Kudelski Security: NIS2 effektiv umsetzen und Cyber-Resilienz stärken
Cheseaux-sur-Lausanne – Die NIS2-Richtlinie soll die Cybersicherheit in der europäischen Union erhöhen. Sie baut auf den Bemühungen der NIS-Richtlinie von 2016 auf, mit der ein EU-weites hohes Niveau der Cybersicherheit geschaffen werden sollte. Mit der Modernisierung des bestehenden Rechtsrahmens reagiert die EU auf die fortschreitende Digitalisierung und die sich stetig entwickelnde Bedrohungslandschaft. Zwar haben die Mitgliedstaaten bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht zu überführen – Unternehmen sollten jedoch nicht bis dahin mit dessen Umsetzung warten. Kudelski Security erklärt, wie sich Organisationen auf die NIS2-Richtlinie vorbereiten und so ihre Cyber-Resilienz erhöhen können.
Während die NIS-Richtlinie von 2016 eine Grundlage für EU-Mitgliedstaaten bildete, ihre Anforderungen an Cybersicherheit anzupassen, liess sie dennoch einige Fragen offen: Jedes Land hatte seine eigene Auffassung über die Höhe der Bussgelder, die Bewertung der Wirksamkeit von Risikomanagementmassnahmen im Bereich der Cybersicherheit war nicht effektiv und es fehlte ein einheitlicher Leitfaden für das Vorgehen in Krisensituationen. Mit NIS2 will die EU nun mehr Klarheit schaffen und die Cybersicherheit in der gesamten Union erhöhen. Darüber hinaus verpflichtet die Richtlinie sowohl die Mitgliedstaaten als auch Unternehmen in kritischen Sektoren und legt gemeinsame Anforderungen an die Cybersicherheit fest. Neben den Bereichen Abwasser, Raumfahrt, öffentliche Verwaltung und ITK berücksichtigt die Richtlinie auch andere kritische Sektoren wie Forschung, Lebensmittelproduktion, Post- und Kurierdienste, Abfallmanagement, Fertigung sowie Chemie. Auch Operation Technology (OT) kann unter die NIS2-Richtlinie fallen, sobald sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen hat.
NIS2-Massnahmen-Katalog
Mit der NIS2-Richtlinie geben die EU-Mitgliedstaaten Unternehmen einen Katalog an Massnahmen (Kapitel IV, Artikel 21) an die Hand – dazu zählen Risikoanalysen, Massnahmen zur Verbesserung der Lieferkettensicherheit oder das Erstellen von Unternehmensrichtlinien für den angemessenen Einsatz von Kryptographie und Verschlüsselung. Ob für IT-Abteilungen zusätzliche Kosten anfallen, hängt davon ab, wie gut sie bereits aufgestellt sind. Darüber hinaus spielt auch die Risikobereitschaft des Unternehmens eine Rolle: Der Vorstand sollte bereit sein, flexibel auf notwendige Veränderungen zu reagieren und neue Technologien beispielsweise zum Schutz vor Cyberangriffen einsetzen – auch, wenn dies mit zusätzlichen Kosten verbunden sein kann. Unternehmen sollten bei der Umsetzung der NIS2-Massnahmen nicht nur die Anforderungen erfüllen, um ein Bussgeld zu umgehen, sondern immer das übergeordnete Ziel im Hinterkopf behalten: Die Cybersicherheit in der gesamten EU zu erhöhen. Durch die richtigen Massnahmen können Unternehmen die Risiken für ihre Dienste und Systeme kontrollieren – und so die Auswirkungen von Zwischenfällen auf ihre und womöglich auch andere Unternehmensabläufe minimieren oder verhindern. Dafür müssen Unternehmen kontinuierlich ihre Cybersicherheitsstrategie hinterfragen und ausreichend Zeit, Budget sowie Ressourcen zur Verfügung stellen. Doch im komplexen Cyberspace ist Schutz allein gegen aktuelle Angriffe nicht ausreichend: Sicherheitsmassnahmen sollten immer eine Kombination aus Schutz, Erkennung und Reaktion darstellen. Es ist unerlässlich, dass Cybersicherheit für alle Mitarbeitenden keine lästige Pflicht, sondern selbstverständlich ist – von der Managementebene bis zu jedem Angestellten.
Tipps zur zielgerichteten Umsetzung
Der Weg zur Umsetzung von NIS2 ist nur so gut oder nützlich wie die Risikobewertung der Unternehmen. Nur, wenn sie verstehen, welche Cyberrisiken ihre Geschäftsabläufe bedrohen, können sie die nötigen Massnahmen ergreifen. Diese zehn Punkte helfen Unternehmen bei der Vorbereitung auf die NIS2-Richtlinie:
- Ermitteln, ob das Unternehmen aufgrund der Unternehmensgrösse, seines Umsatzes und seiner Branche die NIS2-Richtlinie einhalten muss.
- Eine Risikobewertung (unter Berücksichtigung der Lieferkette kritischer Lieferanten) durchführen und die Risikobereitschaft bestimmen.
- Alle Mitarbeitenden über Regulierung, Sanktionen sowie Bussgelder aufklären und diese Informationen im Unternehmen verbreiten.
- Mit Hilfe von NIS2 Artikel 21 beurteilen, wo das Unternehmen noch Aufholbedarf hat, um die Richtlinie zu erfüllen.
- Zeit und Budget für die Implementierung der fehlenden Massnahmen kalkulieren.
- Mithilfe von Playbooks für die häufigsten Cyber-Risikoszenarien einen umfassenden Plan für die Reaktion auf Vorfälle erstellen und diesen testen, um zu beurteilen, ob eine angemessene Reaktion möglich ist.
- Auf die Meldepflicht von Sicherheitsvorfällen vorbereiten: Unternehmen müssen innerhalb von 24 Stunden eine erste Warnung herausgeben.
- Festlegen, wie das Unternehmen im Falle eines Sicherheitsvorfalls das Geschäft weiterführen kann und einen Krisenmanagement-Plan erstellen.
- Eine Vulnerability Disclosure Policy (VDP) erstellen, mit der Unternehmen über ein Sicherheitsproblem oder eine Schwachstelle informieren können.
- Regelmässige Sicherheitstests und Audits durchführen.
Bei den meisten Regularien muss jedes Unternehmen individuell herausfinden, wie es die Massnahmen bestmöglich implementieren kann. Dies gilt auch für NIS2: Es gibt keine allgemein geltende Schritt-für-Schritt-Anleitung für die Umsetzung. Umso wichtiger ist es, dass sich Unternehmen jetzt mit dem Thema auseinandersetzen – und nicht bis zum Oktober damit warten. Wenn Verantwortliche Unsicherheiten bei der Einschätzung, Bewertung und Umsetzung der NIS2-Richtlinie haben, lohnt es sich, auf einen externen Cybersicherheits-Partner zu setzen. Dieser kann ihnen darüber hinaus wertvolle Handlungsempfehlungen geben, die speziell auf das jeweilige Unternehmen zugeschnitten sind. (Kudelski Security/mc/ps)