(openPR)
Mehr Cyber-Resilienz für Europa lautet die Vision
Wien/Dortmund, 04.06.2024. Die Netzwerk- und Informationssicherheits-Richtlinie 2.0 (NIS2) wurde im Dezember 2022 vom europäischen Gesetzgeber verabschiedet und ist eine Anpassung der bestehenden Vorgaben. Die Richtlinie führt verpflichtende Vorschriften zur Cybersicherheit mit einer deutlichen Ausweitung der bisher betroffenen Branchen ein. Ziel ist es, der nach wie vor angespannten Bedrohungslage im Cyberraum entgegenzuwirken. Mehr Cyber-Resilienz für Europa lautet das Credo.
Alle EU-Mitgliedsstaaten müssen die neuen Vorschriften bis zum 17. Oktober 2024 in geltendes Recht überführen. Beide Gesetze werden sehr wahrscheinlich nach diesem Stichtag zügig in Kraft treten. In Deutschland ist dies das NIS2-Umsetzungsgesetz (NIS2UmsuCG), in Österreich das NIS-Gesetz. Unternehmen und Organisationen sollten sich spätestens jetzt mit den gestiegenen Anforderungen an Technologie und Compliance beschäftigen und Maßnahmen zur Einführung derartiger Anstrengungen belegen können.
NIS2 nimmt Unternehmensführung persönlich in die Pflicht
Die NIS2-Gesetzgebung betont die Bedeutung und Notwendigkeit des Risikomanagements für Cybersicherheit. Unternehmensleitungen sind gefordert, Maßnahmen zu ergreifen, die sowohl interne Schäden als auch Auswirkungen auf die Gemeinschaft berücksichtigen. Neu bei NIS2 ist, dass das Top-Management in die Pflicht genommen wird und persönlich für die Umsetzung der Maßnahmen haftet. Ansonsten drohen saftige Strafen bis zu 10 Millionen Euro oder gar empfindliche Sanktionen, wie der Entzug wichtiger Zertifizierungen. Aus wirtschaftlicher Sicht ist es oft nicht realisierbar, sämtliche Risiken zu eliminieren. Daher sind zuverlässige Daten erforderlich, um die richtigen Kompromisse zu finden. Regelmäßige Abstimmungen des Top-Managements mit den Sicherheitsverantwortlichen der operativen IT sowie der IT-Security werden zunehmend wichtiger, um die Anforderungen der NIS2-Richtlinie erfüllen zu können.
35.000 Unternehmen und Organisationen in Deutschland und Österreich sind betroffen
NIS2 erweitert NIS1 um strengere Sicherheitsanforderungen, die zusätzliche Wirtschaftssektoren umfassen und damit eine größere Anzahl betroffener Unternehmen. Schätzungen gehen von rund 30.000 Unternehmen und Organisationen in Deutschland aus. Für Österreich wird die Zahl mit rund 5.000 beziffert. Zudem sieht NIS2 härtere und einheitlichere Strafen sowie erweiterte Meldepflichten vor. Ein besonderer Fokus liegt auf der Zusammenarbeit von lokalen Sicherheitsbehörden mit der Europäischen Agentur für Cybersicherheit (ENISA). Eingesetzte Cybersecurity-Produkte müssen nach EU-Standards zertifiziert sein.
Betriebliche, technische und organisatorische Anforderungen im Fokus
Die NIS2-Richtlinie beinhaltet verpflichtende Maßnahmen, die Unternehmen im Bereich der Cybersicherheit umsetzen müssen. Diese Maßnahmen betreffen zum einen die Technologie, aber auch die Einhaltung von Compliance-Richtlinien sowie organisatorische Vorgaben. Hinsichtlich der Technologie sind beispielsweise die Einführung von Zugriffskontrollen, regelmäßige Sicherheitsaudits und Pen-Tests zu erwähnen. Im Rahmen der Compliance-Richtlinien ist die Geschäftsführung dafür verantwortlich, dass bestimmte Standards und Vorschriften eingehalten werden. Dazu gehören unter anderem die Datenschutz-Grundverordnung (DSGVO) und die ISO 27001-Norm. Im organisatorischen Bereich geht es vor allem darum, dass das Unternehmen über Notfall- und Kommunikationspläne verfügt, um im Falle eines Sicherheitsvorfalls schnell und effektiv reagieren zu können.
SOC: Die Leitstelle im Kampf gegen Cyberkriminalität
Es ist unerlässlich zu verstehen, dass Cybercrime jedes Unternehmen treffen kann. Die Angreifer werden immer professioneller und die Kampagnen raffinierter. Eine zentrale Bedeutung kommt hier dem Security Operations Center zu, kurz: SOC. Ein SOC ist darauf spezialisiert, Informationsrisiken aus dem Cyberraum zu identifizieren, zu bewerten und abzuwehren. Es ist eine organisatorische Einheit, die der Geschäftsleitung direkt unterstellt und neben der operativen IT angesiedelt sein sollte. Eine enge partnerschaftliche Zusammenarbeit zwischen einem SOC-Team und dem Team der operativen IT sollte selbstverständlich sein und ist entscheidend für die Geschäftsfähigkeit (Business Continuity). Für Unternehmen und Behörden, die die neuen Sicherheitsanforderungen nicht selbst umsetzen können, ist die Beauftragung eines „SOC-as-a-Service“ durch einen vertrauenswürdigen Managed-Security-Service-Provider (MSSP) eine gangbare Alternative.
