NIS2: noch zu vage für konkrete Maßnahmen? Was Sie jetzt tun können.

In unserem letzten Blog-Post sind wir darauf eingegangen, wer unter welchen Umständen von der NIS2 Direktive betroffen sein wird und welche Konsequenzen (z.B. Meldepflichten) die Richtlinie für betroffene Unternehmen haben kann. Haben Sie mehr als 50 Mitarbeiter oder mehr als 10 Mio. Euro Umsatz? Oder werden von staatlicher Seite als wesentliche oder wichtige Einrichtung eingestuft? Dann müssen Sie sich mit NIS2 beschäftigen.

Die steigende Bedrohungslage aus dem Cyberraum sowie geopolitische Entwicklungen erhöhen das Risiko, dass Einrichtungen der kritischen Infrastruktur durch Cyberattacken beeinträchtigt werden. Am 13. Januar 2023 wurde deshalb die NIS2-Richtlinie (EU) 2022/2555 in Kraft gesetzt, die bis Oktober 2024 in nationales Recht überführt werden muss. 

Da die nationale Gesetzgebung noch nicht abgeschlossen ist, sind konkrete Vorgaben im Detail noch recht unklar. In diesem Blog-Post gehen wir auf notwendige Risikomanagementmaßnahmen ein, die sich an den Mindestsicherheitsanforderungen der Richtlinie sowie an weltweiten Standards für kritische Sicherheitskontrollen orientieren. Dies sind Maßnahmen, die Sie bereits jetzt umsetzen können und die eine solide Grundlage für die kommenden Anforderungen aus NIS2 bilden.

Anforderungen an NIS2 Risikomanagementmaßnahmen

Neben der Erweiterung der Sektoren betroffener Unternehmen macht NIS2 ungefähre Vorgaben zu der Implementierung eines Mindestkonsens an Risikomanagementmaßnahmen.

Die Mindestsicherheitsanforderungen gehen aus Artikel 21 Absatz 2 1 der NIS2 Richtlinie hervor. Das Ziel insbesondere der NIS2 Risikomaßnahmen ist es, Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen zu minimieren.

Dazu müssen Einrichtungen angemessene technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu kontrollieren.

Bei diesen Maßnahmen - auch kritische Sicherheitskontrollen genannt - zum Schutz der virtuellen Assets, welche Unternehmen und Einrichtungen implementieren müssten, um den Anforderungen der NIS2-Richtlinie gerecht zu werden, bietet sich eine Orientierung an einschlägigen europäischen und internationalen Normen wie z.B. ISO 27001:2022 an. 

Welche angemessenen Critical Security Controls bei Unternehmen zum Einsatz kommen, hängt von dem Ergebnis einer Gefahrenanalyse ab. Das zu erreichende Sicherheitsniveau muss zum bestehenden Risiko passen und berücksichtigt Risikoexposition, Einrichtungsgröße und die Wahrscheinlichkeit von Sicherheitsvorfällen. 

NIS2: zu vage für konkrete Massnahmen?

Um sich vor Cyberangriffen und dem Verlust von wertvollen Daten zu schützen, müssen Wesentliche und Wichtige Einrichtungen im Rahmen von NIS2 konkrete Schutzmaßnahmen implementieren, die ein aktives Risikomanagement in Bezug auf Cybergefahren gewährleisten:

• Ziel ist es, Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen zu minimieren.  
• Sie müssen angemessene technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu kontrollieren.
• Die Anforderungen werden an den Stand der Technik und relevante Normen sowie Umsetzungskosten berücksichtigt.
• Die Maßnahmen sollen den Stand der Technik einhalten und unter Berücksichtigung der gegebenenfalls einschlägigen europäischen und internationalen Normen (z.B. ISO 27001/2). 
• Sie müssen ein Sicherheitsniveau bieten, das zum bestehenden Risiko passt. Dabei werden Faktoren wie Risikoexposition, Einrichtungsgröße und die Wahrscheinlichkeit von Sicherheitsvorfällen berücksichtigt.
• Bis zum 17. Oktober 2024 werden genaue technische und methodische Anforderungen festgelegt. Sie sollen beschreiben wie bestimmte Dienstanbieter im Internet, Cloud-Computing, Rechenzentrumsdienste, verwaltete Dienste, Sicherheitsdienste, Online-Marktplätze, Suchmaschinen, soziale Netzwerke und Vertrauensdienste ihre technischen und organisatorischen Sicherheitsmaßnahmen gestalten sollen.

Wir haben Dokumente vorbereitet, die Ihrem Unternehmen helfen werden, sich vor dem 17. Oktober auf die NIS2-Richtlinie vorzubereiten:

• 6 Punkte, die Sie jetzt zu NIS2 wissen müssen
• NIS2 Matrix
• NIS2 Compliance Check

Um eine vage Vorstellung darüber zu bekommen, welche Maßnahmen Unternehmen und Einrichtungen konkret implementieren müssten, um den genannten Anforderungen gerecht zu werden, lohnt sich ein Blick in ISO 27001 Annex A.

Die Tabelle gibt einen Überblick über die potenziell zu implementierenden Sicherheitskontrollen. Die 93 Controls sind in vier Abschnitte unterteilt:

1. Organizational Controls: 37 Maßnahmen
2. People Controls: 8 Maßnahmen
3. Physical Controls: 14 Maßnahmen
4. Technological Controls: 34 Maßnahmen

ISO 27001 verlangt eine vorgeschriebene Risikobewertung, um festzustellen, ob bei jeder Kontrolle eine Risikoreduzierung erforderlich ist und, falls ja, in welchem Umfang diese angewendet werden soll. Hier erkennen wir eine Parallele zur erwähnten Analyse gemäß Artikel 21 Absatz 1 sowie der Anforderung an den "Stand der Technik". Zudem muss das Sicherheitsniveau dem bestehenden Risiko angemessen sein.

In Bezug auf Risikomanagement-Maßnahmen verdeutlicht ein Mapping der ISO Controls wie eine Ausrichtung nach ISO 2700X die Grundlage für eine gelungene Transformation im Rahmen von NIS2 bildet. In unserem nächsten Blogpost werden wir hierauf im Detail eingehen. Zunächst geben wir an dieser Stelle einen ersten Überblick: 

LESEN SIE HIER AUCH UNSERE WEITEREN BLOG-POSTS:

• Was mit NIS2 auf Sie zukommt?
• NIS2 - Richtlinie: 6 Aspekte einer erfolgreichen Transformation
  
  

KONKRETE MASSNAHMEN ALS TEIL DES RISIKOMANAGEMENTS

Sicherheitsmaßnahmen mit DriveLock erfolgreich umsetzen

ISO 2700x und andere Regelwerke wie z.B. NIST, CIS, IT-Grundschutz und CMMC haben in ihrem Kern einen gemeinsamen Nenner an Sicherheitskontrollen und bieten einen soliden Bezugspunkt, der sicherlich auch für NIS2 zum Tragen kommen wird. Somit sind Einrichtungen und Unternehmen, die die folgenden Sicherheitsdomänen adressieren, bestens für eine erfolgreiche NIS2 Transformation vorbereitet: 

Inventory, Media Control, Malware Defense, Secure Configuration, Data Protection & DLP, Security Awareness, Vulnerability Management, Privilege Control, Incident Response. 

All diese Sicherheitsdomänen lassen sich in ihrer detaillierten Ausprägung den Mindestanforderungen der NIS2 Risikomanagementmaßnahmen zuordnen und gehen sogar darüber hinaus. 

Eine umfängliche Endpoint Security Lösung deckt diese Sicherheitsbereiche ab und hilft Unternehmen, die Anforderung aus NIS2 respektive anderer Regularien zu implementieren. 

Lesen Sie mehr dazu in unserem Whitepaper "6 Punkte, die Sie jetzt zu NIS2 wissen müssen".

Einrichtungen und Unternehmen, die die folgenden Sicherheitsmaßnahmen adressieren, sind bestens für eine erfolgreiche NIS2 Transformation vorbereitet: 

Mit DriveLock vermeiden Sie Cyberattacken und Sicherheitsvorfälle von Beginn an. Unsere Technologie hilft, Sicherheitsverletzungen zu verhindern, potenzielle Bedrohungen frühzeitig zu erkennen und effektive Sicherheitsmaßnahmen zu ergreifen, bevor sie zu Problemen werden. Setzen Sie auf Proaktivität und Prävention, statt auf reaktive Maßnahmen. 

Schützen Sie Ihre Endgeräte in wenigen Minuten auf Knopfdruck. Passt DriveLock zu Ihren Anforderungen? Testen Sie unsere Lösungen einfach und kostenfrei für 30 Tage.