NIS2 Anforderungen für Cloud und SaaS verstehen

Sie haben Ihre IT in die Cloud verlagert – für mehr Flexibilität, Skalierbarkeit und Innovation. Ein kluger Schachzug. Doch jetzt steht die NIS2-Richtlinie vor der Tür und wirft eine entscheidende Frage auf: Wer ist eigentlich für die Sicherheit Ihrer Daten und Dienste in der Cloud verantwortlich? Ist es Ihr Anbieter wie AWS, Microsoft oder Salesforce? Oder liegt die Last allein auf Ihren Schultern?

Die Antwort ist nicht so einfach, wie man denkt. Viele Unternehmen glauben fälschlicherweise, dass mit dem Wechsel in die Cloud auch die Verantwortung für die Sicherheit vollständig an den Provider übergeht. Das ist ein kostspieliger Irrtum. Die NIS2-Richtlinie macht deutlich: Sie als Unternehmen bleiben in der Pflicht, die Sicherheit Ihrer Netz- und Informationssysteme zu gewährleisten – egal, wo diese betrieben werden.

Dieser Leitfaden ist Ihr Navigator durch den Dschungel der NIS2-Anforderungen in der Cloud. Wir übersetzen die abstrakten Vorgaben in konkrete, technische und organisatorische Maßnahmen (TOMs) für Ihre Cloud-Infrastruktur (IaaS), Plattform-Dienste (PaaS) und Software-Anwendungen (SaaS). Vergessen Sie allgemeines Blabla – hier erfahren Sie, wie Sie NIS2 in Ihrer Cloud-Realität praktisch umsetzen.

‍

NIS2 & die Cloud: Eine untrennbare Verbindung

‍

Auf den ersten Blick mag NIS2 wie eine weitere regulatorische Hürde wirken. Doch im Kern geht es um Resilienz – die Fähigkeit Ihres Unternehmens, auch im Angesicht von Cyber-Bedrohungen handlungsfähig zu bleiben. Und da Ihre kritischen Prozesse zunehmend in der Cloud laufen, wird die Cloud-Sicherheit zum zentralen Hebel für Ihre NIS2-Compliance.

Eine der wichtigsten Anforderungen von NIS2 ist die Sicherheit der Lieferkette. In der Cloud-Welt ist Ihr Cloud-Service-Provider (CSP) ein integraler Bestandteil Ihrer Lieferkette. Die Wahl Ihres Anbieters und die Art, wie Sie dessen Dienste nutzen, sind also keine reinen IT-Entscheidungen mehr, sondern fundamentale Compliance-Entscheidungen.

‍

Das Fundament: Das Shared Responsibility Model praktisch erklärt

‍

Der Schlüssel zum Verständnis Ihrer Pflichten in der Cloud ist das Shared Responsibility Model (Modell der geteilten Verantwortung). Es definiert klar, welche Sicherheitsaufgaben beim Cloud-Anbieter liegen und welche bei Ihnen als Kunde verbleiben. Diese Aufteilung variiert je nach genutztem Service-Modell.

‍

Infrastructure-as-a-Service (IaaS)

‍

Bei IaaS (z. B. Amazon EC2, Azure Virtual Machines) stellt Ihnen der Anbieter die grundlegende Infrastruktur zur Verfügung: Rechenzentren, Server, Speicher und Netzwerke.

• Verantwortung des Anbieters: Die physische Sicherheit der Hardware und des Rechenzentrums.
• Ihre Verantwortung: Fast alles andere. Sie sind für die Sicherheit des Betriebssystems, der darauf installierten Anwendungen, der Netzwerkkonfiguration (Firewalls, Subnetze), der Daten und der Zugriffskontrollen verantwortlich.

‍

Platform-as-a-Service (PaaS)

‍

Bei PaaS (z. B. AWS Lambda, Google App Engine) stellt der Anbieter zusätzlich zur Infrastruktur auch das Betriebssystem und die Laufzeitumgebung bereit.

• Verantwortung des Anbieters: Physische Sicherheit, Infrastruktur und das Patchen des Betriebssystems.
• Ihre Verantwortung: Die Sicherheit Ihrer selbst entwickelten Anwendung, die Konfiguration der Plattformdienste, die Verwaltung der Nutzerzugriffe und der Schutz Ihrer Daten.

‍

Software-as-a-Service (SaaS)

‍

Bei SaaS (z. B. Microsoft 365, Salesforce, SECJUR) nutzen Sie eine fertige Anwendung, die vom Anbieter betrieben wird.

• Verantwortung des Anbieters: Die Sicherheit der Anwendung, der zugrundeliegenden Infrastruktur und des Betriebs.
• Ihre Verantwortung: Die Konfiguration der Sicherheits-Features der Anwendung (z. B. Multi-Faktor-Authentifizierung), die Verwaltung von Nutzerkonten und deren Berechtigungen sowie der Schutz Ihrer Daten innerhalb der Anwendung.

Häufiger Fehler: Zu glauben, bei SaaS läge die gesamte Verantwortung beim Anbieter. Falsch! Sie sind nach NIS2 dafür verantwortlich, die Ihnen zur Verfügung gestellten Sicherheitsoptionen korrekt zu konfigurieren und zu nutzen. Ein offener S3-Bucket bei AWS ist nicht die Schuld von Amazon, sondern eine Fehlkonfiguration des Nutzers.

‍

Die Umsetzung der 10 NIS2-Mindestmaßnahmen in der Cloud

‍

NIS2 fordert einen risikobasierten Ansatz und listet zehn konkrete Mindestmaßnahmen auf. Sehen wir uns an, was diese im Cloud-Kontext bedeuten und wie Sie sie praktisch umsetzen können.

‍

1. Risikoanalyse und Sicherheitskonzepte

‍

• Was NIS2 fordert: Ein Konzept für die Sicherheit von Informationssystemen und eine Risikoanalyse.
• Cloud-Umsetzung:
• IaaS/PaaS: Führen Sie eine cloud-spezifische Risikoanalyse durch. Typische Risiken sind Fehlkonfigurationen, unsichere APIs und unkontrollierte "Schatten-IT". Ihr Sicherheitskonzept sollte auf einem etablierten Framework wie ISO 27001 basieren und klare Richtlinien für die Konfiguration Ihrer Cloud-Ressourcen enthalten.
• SaaS: Bewerten Sie das Risiko jedes einzelnen SaaS-Dienstes. Werden dort kritische Daten verarbeitet? Bietet der Anbieter ausreichende Sicherheitsfunktionen?

‍

2. Bewältigung von Sicherheitsvorfällen

‍

• Was NIS2 fordert: Prävention, Erkennung und Reaktion auf Incidents.
• Cloud-Umsetzung:
• Nutzen Sie Cloud-native Tools zur Erkennung von Bedrohungen (z.B. AWS GuardDuty, Azure Sentinel).
• Definieren Sie einen Incident-Response-Plan, der die Besonderheiten der Cloud berücksichtigt (z.B. Isolation einer kompromittierten virtuellen Maschine, Widerruf von API-Schlüsseln).

‍

3. Krisenmanagement und Betriebskontinuität

‍

• Was NIS2 fordert: Backup-Management, Notfallwiederherstellung und Krisenmanagement.
• Cloud-Umsetzung:
• Richten Sie automatisierte Backups Ihrer Cloud-Daten ein (z.B. AWS Backup, Azure Backup).
• Testen Sie regelmäßig die Wiederherstellung (Disaster Recovery). Die Cloud bietet hier enorme Vorteile durch die Möglichkeit, Infrastruktur in anderen Regionen schnell wiederherzustellen.

‍

4. Sicherheit der Lieferkette

‍

• Was NIS2 fordert: Die Sicherheit in der Beziehung zwischen Ihnen und Ihren direkten Anbietern.
• Cloud-Umsetzung:
• Anbieterbewertung: Prüfen Sie Ihre Cloud-Anbieter sorgfältig. Verfügen sie über relevante Zertifizierungen wie ISO 27001 oder BSI C5?
• Vertragsgestaltung: Stellen Sie sicher, dass Ihre Verträge (AVVs, SLAs) klare Regelungen zu Sicherheit, Meldepflichten bei Vorfällen und Audit-Rechten enthalten.

‍

5. Sicherheit bei Erwerb, Entwicklung und Wartung

‍

• Was NIS2 fordert: Sichere Entwicklungspraktiken und Schwachstellenmanagement.
• Cloud-Umsetzung:
• DevSecOps: Integrieren Sie Sicherheitsscans (z.B. für Container-Images) direkt in Ihre CI/CD-Pipelines.
• Patch-Management: Während der Anbieter bei PaaS/SaaS das OS patcht, sind Sie bei IaaS selbst dafür verantwortlich. Nutzen Sie automatisierte Patch-Management-Tools.

‍

6. Konzepte zur Bewertung der Wirksamkeit

‍

• Was NIS2 fordert: Regelmäßige Überprüfung Ihrer Sicherheitsmaßnahmen.
• Cloud-Umsetzung:
• Führen Sie regelmäßig Penetrationstests Ihrer Cloud-Anwendungen durch.
• Nutzen Sie Cloud Security Posture Management (CSPM) Tools, um Fehlkonfigurationen kontinuierlich zu überwachen und zu beheben.

‍

7. Cyber-Hygiene und Schulungen

‍

• Was NIS2 fordert: Grundlegende Sicherheitspraktiken und Mitarbeiterschulungen.
• Cloud-Umsetzung:
• Schulen Sie Ihre Mitarbeiter im sicheren Umgang mit Cloud-Diensten und SaaS-Anwendungen, insbesondere im Hinblick auf Phishing und Passwortsicherheit.

‍

8. Kryptografie und Verschlüsselung

‍

• Was NIS2 fordert: Den Einsatz von Verschlüsselung, wo angemessen.
• Cloud-Umsetzung:
• Data-in-Transit: Aktivieren Sie TLS-Verschlüsselung für die gesamte Kommunikation.
• Data-at-Rest: Nutzen Sie die Verschlüsselungsfunktionen Ihres Cloud-Anbieters für Datenbanken und Speicher (z.B. AWS KMS, Azure Key Vault).

‍

9. Personalsicherheit, Zugriffskontrolle und Asset Management

‍

• Was NIS2 fordert: Konzepte zur Zugriffskontrolle und Verwaltung Ihrer Assets.
• Cloud-Umsetzung:
• Least Privilege: Vergeben Sie Berechtigungen nach dem Minimalprinzip. Nutzen Sie Identity and Access Management (IAM)-Rollen.
• MFA: Erzwingen Sie Multi-Faktor-Authentifizierung (MFA) für alle Nutzer, insbesondere für administrative Konten.
• Privileged Access Management (PIM): Nutzen Sie Tools wie Azure PIM für Just-in-Time-Zugriff auf kritische Ressourcen.

‍

10. Nutzung von Multi-Faktor-Authentifizierung (MFA)

‍

• Was NIS2 fordert: Den Einsatz von MFA oder ähnlichen Authentifizierungslösungen.
• Cloud-Umsetzung:
• Dies ist eine der einfachsten und wirksamsten Maßnahmen. Aktivieren Sie MFA für Ihren Cloud-Provider-Account, für alle SaaS-Dienste und für den Zugriff auf Ihre IaaS-Umgebungen.

‍

‍

Ihr praktischer Fahrplan zur NIS2-Compliance in der Cloud

‍

Der Weg zur NIS2-Konformität in der Cloud kann überwältigend wirken. Brechen Sie ihn in überschaubare Schritte herunter:

1. Bestandsaufnahme (Asset Management): Erfassen Sie alle genutzten Cloud- und SaaS-Dienste. Welche Daten werden wo verarbeitet?
2. Verantwortlichkeiten klären (Shared Responsibility): Analysieren Sie für jeden Dienst, wo Ihre Verantwortung beginnt und wo die des Anbieters endet.
3. Anbieter bewerten (Lieferkettensicherheit): Prüfen Sie die Sicherheitsnachweise und Verträge Ihrer wichtigsten Anbieter.
4. Lückenanalyse (Risikoanalyse): Vergleichen Sie Ihren aktuellen Stand mit den 10 NIS2-Mindestmaßnahmen. Wo gibt es Handlungsbedarf?
5. Maßnahmen umsetzen (TOMs): Implementieren Sie die fehlenden technischen und organisatorischen Maßnahmen, wie oben beschrieben.
6. Dokumentieren & Überwachen: Dokumentieren Sie alle Entscheidungen und Maßnahmen. Richten Sie ein kontinuierliches Monitoring ein, um die Wirksamkeit zu überprüfen und auf neue Bedrohungen reagieren zu können. Tools zur Compliance-Automatisierung können diesen Prozess erheblich vereinfachen.

‍

Häufig gestellte Fragen (FAQ)

‍

Was sind TOMs nach NIS2?

Technische und organisatorische Maßnahmen (TOMs) sind die konkreten Sicherheitsvorkehrungen, die Unternehmen ergreifen müssen, um ihre Netz- und Informationssysteme zu schützen. Dazu gehören Firewalls, Verschlüsselung, Zugriffskontrollen (technisch) sowie Sicherheitsrichtlinien, Schulungen und Incident-Response-Pläne (organisatorisch).

‍

Bin ich von NIS2 betroffen?

NIS2 betrifft Unternehmen ab einer bestimmten Größe (meist ab 50 Mitarbeitern oder 10 Mio. € Umsatz) in 18 Sektoren, die als "wesentlich" oder "wichtig" eingestuft werden, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur und öffentliche Verwaltung. Prüfen Sie genau, ob Ihr Unternehmen in einen dieser Sektoren fällt.

‍

Welche Strafen drohen bei NIS2-Verstößen?

Die Strafen sind empfindlich. Für "wesentliche Einrichtungen" können sie bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. Für "wichtige Einrichtungen" sind es bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.

‍

Ersetzt eine ISO 27001-Zertifizierung die NIS2-Umsetzung?

Nicht vollständig, aber sie ist eine hervorragende Grundlage. Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) deckt bereits einen Großteil der von NIS2 geforderten Maßnahmen ab. NIS2 hat jedoch zusätzliche, spezifische Anforderungen, z. B. bei den Meldepflichten.

‍

Fazit: Machen Sie die Cloud zu Ihrem Compliance-Vorteil

Die NIS2-Richtlinie ist kein Grund, die Cloud zu meiden. Im Gegenteil: Richtig genutzt, bieten Ihnen Cloud-Plattformen leistungsstarke Werkzeuge, um ein höheres Sicherheitsniveau zu erreichen, als es On-Premise oft möglich wäre.

Der Schlüssel liegt darin, Ihre Verantwortung zu kennen und proaktiv zu handeln. Verstehen Sie das Shared Responsibility Model, bewerten Sie Ihre Anbieter kritisch und setzen Sie die geforderten Maßnahmen systematisch in Ihrer Cloud-Umgebung um. Indem Sie die Cloud nicht als Blackbox, sondern als gestaltbaren Teil Ihrer IT-Landschaft betrachten, verwandeln Sie eine regulatorische Pflicht in einen echten strategischen Vorteil für die Resilienz und Sicherheit Ihres Unternehmens.

‍