Wie Unternehmen die NIS 2-Vorgaben vor dem im Oktober anstehenden Umsetzungstermin einhalten können
Inhaltsverzeichnis:
Den europäischen Ländern und Unternehmen bleibt nur noch etwas mehr als ein Monat, um sich auf die Durchsetzung der zweiten Version der Netz- und Informationssystemrichtlinie (NIS) der Europäischen Union vorzubereiten.
Das Gesetz, das bis zum 17. Oktober 2024 in Kraft treten soll, soll die Fähigkeit jedes EU-Mitgliedsstaates verbessern, Cyberkriminalität zu bekämpfen, den europaweiten Austausch und die Zusammenarbeit im Bereich Cybersicherheit zu erleichtern und sicherzustellen, dass Unternehmen in kritischen Sektoren Cybersicherheit ernst nehmen. Aber was bedeutet das in der Praxis?
Ein breiterer Ansatz für das Cybersicherheitsrisikomanagement
Als die EU im Jahr 2016 die ursprüngliche NIS-Richtlinie einführte, zielte sie darauf ab, die Cybersicherheit kritischer Infrastrukturen im gesamten politischen Block zu stärken.
Angesichts der Tatsache, dass die Bedrohungen für die Cybersicherheit in den letzten Jahren dramatisch zugenommen haben und mittlerweile praktisch jede Branche betreffen, haben die europäischen Gesetzgeber den Umfang der NIS-Anforderungen in der zweiten Version der Richtlinie erweitert.
NIS2 deckt ein breiteres Branchenspektrum ab – darunter Lebensmittelproduktion, Abfallwirtschaft, Postdienste, Forschung, Fertigung, Luft- und Raumfahrt, öffentliche Verwaltung und viele andere – und berücksichtigt die Sicherheitsrisiken für die Lieferkette, die von digitalen Dienstleistern ausgehen.
Es unterteilt die Sektoren in zwei Bereiche: unverzichtbar und wichtig. Die Bezeichnung „unverzichtbar“ beschreibt hochkritische Branchen wie Energie und Finanzdienstleistungen, die bereits in NIS1 beschrieben wurden. Diese Organisationen werden über 250 Mitarbeiter beschäftigen und einen Umsatz von mehr als 50 Millionen Euro pro Jahr erzielen.
Die Kategorie „wichtig“ umfasst dagegen eine Reihe weiterer wichtiger Branchen, wie etwa Post- und Kurierdienste sowie Forschungseinrichtungen. Unternehmen dieser Kategorie sind in der Regel mittelständisch, beschäftigen über 50 Mitarbeiter und erwirtschaften einen Jahresumsatz von mehr als 10 Millionen Euro.
Nach diesem Gesetz müssen die EU-Mitgliedstaaten außerdem sicherstellen, dass sie auf schwerwiegende Cybersicherheitsvorfälle vorbereitet sind. Konkret müssen sie Cyber-Vorfall-Reaktionsteams und eine nationale Netzwerk- und Informationssystembehörde (NIS) einrichten. Über die NIS-Kooperationsgruppe soll die Richtlinie die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten in Fragen der Cybersicherheit verbessern.
Nick Palmer, ein Lösungsingenieur bei der Bedrohungsinformationsplattform Censys, beschreibt NIS 2 als eine verbesserte Version von NIS 1, die darauf abzielt, die kollektive Cybersicherheit aller EU-Mitgliedsstaaten zu verbessern. Er sagt gegenüber ISMS.online: „Es soll einige Lücken und Unstimmigkeiten schließen, die bei den ursprünglichen Regeln ans Licht gekommen sind. Da unsere digitale Welt wächst und Cyberbedrohungen immer ausgefeilter werden, hat die EU erkannt, dass sie ihre Abwehr stärken muss.“
Als Teil eines umfassenderen Cybersicherheitsansatzes in der gesamten EU erklärt Ed Parsons – Vizepräsident für globale Märkte und Mitgliederbeziehungen bei der gemeinnützigen Organisation ISC2 –, dass dieser Risikomanagement, Unternehmensverantwortung, Vorfallberichterstattung und Anforderungen an die Geschäftskontinuitätsplanung umfasst. Er sagt: „Zu den wichtigsten Sicherheitspraktiken, die von NIS 2 vorgeschrieben werden, gehören Lieferkettensicherheit, Netzwerkschutz, Verschlüsselung, Multi-Faktor-Authentifizierung, Schwachstellenmanagement und Cybersicherheitsschulungen.“
Warum Compliance von größter Bedeutung ist
Da die Zahl und Komplexität von Cybersicherheitsbedrohungen weltweit rapide zunimmt, sind einige Experten davon überzeugt, dass die Einhaltung von NIS 2 im besten Interesse von Unternehmen aller Branchen liegt.
Dave Joyce, CEO des Datenrettungssoftwareanbieters Macrium, sagt, dass sein Ansatz zur branchenübergreifenden Cyber-Resilienz angesichts der heutigen komplexen Online-Bedrohungslandschaft authentisch erscheint. Er ist besonders ermutigt von seinem „umfassenden Ansatz zur Cybersicherheit“ in der Unternehmenslandschaft und fügt hinzu, dass er sich nicht nur auf „bekannte Bedrohungen“ konzentriert.
„NIS 2 legt den Schwerpunkt auf die Sicherung der gesamten Lieferkette und muss sorgfältig prüfen, wie Lieferanten mit Daten umgehen – ein Problem, das durch Vorfälle wie den CrowdStrike-Hack deutlich wurde, der Lücken in den Notfallwiederherstellungspraktiken aufgedeckt hat“, erklärt Joyce.
Laut Joyce ist die Einhaltung der Vorschriften der Schlüssel zur Aufrechterhaltung der Geschäftskontinuität, des Kundenvertrauens und des EU-Marktzugangs sowie zur Vermeidung von Geldbußen von bis zu 10 Millionen Euro oder 2 % des jährlichen internationalen Umsatzes. Er fährt fort: „Letztendlich fördert die Einhaltung von NIS 2 eine sicherere digitale Umgebung und trägt zu einem sichereren globalen Cyber-Ökosystem bei.“
Palmer von Censys ist ebenfalls überzeugt von der NIS-2-Richtlinie und ihren positiven Auswirkungen auf die europäische Geschäftslandschaft. Er weist darauf hin, dass die Einhaltung dieser strengen Anforderungen die Wahrscheinlichkeit verringert, dass Unternehmen Opfer von Cyberkriminalität werden und die damit verbundenen Folgen wie Betriebsstörungen, Reputationsschäden und finanzielle Verluste vermindern.
„Compliance spielt auch eine entscheidende Rolle beim Aufbau und Erhalt des Vertrauens bei Kunden, Partnern und Stakeholdern, da sie ein Engagement für Datensicherheit und betriebliche Belastbarkeit zeigt“, sagt er. „Auf dem wettbewerbsintensiven EU-Markt kann eine Nichteinhaltung dazu führen, dass man von lukrativen Möglichkeiten abgeschnitten wird oder Aufträge an konformere Wettbewerber verliert.“
Unterdessen argumentiert Parsons von ISC2, dass die Einhaltung von NIS 2 Unternehmen besser auf den Umgang mit neuen Cyberbedrohungen vorbereitet, ihr allgemeines Verständnis von Cybersicherheitsvorfällen und deren Auswirkungen auf den täglichen Betrieb verbessert und ihnen hilft, einen nahtlosen Prozess für die Reaktion auf und Meldung von Bedrohungen zu etablieren.
Wie NIS2 auf britische Organisationen anwendbar ist
Obwohl Großbritannien die EU verlassen hat, wird die NIS-2-Richtlinie noch immer viele britische Firmen betreffen. Laut Ann Keefe, Regionaldirektorin für Großbritannien und Irland beim IT-Unternehmen Kingston Technology, betrifft dies auch in Großbritannien ansässige Firmen, die mit EU-Mitgliedsstaaten Handel treiben. Sie sagt, sie müssten die NIS-2-Anforderungen erfüllen, wenn sie „nicht von den EU-Regulierungsbehörden überrascht werden wollen“.
Aber auch wenn ein britisches Unternehmen keine Geschäftsinteressen in der EU hat, kann es in seinem besten Interesse sein, die umfassenden NIS 2-Anforderungen zu erfüllen. Rob O'Connor, Technologieleiter und CISO für EMEA beim globalen Technologieunternehmen Insight, weist darauf hin, dass es im kommenden britischen Gesetzentwurf zur Cybersicherheit und -resilienz zu Überschneidungen mit NIS 2 kommen wird. Er schlägt vor, die Einführung der NIS 2-Standards könne eine „kosteneffiziente“ Möglichkeit sein, mit den steigenden Cybersicherheitsrisiken umzugehen.
Laut Palmer von Censys müssen britische Unternehmen, die von den Anforderungen des NIS 2-Sicherheitsrisikomanagements und der Berichtspflicht betroffen sind, ausgefeilte Cybersicherheitsmaßnahmen implementieren, regelmäßige Risikobewertungen durchführen und die Sicherheit ihrer Lieferketten gewährleisten.
„Sie müssen den EU-Behörden innerhalb strenger Fristen bedeutende Sicherheitsvorfälle melden, bei Untersuchungen kooperieren und möglicherweise einen EU-Vertreter ernennen, der die behördliche Kommunikation verwaltet“, sagt er. „Verträge mit EU-Kunden sollten NIS 2-Konformitätsklauseln enthalten, die sicherstellen, dass die Organisation ihren gesetzlichen Verpflichtungen nachkommt und sich vor Cyberbedrohungen schützt.“
Vorbereitung auf NIS 2
Da die Frist für die Einhaltung von NIS 2 schnell näher rückt, müssen Unternehmen, die noch nicht mit den Vorbereitungen begonnen haben, dies jetzt tun. Aber welche Schritte sind dafür nötig? Laut Parsons von ISC2 besteht der erste Schritt darin, festzustellen, ob ein Unternehmen selbst NIS 2 einhalten muss oder ob das Gesetz auch für seine Zulieferer gilt.
Dazu müsse beurteilt werden, ob das Unternehmen laut NIS-Definitionen in einem „essentiellen“ oder „wichtigen“ Sektor tätig sei. Parsons fügt hinzu, dass Unternehmen, die den NIS-Richtlinien unterliegen, im Rahmen einer umfassenden Risikobewertung Cybersicherheitsrisiken identifizieren und mindern müssen.
„Auf der Grundlage der Risikobewertung müssen geeignete technische und organisatorische Maßnahmen umgesetzt werden. Unternehmen müssen sich auf Vorfälle vorbereiten, indem sie Reaktionspläne und Prozesse für die Meldung bedeutender Vorfälle an die zuständigen Behörden erstellen“, sagt er.
Joyce von Macrium schließt sich einer ähnlichen Meinung an und fordert Unternehmen auf, ihre Cyber-Lage zu bewerten und sich zu fragen, ob sie derzeit über die Mittel verfügen, um sich so schnell wie möglich von einem Vorfall zu erholen.
Wenn nicht, empfiehlt er die Implementierung eines Wiederherstellungsplans für Cybervorfälle, der durch eine Backup-Lösung, Recovery Point Objectives (RPO) und Recovery Time Objectives (RTO) unterstützt wird. RPO bezeichnet den maximalen Datenverlust, den ein Unternehmen nach einem Cyberangriff erleiden kann, während RTO die maximale Zeit bezeichnet, die Unternehmen ohne IT-Netzwerke und -Dienste auskommen können.
Da sich NIS 2 speziell auf Sicherheitsrisiken in der Lieferkette konzentriert, rät Joyce Unternehmen, zu prüfen, wie ihre Lieferanten und Partner mit Fragen der Cybersicherheit umgehen. Er fügt außerdem hinzu, dass Unternehmen ihren Mitarbeitern beibringen müssen, wie sie Cybersicherheitsbedrohungen erkennen und melden können, und fügt hinzu, dass „klare Strukturen für Verantwortung und Berichterstattung unerlässlich sind“.
Er kommt zu dem Schluss: „Compliance ist keine einmalige Aufgabe; sie erfordert kontinuierliche Pflege und Wachsamkeit. Unternehmen sollten sich daher über sich entwickelnde Anforderungen auf dem Laufenden halten und eine Kultur der kontinuierlichen Verbesserung der Cyber-Resilienz fördern.“