IT-Verantwortliche werden mit immensen Herausforderungen konfrontiert. Branchenspezifische Anforderungen, wie TISAX in der Automobilindustrie, Merger, und daraus resultierende Integrations-Projekte, Ressourcenknappheit und zukünftig zu erwartende Budgeteinschnitte, da gilt es den Überblick zu behalten.
Zu solch einer Prio 1 Transformation zwingt uns die NIS-2-Richtlinie, eine EU-Richtlinie, die das Niveau der Cyberresilienz in der Union stärken soll. Sie wurde am 14. Dezember 2022 verabschiedet und tritt am 18. Oktober 2024 in Kraft. Die Richtlinie verpflichtet die Mitgliedstaaten zur Verabschiedung einer nationalen Cybersicherheitsstrategie und zur Benennung nationaler Computer Security Incident Response Teams (CSIRTs).
Sensible Infrastruktur
Vor dem Hintergrund einer steigenden Abhängigkeit von digitalen Technologien zeigten uns die COVID-19-Pandemie, der Ukraine-Krieg oder Naturkatastrophen auf, wie sensibel digitalisierte Gesellschaften und digitalisierte Wertschöpfungsprozesse auf unerwartete Risiken reagieren. Die Europäische Kommission prüfte die bestehende NIS-Richtlinie und stellte folgende Kritikpunkte fest:
- Unzureichende Cyberresilienz von Unternehmen
- Inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren
- Mangelhaftes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen der Mitgliedstaaten
- Fehlende gemeinsame Krisenreaktion
Vier zentrale Anforderungen
Die NIS2-Richtlinie stellt neue Anforderungen an Unternehmen in vier Hauptbereichen: Risikomanagement, Unternehmensverantwortung, Meldepflichten und Geschäftskontinuität.
- Risikomanagement: Unternehmen müssen Maßnahmen ergreifen, um Cyber-Risiken zu minimieren. Dazu gehören Vorfallmanagement, stärkere Lieferketten-Sicherheit, verbesserte Netzwerksicherheit, besserer Zugriffskontrolle und Verschlüsselung.
- Unternehmensverantwortung: Die NIS2 verlangt, dass die Cybersicherheitsmaßnahmen des Unternehmens überwacht, genehmigt und geschult werden, um Cyber-Risiken effektiv zu begegnen. Verstöße können zu Strafen für das Management führen, einschließlich Haftung und einer möglichen vorübergehenden Enthebung von Managementaufgaben.
- Meldepflichten: Wesentliche und wichtige Vorfälle müssen Prozesse für die sofortige Meldung von Sicherheitsvorfällen, mit erheblichen Auswirkungen auf ihre Dienstleistung oder Empfänger, gewährleisten. NIS2 setzt spezifische Benachrichtigungsfristen, wie eine 24-Stunden-“Frühwarnung” fest.
- Geschäftskontinuität: Organisationen müssen planen, wie sie die Geschäftskontinuität im Falle von größeren Cyber-Vorfällen gewährleisten wollen. Dieser Plan sollte Überlegungen zu Systemwiederherstellung, Notfallmanagement und Einrichtung eines Krisenreaktionsteams beinhalten.
Die NIS-2-Richtlinie stellt eine wichtige Grundlage für die Stärkung der Cyberresilienz in der EU dar. Für IT-Sicherheitsleiter und andere Fachleute im Bereich der IT-Sicherheit ist es wichtig, sich mit den Anforderungen dieser Richtlinie vertraut zu machen und entsprechende Maßnahmen zur Umsetzung in ihren Organisationen zu planen und geeignete Compliance-Maßnahmen umzusetzen. Dies erfordert eine sorgfältige Überprüfung der eigenen Prozesse und möglicherweise umfangreiche Transformations-Projekte.
Netzwerksicherheit als zentrale Komponente der Cyberresilienz
Belden´s macmon Network Access Control (NAC) kann Unternehmen dabei unterstützen, die Anforderungen der NIS2-Richtlinie zu erfüllen. Unsichere Information Technologie (IT)- und Operationale Technologie (OT)-Endgeräte werden automatisch identifiziert, und deren Sicherheitsstatus bei Bedarf in einer geschützten Umgebung aktualisiert. Mit Hilfe der Compliance-Funktion können Unternehmen Sicherheitsrichtlinien im Netzwerk durchsetzen. Clients und Endgeräte erhalten ausschließlich Berechtigungen zu notwendigen Netzwerkbereichen. Eine Segmentierung des Netzwerks trägt zusätzlich zur Verbesserung der Netzwerksicherheit bei, infizierte oder unerwünschte Geräte werden in ein separates VLAN verschoben und dort analysiert. Die Cyber-Resilienz wird durch granuläre Zugriffsrechte, die Vorbereitung auf Angriffe, die Eingrenzung von Angriffen und die Planung entsprechender Reaktionen gestärkt. Es ist wichtig zu beachten, dass die Implementierung einer NAC-Lösung nur ein Teil der Gesamtlösung ist. Unternehmen müssen auch andere Aspekte der NIS2-Richtlinie berücksichtigen. Hier sollte bei der Wahl weiterer Security-Lösungen auf strukturelle Interoperabilität geachtet werden.
Mit sechs Schritten zur erfolgreichen Umsetzung
Tipps für IT-Manager:
- Konsultation von Experten: Konsultation von Rechtsberatern oder Experten für Cybersicherheitsgesetze. Erfahrene Systemhäuser stehen ebenso für eine Unterstützung bereit.
- Bewertung der aktuellen Situation: Gründliche Bewertung der aktuellen Cybersicherheitspraktiken. Dabei sollten Bereiche identifiziert werden, in denen Verbesserungen notwendig sind, um die Anforderungen der NIS-2-Richtlinie zu erfüllen. Wichtig ist dabei, erprobte Software-Lösungen zum Einsatz zu bringen, die herstellerunabhängig sind und keine Investitionen in neue Endgeräte benötigen.
- Erstellung eines Aktionsplans: Basierend auf der Bewertung sollte ein detaillierter Aktionsplan mit klaren Zielen, Zeitrahmen und Verantwortlichkeiten zur Umsetzung der erforderlichen Änderungen erstellt werden.
- Schulung und Bewusstsein: Alle Mitarbeitenden, insbesondere diejenigen in Schlüsselpositionen, müssen über die NIS-2-Richtlinie und ihre Anforderungen informiert sein. Schulungen und Sensibilisierungsmaßnahmen können dazu beitragen, das Bewusstsein und das Verständnis zu erhöhen.
- Implementierung: Fortschritte sollten regelmäßig überwacht und bewertet werden. Anpassung nach Bedarf im Projektverlauf.
- Überprüfung und kontinuierliche Verbesserung: Nach der Implementierung der Änderungen sollten regelmäßige Überprüfungen durchgeführt werden, um sicherzustellen, dass die Anforderungen der NIS-2-Richtlinie weiterhin erfüllt sind. Dies sollte als ein kontinuierlicher Prozess der Verbesserung verankert werden. Stärkung der Cyberresilienz ist keine einmalige Aufgabe, die Angriffsszenarien und Methoden der Kriminellen sind höchst dynamisch.
Christian Bücker, Global Product Line Director Software, Belden Inc.: ”Durch die Befolgung dieser Schritte kann das IT-Management gut auf die Umsetzung der NIS-2-Richtlinie vorbereitet sein. Es ist ratsam, proaktiv zu handeln und frühzeitig mit der Planung zu beginnen, um sicherzustellen, dass alle Anforderungen rechtzeitig erfüllt werden. Der Einsatz von macmon NAC, einer zuverlässigen und erprobten Lösung für Netzwerksicherheit, kann dabei einen entscheidenden Beitrag leisten.“