NIS2-Richtlinie: Was bedeutet sie für Sicherheitsteams?

Im ersten Blog dieser Reihe haben wir die Änderungen vorgestellt, die mit der neuen Richtlinie zur Netz- und Informationssicherheit (NIS 2) einhergehen. Es wird erwartet, dass die neue Richtlinie von den Mitgliedstaaten der Europäischen Union bis September 2024 in Kraft gesetzt wird, sodass Unternehmen weniger als zwei Jahre Zeit haben, sich darauf vorzubereiten.

In Artikel 21 der im Dezember letzten Jahres verabschiedeten EU-Verordnung legt die EU die Grundlagen dessen fest, was sie als neuen Goldstandard für die Cybersicherheit ansieht: einen Plan mit Maßnahmen zum Management von Cybersicherheitsrisiken. Diese Maßnahmen sollen die bestehenden Sicherheitspraktiken verbessern und den Ansatz zum Schutz von Benutzer*innen, Systemen und Netzen vereinheitlichen. In diesem Blog werden wir uns ansehen, wie die Maßnahmen der Richtlinie den Informationssicherheitsteams als Richtschnur für ihr weiteres Vorgehen dienen sollten.

Die NIS 2 sieht vor, dass die von ihr erfassten Stellen geeignete Maßnahmen zum Schutz ihrer Systeme ergreifen und entsprechende Strategien umsetzen müssen:

• Risikoanalyse
• Behandlung von Vorfällen
• Geschäftskontinuität und Krisenverwaltung
• Prüfung und Auditierung
• Verschlüsselung
• Multi-Faktor-Authentifizierung
• Sicherheit der Lieferkette
• Personalwesen und Ausbildung

Solche Maßnahmen müssen die allgemeine Sicherheitslage eines Unternehmens bei der Vorbeugung, Verwaltung, Kontrolle und Beseitigung von Bedrohungen verbessern.

Vorbeugen ist besser als heilen

Wenn es um Cybersicherheit geht, ist die Prävention zweigleisig: Der Technologie und den Nutzer*innen, die sich auf sie verlassen, muss die gleiche Bedeutung beigemessen werden. So wie sich das Arbeitsumfeld stark verändert hat, so schnell ist auch die Bedrohungslandschaft gewachsen. Angreifer haben ihren Ansatz weiterentwickelt, um clevere Methoden zu entwickeln, um an wertvolle Unternehmensdaten zu gelangen, und nehmen die Benutzer*innen immer aggressiver ins Visier. Mangelnde Information und Aufklärung im Bereich der Cybersicherheit kann dazu führen, dass Technologieanwender ungeschützt sind. Daher hat die NIS 2 die Schulung von Anwender*innen sowie eine grundlegende Cybersicherheitshygiene als einen ihrer Aufträge festgelegt. Praktiken wie die Multi-Faktor-Authentifizierung, die regelmäßige Anwendung von Updates und Patches, die Durchsetzung von Richtlinien zur akzeptablen Nutzung, die Filterung von Inhalten und die Kontrolle von Benutzerberechtigungen fallen in diese Kategorie.

Auf der anderen Seite der Präventionsgleichung muss eine Technologie eingerichtet werden, die Bedrohungen ständig überwacht und sie stoppt, bevor sie sich ausbreiten können. Unternehmen müssen eine Sicherheitslösung einsetzen, die Schutz vor bekannter Ransomware, Trojanern und unerwünschten Programmen bietet und Echtzeitwarnungen bei Angriffen oder verdächtigen Aktivitäten ausgibt. Bei der Anschaffung einer Sicherheitslösung ist es auch wichtig zu wissen, was sie an Bedrohungsdaten bietet und wie die kritischen Telemetriedaten, die von den Endpunkten gesammelt werden, von Unternehmen genutzt werden können, um unbekannte Bedrohungen zu identifizieren und das Risiko bekannter Bedrohungen zu mindern. Eine wichtige Frage, die es zu berücksichtigen gilt, ist: Kann es neue Bedrohungen erkennen und wie kann es sie heute und in Zukunft beseitigen?

Ruhe bewahren und weitermachen

Die Reaktion auf Vorfälle ist eine wichtige Funktion eines erfolgreichen Sicherheitsprogramms. Rechtzeitiges Handeln ist der Schlüssel, um das Problem zu beseitigen und die Endpunkte wieder hinter den Schutzschild zu bringen. Die NIS 2 trägt diesem Umstand Rechnung und verlangt von den Organisationen robuste Pläne, um auf Zwischenfälle zu reagieren. IT-Teams müssen jederzeit wissen, was auf einem Gerät passiert. Ein umfassender Sanierungsplan kann Schritte beinhalten, um Geräte und Benutzer*innen vom Netzwerk zu isolieren, Geräte zu sperren und unter Quarantäne zu stellen, unerwünschte Dateien zu entfernen, Daten wiederherzustellen und den ordnungsgemäßen Zustand des Geräts wiederherzustellen, während gleichzeitig die Richtlinien der NIS 2 eingehalten werden, indem „der Grad der Harmonisierung der Sicherheits- und Meldeanforderungen erhöht wird, um die Einhaltung der Vorschriften für Unternehmen zu erleichtern.”

All diese Schritte und Vorkehrungen zielen darauf ab, die in der NIS 2 geforderte Geschäftskontinuität zu gewährleisten. Aufgrund der Art der unter die Richtlinie fallenden Organisationen können Unterbrechungen ihrer Arbeit zu gesellschaftlichen und wirtschaftlichen Auswirkungen für große Gruppen von Menschen führen. Um den Schaden zu minimieren, können Sicherheitslösungen mit mehreren Schutzschichten das Risiko mindern und gleichzeitig die gesamte Geräteflotte verwalten, ohne dass sich die einzelnen Geräte gegenseitig beeinflussen.

Wenn ein bedeutender Vorfall eintritt, müssen die Unternehmen schnell handeln und den zuständigen Behörden Bericht erstatten. Für die NIS 2 hat die EU die Anforderungen an die Meldung von Vorfällen verschärft. Während bisher keine Notwendigkeit bestand, Vorfälle zu melden, die eine kleine Anzahl von Nutzer*innen betrafen, werden die Unternehmen künftig verpflichtet sein, jedes Ereignis oder jeden Umstand zu melden, der sich negativ auf die Systeme auswirken könnte, wenn dadurch materielle und immaterielle Verluste entstehen könnten.

Das Sicherheitsnetz weit auswerfen

Eine tiefgreifende Verteidigungsstrategie, die sowohl externe Cyber-Bedrohungen als auch Risiken durch das Nutzungsverhalten abdeckt, ist am besten geeignet, um die Sicherheitsanforderungen umfassend zu erfüllen. Um dieses Schutzniveau zu erreichen, mussten die Unternehmen in der Vergangenheit Produkte von mehreren Anbieter*innen verwenden. Es ist nur gut, dass es heute mehr ganzheitliche Lösungen gibt, da NIS 2 die Verantwortung der Unternehmen für jeden Teil ihrer Lieferkette erhöht. Unternehmen müssen die Schwachstellen von Zulieferern als Teil ihrer eigenen Sicherheitsstrategie überprüfen und berücksichtigen. Diese Anforderung erweitert die Reichweite der NIS 2 und dürfte dazu beitragen, die Abwehrkräfte des Blocks zu stärken, da sie zweifellos weit über Europa hinaus Auswirkungen haben wird.

Auch in anderen Teilen des von der EU gebilligten Textes werden die Haftung und die Verantwortung der Unternehmen verschärft. Im nächsten und letzten Blog dieser Reihe werden wir uns damit befassen, was NIS 2 für die Unternehmensleitung und die Führungskräfte bedeutet und wie es die Entscheidungsfindung auf höchster Ebene im Bereich der Cybersicherheit in den kommenden Jahren beeinflussen wird.