In unserem letzten Blog-Post sind wir darauf eingegangen, wer unter welchen Umständen von der NIS2 Direktive betroffen sein wird und welche Konsequenzen (z.B. Meldepflichten) die Richtlinie für betroffene Unternehmen haben kann. Haben Sie mehr als 50 Mitarbeiter oder mehr als 10 Mio. Euro Umsatz? Oder werden von staatlicher Seite als wesentliche oder wichtige Einrichtung eingestuft? Dann müssen Sie sich mit NIS2 beschäftigen.
Die steigende Bedrohungslage aus dem Cyberraum sowie geopolitische Entwicklungen erhöhen das Risiko, dass Einrichtungen der kritischen Infrastruktur durch Cyberattacken beeinträchtigt werden. Am 13. Januar 2023 wurde deshalb die NIS2-Richtlinie (EU) 2022/2555 in Kraft gesetzt, die bis Oktober 2024 in nationales Recht überführt werden muss.
Da die nationale Gesetzgebung noch nicht abgeschlossen ist, sind konkrete Vorgaben im Detail noch recht unklar. In diesem Blog-Post gehen wir auf notwendige Risikomanagementmaßnahmen ein, die sich an den Mindestsicherheitsanforderungen der Richtlinie sowie an weltweiten Standards für kritische Sicherheitskontrollen orientieren. Dies sind Maßnahmen, die Sie bereits jetzt umsetzen können und die eine solide Grundlage für die kommenden Anforderungen aus NIS2 bilden.
INHALT |
Neben der Erweiterung der Sektoren betroffener Unternehmen macht NIS2 ungefähre Vorgaben zu der Implementierung eines Mindestkonsens an Risikomanagementmaßnahmen.
Die Mindestsicherheitsanforderungen gehen aus Artikel 21 Absatz 2 1 der NIS2 Richtlinie hervor. Das Ziel insbesondere der NIS2 Risikomaßnahmen ist es, Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen zu minimieren.
Dazu müssen Einrichtungen angemessene technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu kontrollieren.
Bei diesen Maßnahmen - auch kritische Sicherheitskontrollen genannt - zum Schutz der virtuellen Assets, welche Unternehmen und Einrichtungen implementieren müssten, um den Anforderungen der NIS2-Richtlinie gerecht zu werden, bietet sich eine Orientierung an einschlägigen europäischen und internationalen Normen wie z.B. ISO 27001:2022 an.
Welche angemessenen Critical Security Controls bei Unternehmen zum Einsatz kommen, hängt von dem Ergebnis einer Gefahrenanalyse ab. Das zu erreichende Sicherheitsniveau muss zum bestehenden Risiko passen und berücksichtigt Risikoexposition, Einrichtungsgröße und die Wahrscheinlichkeit von Sicherheitsvorfällen.
Um sich vor Cyberangriffen und dem Verlust von wertvollen Daten zu schützen, müssen Wesentliche und Wichtige Einrichtungen im Rahmen von NIS2 konkrete Schutzmaßnahmen implementieren, die ein aktives Risikomanagement in Bezug auf Cybergefahren gewährleisten:
Wir haben Dokumente vorbereitet, die Ihrem Unternehmen helfen werden, sich vor dem 17. Oktober auf die NIS2-Richtlinie vorzubereiten:
Um eine vage Vorstellung darüber zu bekommen, welche Maßnahmen Unternehmen und Einrichtungen konkret implementieren müssten, um den genannten Anforderungen gerecht zu werden, lohnt sich ein Blick in ISO 27001 Annex A.
Die Tabelle gibt einen Überblick über die potenziell zu implementierenden Sicherheitskontrollen. Die 93 Controls sind in vier Abschnitte unterteilt:
ISO 27001 verlangt eine vorgeschriebene Risikobewertung, um festzustellen, ob bei jeder Kontrolle eine Risikoreduzierung erforderlich ist und, falls ja, in welchem Umfang diese angewendet werden soll. Hier erkennen wir eine Parallele zur erwähnten Analyse gemäß Artikel 21 Absatz 1 sowie der Anforderung an den "Stand der Technik". Zudem muss das Sicherheitsniveau dem bestehenden Risiko angemessen sein.
In Bezug auf Risikomanagement-Maßnahmen verdeutlicht ein Mapping der ISO Controls wie eine Ausrichtung nach ISO 2700X die Grundlage für eine gelungene Transformation im Rahmen von NIS2 bildet. In unserem nächsten Blogpost werden wir hierauf im Detail eingehen. Zunächst geben wir an dieser Stelle einen ersten Überblick:
LESEN SIE HIER AUCH UNSERE WEITEREN BLOG-POSTS:
Richtlinien |
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme |
Incident Management |
Bewältigung von Sicherheitsvorfällen |
Business Continuity |
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement |
Supply Chain |
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern |
Prevention & Detection |
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen |
Risk & Compliance |
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
DLP | Verschlüsselung |
Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung |
Awareness |
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit |
Access Control |
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen |
Zero Trust |
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung |
ISO 2700x und andere Regelwerke wie z.B. NIST, CIS, IT-Grundschutz und CMMC haben in ihrem Kern einen gemeinsamen Nenner an Sicherheitskontrollen und bieten einen soliden Bezugspunkt, der sicherlich auch für NIS2 zum Tragen kommen wird. Somit sind Einrichtungen und Unternehmen, die die folgenden Sicherheitsdomänen adressieren, bestens für eine erfolgreiche NIS2 Transformation vorbereitet:
Inventory, Media Control, Malware Defense, Secure Configuration, Data Protection & DLP, Security Awareness, Vulnerability Management, Privilege Control, Incident Response.
All diese Sicherheitsdomänen lassen sich in ihrer detaillierten Ausprägung den Mindestanforderungen der NIS2 Risikomanagementmaßnahmen zuordnen und gehen sogar darüber hinaus.
Eine umfängliche Endpoint Security Lösung deckt diese Sicherheitsbereiche ab und hilft Unternehmen, die Anforderung aus NIS2 respektive anderer Regularien zu implementieren.
Lesen Sie mehr dazu in unserem Whitepaper "6 Punkte, die Sie jetzt zu NIS2 wissen müssen".
Einrichtungen und Unternehmen, die die folgenden Sicherheitsmaßnahmen adressieren, sind bestens für eine erfolgreiche NIS2 Transformation vorbereitet:
|
Security Control |
DriveLock Modul |
|
Inventory |
Discovery |
|
Media Protection |
Device Control |
|
Malware Defense |
Application Control |
|
Secure Configuration |
Security Configuration Management |
|
Data Protection |
Encryption |
|
Security Awareness |
Security Awareness Campaigns |
|
Vulnerability Management |
Vulnerability Management |
|
Privilege Control |
User & Groups Management / SSO |
|
Incident Response |
Threat Detection & Response |
Mit DriveLock vermeiden Sie Cyberattacken und Sicherheitsvorfälle von Beginn an. Unsere Technologie hilft, Sicherheitsverletzungen zu verhindern, potenzielle Bedrohungen frühzeitig zu erkennen und effektive Sicherheitsmaßnahmen zu ergreifen, bevor sie zu Problemen werden. Setzen Sie auf Proaktivität und Prävention, statt auf reaktive Maßnahmen.
Schützen Sie Ihre Endgeräte in wenigen Minuten auf Knopfdruck. Passt DriveLock zu Ihren Anforderungen? Testen Sie unsere Lösungen einfach und kostenfrei für 30 Tage.