erreichbarkeitsdaten zur Verfügung stellen müssen. Hier reicht eine Standarderreichbarkeit aus, die während üblichen Geschäftszeiten gewährleistet ist.

• Kontaktstelle nach Absatz 2:
  Für Betreiber kritischer Infrastrukturen wird jedoch eine „jederzeitige“ Erreichbarkeit gefordert, was de facto eine 24/7-Verfügbarkeit bedeutet. Hier ist es sinnvoll, ein Security Operations Center (SOC) als Ansprechpartner zu benennen, da diese Einrichtungen nicht nur sofort erreichbar sind, sondern auch direkt Maßnahmen einleiten können. Sofern Ihre Einrichtung schon über einen SOC-Dienstleister verfügt: umso besser. Hierhin können Sie alle eingehenden Meldungen weiterleiten.

1. Benennung eines SOCs:

   • Ein SOC kann nicht nur eine ständige Verfügbarkeit garantieren, sondern auch als erste Anlaufstelle im Falle eines Sicherheitsvorfalls fungieren.

2. Delegation an IT-Dienstleister:

   • Für Organisationen, die keine eigenen Kapazitäten für ein SOC haben, kann die Delegation der Kontaktstelle an einen IT-Dienstleister eine sinnvolle Alternative darstellen.

3. Vermeidung der Benennung des Geschäftsführers:

   • Es ist nicht zielführend, den Geschäftsführer als Ansprechpartner für Cybersicherheitsvorfälle zu benennen.
     Stattdessen sollten kompetente IT-Mitarbeiter oder externe Dienstleister als Ansprechpartner fungieren.

Es kombiniert spezialisierte Mitarbeiter, Prozesse und Technologien, um eine kontinuierliche Sicherheitsüberwachung zu gewährleisten. Kernaufgaben eines SOC umfassen:

• Überwachung und Analyse: Rund-um-die-Uhr-Überwachung von Netzwerken, Systemen und Anwendungen, um potenzielle Bedrohungen frühzeitig zu erkennen.
• Vorfallsmanagement: Identifikation, Analyse und Reaktion auf Sicherheitsvorfälle, einschließlich der Koordination von Maßnahmen zur Eindämmung.
• Bedrohungsintelligenz: Einsatz von Datenanalysen und Erkenntnissen aus globalen Cyberbedrohungen, um zukünftige Angriffe zu verhindern.
• Berichterstattung und Compliance: Erstellung von Berichten, die Behördenanforderungen wie §33 BSIG entsprechen, und Sicherstellung der Einhaltung regulatorischer Vorgaben.

Durch Automatisierung und spezialisierte Tools wie SIEM-Systeme (Security Information and Event Management) kann ein SOC schnell auf Bedrohungen reagieren (vgl. Artikel „NIS2 fordert SIEM“ zur pragmatischen SIEM-Implementierung). Es dient als Rückgrat der IT-Sicherheitsstrategie, besonders bei der Erfüllung von Anforderungen wie der jederzeitigen Erreichbarkeit gemäß NIS2-Richtlinie.

Wichtige Auswahlkriterien für ein externes SOC sind:

• 24/7-Verfügbarkeit: Rund-um-die-Uhr-Überwachung und sofortige Reaktionsfähigkeit auf Vorfälle.
• Zertifizierungen & Compliance: Erfüllung von Standards wie ISO 27001, SOC 2 oder branchenspezifischen Sicherheitsanforderungen.
• Standort & Datenschutz: Bevorzugt ein SOC mit Betriebsstandorten in der EU, um DSGVO- und NIS2-Konformität sicherzustellen.
• Integration & Schnittstellen: Fähigkeit zur Anbindung an bestehende IT-Systeme und SIEM-Plattformen.
• Reaktionszeit & Eskalationsprozesse: Klare Definition der Bearbeitungszeiten bei Vorfällen sowie direkte Eskalationswege zum Unternehmen.
• Threat Intelligence & Forensik: Einsatz moderner Bedrohungsanalysen und forensischer Untersuchungen zur schnellen Erkennung und Abwehr von Angriffen.

Durch das Outsourcing eines SOCs können mittelständische Unternehmen die Anforderungen aus §33 BSIG neu und der NIS2-Richtlinie effizient erfüllen, ohne hohe Investitionen in eigenes Fachpersonal und Infrastruktur tätigen zu müssen.