Im Jahr 2016 unternahm die Europäische Union (EU) einen ersten Versuch, ihre Mitgliedsstaaten zu beeinflussen, um die Cybersicherheit in den Griff zu bekommen. Aus dieser Initiative ging die Richtlinie zur Netz- und Informationssicherheit (NIS) hervor, die sich mit Bedrohungen von Informationssystemen und Netzwerken befassen soll, die die Dienste, Verfahren und Benutzer*innen der digitalen Wirtschaft stören können. Die Richtlinie enthielt eine Auflistung von Mindestsicherheitsmaßnahmen, die Anbieter*innen digitaler und grundlegender Services - wie Energie, Banken, Gesundheit und Wasserversorgung - einhalten mussten.
Diese Verordnungen haben sich positiv auf die Cybersicherheit ausgewirkt, indem sie Investitionen gefördert und grundlegende bewährte Verfahren in diesem Bereich eingeführt haben. Es gab jedoch erhebliche Lücken, die es zu schließen galt, insbesondere die Unklarheit darüber, wie die EU-Mitgliedstaaten die Praktiken in ihr nationales Recht umsetzen sollten, und die Einstufung der Unternehmen, die in den Anwendungsbereich der Richtlinie fallen.
Grundsätzlich waren die Vorschriften der ursprünglichen NIS Sicherheitsrichtlinie Teil einer ganz anderen digitalen Landschaft als die, die sich Organisationen heute bietet. Die Konsolidierung von Telearbeit und hybriden Arbeitsmodellen hat ein perfektes Szenario für bösartige Akteure geschaffen, um kreativ zu werden und die Reichweite ihrer Angriffe sowie die Art der anvisierten Einrichtungen zu erweitern.
Die Bedrohungslandschaft entwickelt sich ständig weiter
Die Jahre seit der Umsetzung der ersten NIS Richtlinie waren für die IT- und Sicherheitsteams hart, doch das neue Jahrzehnt seit COVID-19 hat eine ganze Reihe neuer Herausforderungen mit sich gebracht. Wenn die Vorhersagen zur Sicherheit ein Hinweis darauf sind, was zu erwarten ist, dann steht uns eine harte Zeit bevor. Kürzlich sagte ein Experte für Cybersicherheit von der Universität Oxford auf der Jahrestagung des Weltwirtschaftsforums (WEF) in Davos, Schweiz, einen „aufziehenden Cybersturm” voraus.
In einem früheren Blog haben wir über das sich entwickelnde Szenario der Cybersicherheit gesprochen, wobei der Aufschwung fortschrittlicher Technologien und geopolitische Krisen als wichtige Funktionen in der globalen Cybersicherheitslandschaft eine Rolle spielten. Darüber hinaus nimmt die Zahl der Cyberangriffe in ganz Europa stetig zu, was Europa dazu veranlasst, eine widerstandsfähigere Richtlinie für die Zukunft anzustreben: eine, die nicht nur eine klare Grundlage für das Risikomanagement, sondern auch finanzielle Konsequenzen bei Nichteinhaltung vorsieht. Mit Inkrafttreten der NIS 2 drohen Unternehmen Geldbußen in Höhe von 10 Millionen Euro oder 2 % des weltweiten Gesamtumsatzes der Organisation - je nachdem, welcher Betrag höher ist.
NIS 2: Zeit, ernst zu machen
Die neue Version der europäischen Cybersicherheitsrichtlinie, NIS 2, ist umfassender, klarer und wahrscheinlich zukunftssicherer. Die Zahl der Sektoren, die in den Anwendungsbereich der Richtlinie fallen, wird von ursprünglich 19 auf 35 erhöht, um neuen, für Wirtschaft und Gesellschaft wichtigen Sektoren Rechnung zu tragen. Es ist eine Größenbeschränkung vorgesehen, sodass alle mittleren und großen Unternehmen innerhalb der ausgewählten Sektoren erfasst werden. Die Regeln erlauben es den Mitgliedsstaaten auch, kleinere Organisationen in den Geltungsbereich der Verordnung aufzunehmen, wenn diese als besonders sicherheitsgefährdet eingestuft werden.
In der Praxis erstreckt sich die NIS 2 nicht nur auf die Bereiche Energie, Gesundheitswesen, Verkehr, Finanzen, Wasserversorgung und digitale Infrastrukturen, sondern auch auf die Herstellung von Lebensmitteln und Medikamenten, die Abfallwirtschaft und die Postdienste, um nur einige zu nennen. Bisher übersehene Bereiche wie Unterauftragnehmer und Service-Provider fallen ebenfalls unter die Verordnung. Und wie bei der Datenschutz Grundverordnung und ähnlichen Richtlinien wird davon ausgegangen, dass Unternehmen, die nicht in der EU ansässig sind, aber ihre Dienste innerhalb des Blocks anbieten, in den Geltungsbereich der Richtlinie fallen und bei Verstößen haften.
Mit der Veröffentlichung dieser Maßnahmen im November letzten Jahres und einer gesetzten Frist bis 2024 versucht die EU, die Wirtschaft ihrer Mitgliedstaaten vor der sehr realen Bedrohung durch eskalierende Angriffe aus dem Internet zu schützen. Die Verantwortung für solche Pläne liegt bei den Führungskräften und Stakeholdern, sowohl im privaten als auch im öffentlichen Sektor. Es wird ein unbestreitbares Bestreben geben, Systeme, Verfahren, Netzwerke, Geräte und Benutzer*innen auf den neuesten Stand zu bringen, und auf dem Weg dorthin wird es eine Menge Unsicherheiten geben.
Als Nächstes: Schlüsselelemente und bewährte Verfahren für Compliance
In dieser Blog-Serie werden wir analysieren, was NIS 2 für IT- und Sicherheitsteams im Rahmen der Richtlinie bedeutet. Wir werden den Umfang und die Folgen der Verordnungen aus der Sicht von Manager*innen und technischen Abteilungen untersuchen. In der Zwischenzeit sei darauf hingewiesen, dass die Vorschriften für die bereits erfassten Unternehmen sowie für alle anderen Unternehmen mit mehr als 50 Mitarbeiter*innen und einem Jahresumsatz von mehr als 10 Millionen Euro in den betreffenden Branchen gelten werden. In den nächsten Blogs werden wir untersuchen, was dies für Ihre Organisation bedeutet, einschließlich der Schlüsselelemente, auf die Sie sich bei der Anwendung der NIS2 Richtlinie konzentrieren sollten, und der besten Verfahren für die Compliance.
nach Kategorie:
Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.