Das Risiko von Cyber-Attacken wie DDoS, Ransomware und Phishing nimmt zu. Dabei haben es Angreifer zunehmend auf Unternehmen in der DACH-Region abgesehen. Nur diejenigen, die Cyber-Attacken schnell erkennen und umgehend darauf reagieren können, werden einen Sicherheitsvorfall ohne grösseren Schaden überstehen. Aus diesem Grund wurde in der überarbeiteten NIS2-Richtlinie diesem Aspekt mehr Gewicht gegeben. Warum es sich ausserdem noch lohnt, sich mit dieser EU-Richtlinie zu befassen, zeigen wir Ihnen in diesem Beitrag auf.
Angesichts der zunehmenden Cyber-Angriffe auch auf kritische Infrastrukturen (KRITIS) ist es unerlässlich, dass sich Unternehmen hinsichtlich der eigenen Cyber-Resilienz besser aufstellen. Die überarbeitete EU-Richtlinie NIS2 (Network and Information Security) zur Sicherheit von Netz- und Informationssystemen ist ein wichtiger Impuls, um das allgemeine Sicherheitsniveau zu erhöhen und sollte nicht bloss zur Erfüllung regulatorischer Vorgaben betrachtet werden. Sie ist vielmehr Teil einer umfassenden unternehmerischen Verantwortung. Auch wenn sich die NIS2 grundsätzlich an europäische Organisationen richtet, ist es für Schweizer Unternehmen ebenfalls wichtig, sich an den entsprechenden Sicherheitsmassnahmen zu orientieren.
NIS2 soll die Sicherheit bei KRITIS erhöhen
Mit der überarbeiteten Richtlinie NIS2 verschärft die EU die Anforderungen an die Cyber-Sicherheit von KRITIS – als Nachfolgerin der NIS1-Richtlinie. Infolgedessen wurden KRITIS-Betreiber wie beispielsweise Betriebe der Strom- und Wasserversorgung, die Finanzbranche, das Gesundheitswesen sowie Anbieter digitaler Dienste innerhalb der EU dazu verpflichtet, geeignete technische, operative und organisatorische Sicherheitsmassnahmen nach dem neuesten Stand der Technik zu implementieren, um sich angemessen gegen Cyber-Attacken zu schützen.
Mit der neuen NIS2-Richtline reagiert die EU zu Jahresbeginn nun erneut und verschärft die Anforderungen an die Cyber-Sicherheit von KRITIS deutlich. Diesmal werden mehr Sektoren als bei NIS1 einbezogen. So kommen zu den bisherigen «Sektoren mit hoher Kritikalität» weitere «kritische Sektoren» hinzu, darunter Post- und Kurierdienste, die Abfallwirtschaft und Lebensmittelproduzenten. Ausserdem wird der Adressatenkreis auf Unternehmen erweitert, die mindestens 50 Mitarbeitende beschäftigen und einen Jahresumsatz von über 10 Millionen Euro erzielen. Somit sind nun auch KMU betroffen.
Künftig können CEOs bzw. Verwaltungsräte für die Nichtumsetzung zur Verantwortung gezogen werden. Um sicherzustellen, dass Sie als Verwaltungsratsmitglied Ihrer Aufgaben gerecht werden können, haben wir einen hilfreichen Leitfaden erarbeitet. Dieser bietet Ihnen eine perfekte Basis für eine unabhängige Selbsteinschätzung Ihrer Cyber-Resilienz.
Die geforderten Sicherheits- und Detektionsmassnahmen in NIS2 werden auch darüber hinaus erheblich ausgebaut.
Strengere Meldepflichten für Sicherheitsvorfälle
Um die Reaktionszeit gegenüber Cyber-Angriffen zu verkürzen, müssen Vorfälle binnen 24 Stunden nach ihrer Kenntnisnahme bei der zuständigen nationalen Behörde gemeldet werden. Neu müssen künftig auch Vorfälle zur Anzeige gebracht werden, bei denen die Verfügbarkeit von Daten oder Diensten eingeschränkt ist. Spätestens einen Monat nach der ersten Meldung muss die betroffene Einrichtung bereits einen Abschlussbericht zum aktuellen Fall vorlegen können.
Eine solche Reaktionszeit kann nur durch permanentes Monitoring, die Korrelation von Sicherheitsalarmen und der fundierten Analyse von Kompromittierungsindikatoren eingehalten werden. Bereits heute vertrauen weit über 250 Kunden aus der DACH-Region auf die Services aus unserem Cyber Defence Center in der Schweiz.
Verstärktes Risikomanagement
NIS2 verschärft die Anforderungen an die technischen, operativen und organisatorischen Mindestmassnahmen von «Sektoren mit hoher Kritikalität» weiterer «kritische Sektoren». Dazu zählen die Implementierung von Risikoanalyse- und Sicherheitskonzepten für IT-Systeme, die Bewältigung von Sicherheitsvorfällen, ein Backup- und Krisenmanagement sowie Verfahren zur Bewertung der Wirksamkeit der eigenen Risikomanagement-Massnahmen.
Zu den zentralen Praktiken sollten unter anderem Zero-Trust-Prinzipien, regelmässige Software-Updates und eine angemessene Netzwerksegmentierung gehören. Darüber hinaus sind ausreichendes Identitäts- und Zugriffsmanagement sowie Multi-Faktor-Authentifizierung (MFA) für eine nachhaltige Sicherheitsstrategie im Sinne der NIS2-Richtlinie essenziell. Gleichzeitig sollten die Mitarbeitenden für die steigenden Cyber-Bedrohungen sensibilisiert und geschult werden. Diese Massnahmen sind grundsätzlich nichts Neues und haben sich bereits seit Jahren als Good-Practice etabliert. Die Herausforderung liegt darin, diese umzusetzen und die Wirksamkeit periodisch zu überprüfen, sei es mit Vulnerability Scans, Sicherheits-Assessments, gezielten Penetration Tests oder simulierten Cyber-Attacken.
Sicherung der Lieferketten
Ohne einen wirksamen Schutz der gesamten Lieferketten nützt auch die beste Absicherung der einzelnen Unternehmen wenig. Daher fordert NIS2 Betreiber auf, Sicherheitsanforderungen für ihre Dienstleister und Lieferanten zu definieren. Zudem müssen die Betriebe deren Einhaltung durch Service Level Agreements (SLAs) oder periodische Prüfmechanismen gewährleisten. Diese Forderung deckt sich stark mit der überarbeiteten Version der NIST CSF.
Angriffe auf Lieferketten (Supply Chain Attacks) stellen eine reale Bedrohung dar. Die Kettenreaktion, die durch einen erfolgreichen Angriff auf einen einzelnen Lieferanten ausgelöst werden könnte, kann ein komplettes Netzwerk von Anbietern und damit die Wertschöpfungskette gefährden – was insbesondere bei «Sektoren mit hoher Kritikalität» und «kritischen Sektoren» verheerende Folgen haben könnte. In einem früheren Artikel haben wir diese Thematik bereits genauer und die Lupe genommen und entsprechende Tipps für Sie ausgearbeitet.
Stärken Sie Ihre Cyber-Defence-Massnahmen – nicht nur im Hinblick auf NIS2
Cyber-Attacken werden weiter zunehmen und vermehrt zu Notfallsituationen führen, da Cyber-Kriminelle immer modernere Werkzeuge und ausgeklügeltere Methoden einsetzen – Stichwort generative Künstliche Intelligenz. Ein umfassendes Sicherheitskonzept sollte daher über eine reaktive Verteidigung hinausgehen und den gesamten Sicherheitslebenszyklus abdecken: von der Prävention über den aktiven Schutz bis zur Gewährleistung oder – im Falle eines Falles – zur Wiederherstellung des Geschäftsbetriebs und der Daten.
Letztendlich sollte jedes Unternehmen sorgfältig abwägen, welche Massnahmen notwendig sind, um den Anforderungen der NIS2-Richtlinie nachzukommen und somit ein angemessenes Sicherheitsniveau zu erhalten. Durch eine frühzeitige Umsetzung besteht die Möglichkeit, Risiken rasch zu identifizieren und mit den richtigen Massnahmen zu begegnen. Denn schliesslich ist Cyber-Sicherheit keine reine gesetzliche Auflage, sondern liegt im ureigensten Interesse der betroffenen Unternehmen.
Möchten Sie wissen, wie es um Ihre NIS2-Compliance bestellt ist? Unsere NIS2-Gap-Analyse verschafft Ihnen die notwendige Transparenz. Unsere Sicherheitsexpert*innen decken Abweichungen zu allen Themengebieten des NIS2 auf, bewerten diese und geben priorisierte Handlungsempfehlungen ab. Sie erhalten einen Bericht, indem alles detailliert zusammengefasst und mit Ihnen besprochen wird. Zögern Sie nicht uns zu kontaktieren – wir helfen Ihnen gerne.
Ziehen Sie frühzeitig externe Cyber-Sicherheitsexpert*innen bei
Im Zuge der von der EU verabschiedeten NIS2-Richtlinie haben die Mitgliedstaaten nun bis Oktober 2024 Zeit, die Vorgaben in nationales Recht zu überführen. Die betroffenen Organisationen sollten daher frühzeitig mit der Umsetzung der erforderlichen Massnahmen beginnen. NIS2-pflichtige Unternehmen sollten zudem sicherstellen, dass sie über ausreichende (und qualifizierte) Ressourcen verfügen, um alle Anforderungen an die Umsetzung erfolgreich zu erfüllen. So muss zum Beispiel auch gewährleistet sein, dass bei Bedarf externer Support verfügbar ist. Wir empfehlen daher, frühzeitig Kontakt mit einem externen Sicherheitsdienstleister aufzunehmen. Wenn wir Sie bei der Erfüllung der NIS2-Vorgaben unterstützen können, dann stehen Ihnen bei InfoGuard über 200 Expert*innen zur Verfügung, sei es mit unseren Risk Management & Compliance Services oder 24/7 Cyber Defence & Incident Response Services aus unserem ISO 27001-zertifizierten Cyber Defence Center in der Schweiz.
