DriveLock Blog | IT Sicherheit und Cyber Security

NIS2: noch zu vage für konkrete Maßnahmen? Was Sie jetzt tun können.

Geschrieben von DriveLock | Oct 18, 2023 12:00:00 PM

In unserem letzten Blog-Post sind wir darauf eingegangen, wer unter welchen Umständen von der NIS2 Direktive betroffen sein wird und welche Konsequenzen (z.B. Meldepflichten) die Richtlinie für betroffene Unternehmen haben kann. Haben Sie mehr als 50 Mitarbeiter oder mehr als 10 Mio. Euro Umsatz? Oder werden von staatlicher Seite als wesentliche oder wichtige Einrichtung eingestuft? Dann müssen Sie sich mit NIS2 beschäftigen.

Die steigende Bedrohungslage aus dem Cyberraum sowie geopolitische Entwicklungen erhöhen das Risiko, dass Einrichtungen der kritischen Infrastruktur durch Cyberattacken beeinträchtigt werden. Am 13. Januar 2023 wurde deshalb die NIS2-Richtlinie (EU) 2022/2555 in Kraft gesetzt, die bis Oktober 2024 in nationales Recht überführt werden muss. 

Da die nationale Gesetzgebung noch nicht abgeschlossen ist, sind konkrete Vorgaben im Detail noch recht unklar. In diesem Blog-Post gehen wir auf notwendige Risikomanagementmaßnahmen ein, die sich an den Mindestsicherheitsanforderungen der Richtlinie sowie an weltweiten Standards für kritische Sicherheitskontrollen orientieren. Dies sind Maßnahmen, die Sie bereits jetzt umsetzen können und die eine solide Grundlage für die kommenden Anforderungen aus NIS2 bilden.

 

 

INHALT
  1. ANFORDERUNGEN AN NIS2 RISIKOMANAGEMENTMASSNAHMEN 
  2. NIS2: ZU VAGE FÜR KONKRETE MASSNAHMEN?
  3. KONKRETE MASSNAHMEN ALS TEIL DES RISIKOMANAGEMENTS

 

Anforderungen an NIS2 Risikomanagementmaßnahmen


Neben der Erweiterung der Sektoren betroffener Unternehmen macht NIS2 ungefähre Vorgaben zu der Implementierung eines Mindestkonsens an Risikomanagementmaßnahmen.

Die Mindestsicherheitsanforderungen gehen aus Artikel 21 Absatz 2 1 der NIS2 Richtlinie hervor. Das Ziel insbesondere der NIS2 Risikomaßnahmen ist es, Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen zu minimieren.

Dazu müssen Einrichtungen angemessene technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu kontrollieren.

Bei diesen Maßnahmen - auch kritische Sicherheitskontrollen genannt - zum Schutz der virtuellen Assets, welche Unternehmen und Einrichtungen implementieren müssten, um den Anforderungen der NIS2-Richtlinie gerecht zu werden, bietet sich eine Orientierung an einschlägigen europäischen und internationalen Normen wie z.B. ISO 27001:2022 an. 

Welche angemessenen Critical Security Controls bei Unternehmen zum Einsatz kommen, hängt von dem Ergebnis einer Gefahrenanalyse ab. Das zu erreichende Sicherheitsniveau muss zum bestehenden Risiko passen und berücksichtigt Risikoexposition, Einrichtungsgröße und die Wahrscheinlichkeit von Sicherheitsvorfällen. 

NIS2: zu vage für konkrete Massnahmen?


Um sich vor Cyberangriffen und dem Verlust von wertvollen Daten zu schützen, müssen Wesentliche und Wichtige Einrichtungen im Rahmen von NIS2 konkrete Schutzmaßnahmen implementieren, die ein aktives Risikomanagement in Bezug auf Cybergefahren gewährleisten:

  • Ziel ist es, Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen zu minimieren.  
  • Sie müssen angemessene technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu kontrollieren.
  • Die Anforderungen werden an den Stand der Technik und relevante Normen sowie Umsetzungskosten berücksichtigt.
  • Die Maßnahmen sollen den Stand der Technik einhalten und unter Berücksichtigung der gegebenenfalls einschlägigen europäischen und internationalen Normen (z.B. ISO 27001/2). 
  • Sie müssen ein Sicherheitsniveau bieten, das zum bestehenden Risiko passt. Dabei werden Faktoren wie Risikoexposition, Einrichtungsgröße und die Wahrscheinlichkeit von Sicherheitsvorfällen berücksichtigt.
  • Bis zum 17. Oktober 2024 werden genaue technische und methodische Anforderungen festgelegt. Sie sollen beschreiben wie bestimmte Dienstanbieter im Internet, Cloud-Computing, Rechenzentrumsdienste, verwaltete Dienste, Sicherheitsdienste, Online-Marktplätze, Suchmaschinen, soziale Netzwerke und Vertrauensdienste ihre technischen und organisatorischen Sicherheitsmaßnahmen gestalten sollen.

 


Wir haben Dokumente vorbereitet, die Ihrem Unternehmen helfen werden, sich vor dem 17. Oktober auf die NIS2-Richtlinie vorzubereiten:

Um eine vage Vorstellung darüber zu bekommen, welche Maßnahmen Unternehmen und Einrichtungen konkret implementieren müssten, um den genannten Anforderungen gerecht zu werden, lohnt sich ein Blick in ISO 27001 Annex A.

Die Tabelle gibt einen Überblick über die potenziell zu implementierenden Sicherheitskontrollen. Die 93 Controls sind in vier Abschnitte unterteilt:

  1. Organizational Controls: 37 Maßnahmen
  2. People Controls: 8 Maßnahmen
  3. Physical Controls: 14 Maßnahmen
  4. Technological Controls: 34 Maßnahmen

ISO 27001 verlangt eine vorgeschriebene Risikobewertung, um festzustellen, ob bei jeder Kontrolle eine Risikoreduzierung erforderlich ist und, falls ja, in welchem Umfang diese angewendet werden soll. Hier erkennen wir eine Parallele zur erwähnten Analyse gemäß Artikel 21 Absatz 1 sowie der Anforderung an den "Stand der Technik". Zudem muss das Sicherheitsniveau dem bestehenden Risiko angemessen sein.

In Bezug auf Risikomanagement-Maßnahmen verdeutlicht ein Mapping der ISO Controls wie eine Ausrichtung nach ISO 2700X die Grundlage für eine gelungene Transformation im Rahmen von NIS2 bildet. In unserem nächsten Blogpost werden wir hierauf im Detail eingehen. Zunächst geben wir an dieser Stelle einen ersten Überblick: 


LESEN SIE HIER AUCH UNSERE WEITEREN BLOG-POSTS:

KONKRETE MASSNAHMEN ALS TEIL DES RISIKOMANAGEMENTS

Richtlinien

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

Incident Management

Bewältigung von Sicherheitsvorfällen 

Business Continuity

Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement  

Supply Chain 

Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern 

Prevention & Detection

Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen 

Risk & Compliance 

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit 

DLP | Verschlüsselung

Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung  

Awareness

Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit 

Access Control 

Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen 

Zero Trust

Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung 



Sicherheitsmaßnahmen mit DriveLock erfolgreich umsetzen


ISO 2700x und andere Regelwerke wie z.B. NIST, CIS, IT-Grundschutz und CMMC haben in ihrem Kern einen gemeinsamen Nenner an Sicherheitskontrollen und bieten einen soliden Bezugspunkt, der sicherlich auch für NIS2 zum Tragen kommen wird. Somit sind Einrichtungen und Unternehmen, die die folgenden Sicherheitsdomänen adressieren, bestens für eine erfolgreiche NIS2 Transformation vorbereitet: 

Inventory, Media Control, Malware Defense, Secure Configuration, Data Protection & DLP, Security Awareness, Vulnerability Management, Privilege Control, Incident Response. 

All diese Sicherheitsdomänen lassen sich in ihrer detaillierten Ausprägung den Mindestanforderungen der NIS2 Risikomanagementmaßnahmen zuordnen und gehen sogar darüber hinaus. 

Eine umfängliche Endpoint Security Lösung deckt diese Sicherheitsbereiche ab und hilft Unternehmen, die Anforderung aus NIS2 respektive anderer Regularien zu implementieren. 

Lesen Sie mehr dazu in unserem Whitepaper "6 Punkte, die Sie jetzt zu NIS2 wissen müssen".

Einrichtungen und Unternehmen, die die folgenden Sicherheitsmaßnahmen adressieren, sind bestens für eine erfolgreiche NIS2 Transformation vorbereitet: 

 

Security Control 

DriveLock Modul 

 

Inventory 

Discovery 
Hardware & Software Inventory 

 

Media Protection 

Device Control 

 

Malware Defense

Application Control 
Defender Antivirus 

 

Secure Configuration 

Security Configuration Management 

 

Data Protection 

Encryption 
BitLocker Management 

 

Security Awareness 

Security Awareness Campaigns 

 

Vulnerability Management 

Vulnerability Management 

 

Privilege Control 

User & Groups Management / SSO 

 

Incident Response 

Threat Detection & Response 
MITRE ATT&CK® 5 Framework 

 


Mit DriveLock vermeiden Sie Cyberattacken und Sicherheitsvorfälle von Beginn an. Unsere Technologie hilft, Sicherheitsverletzungen zu verhindern, potenzielle Bedrohungen frühzeitig zu erkennen und effektive Sicherheitsmaßnahmen zu ergreifen, bevor sie zu Problemen werden. Setzen Sie auf Proaktivität und Prävention, statt auf reaktive Maßnahmen. 

Schützen Sie Ihre Endgeräte in wenigen Minuten auf Knopfdruck. Passt DriveLock zu Ihren Anforderungen? Testen Sie unsere Lösungen einfach und kostenfrei für 30 Tage.