Deep Observability: Der Schlüssel zur NIS-2-Konformität

Die unfreiwillige Schonfrist in Deutschland geht weiter: Noch immer gibt es hierzulande kein genaues Datum, an dem die EU-Richtlinie NIS-2 offiziell in Kraft tritt. Dennoch sollten sich Unternehmen – sofern noch nicht geschehen – auf diesen Tag vorbereiten, denn es steht einiges auf der Maßnahmenagenda. Schließlich geht es darum, die Cyber-Sicherheit und -Resilienz der EU so schnell und effizient wie möglich zu erhöhen.

Die NIS-2-Richtlinie bzw. das NIS-2-Umsetzungsgesetz gilt für alle Unternehmen, die mindestens 50 Mitarbeitende beschäftigen, über zehn Millionen Euro Umsatz erzielen und/oder in einer der 18 festgelegten kritischen Sektoren tätig sind. Ansonsten drohen ihnen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Wer unter diese Kriterien fällt, sollte also dringend mit den Vorbereitungen beginnen. Diese fünf Schritte, die die wesentlichen Vorgaben berücksichtigen, helfen bei der Umsetzung:

1. Risikobewusstsein stärken

Eines der Hauptbestandteile von NIS-2 ist das Risikomanagement, mit dem kritische Dienste und Infrastrukturen geschützt, Störungen vermieden und Auswirkungen von Sicherheitsvorfällen minimiert werden sollen. Betroffene Einrichtungen müssen daher sowohl technische als auch organisatorische Prozesse und Technologien implementieren, die Risiken schnell identifizieren, analysieren, bewerten und effektiv bewältigen können. Das Thema Cybersicherheit darf sich jedoch nicht nur auf die eigenen vier Wände beschränken. So sieht NIS-2 vor, dass betroffene Einrichtungen diese auch entlang ihrer Lieferketten zu gewährleisten haben. Regelmäßige Sicherheitsbewertungen und entsprechende Maßnahmen für alle Lieferanten und Partner sind demnach ein Muss.

2. Auf den Ernstfall vorbereiten

Es geht schon lange nicht mehr darum, das eigene Netzwerk lediglich zu isolieren, damit Cyberangreifer keine Chance auf einen Vorstoß haben. Vielmehr müssen sich Unternehmen auf die Eventualität eines Angriffs vorbereiten und mit den richtigen Mitteln dessen Auswirkungen auf kritische Dienste so niedrig wie möglich zu halten. Ein effektives Incident-Management hilft dabei, sowohl anormale Aktivitäten als auch akute Angriffe schnell zu erkennen und angemessen zu reagieren. Dies vereinfacht im Falle einer erfolgreichen Attacke die Wiederherstellung betroffener Systeme und Daten, was sowohl der allgemeinen Resilienz als auch der Geschäftskontinuität zugutekommt. Tatsächlich schreibt NIS-2 vor, dass Einrichtungen im Rahmen ihres Business-Continuity-Managements entsprechende Maßnahmen treffen – einschließlich Krisen- und Recovery-Pläne sowie regelmäßige Backups.

3. Dokumentations-, Nachweis- und Meldepflichten nicht vergessen

Ein strukturiertes Incident-Management hat noch einen weiteren Vorteil: Mit ihm können IT- und Sicherheitsteams Sicherheitsvorfällen und ihren Ursachen detailliert auf den Grund gehen. Das ist wichtig, denn mit der Einführung von NIS-2 sind Unternehmen dazu verpflichtet, diese der zuständigen Behörde innerhalb von 24 Stunden erstmals zu melden. Sowohl Erst- und Folgemeldungen als auch der Abschlussbericht müssen alle notwendigen Informationen wie eine Verlaufsbeschreibung, mögliche Ursache, angewandte Maßnahmen sowie Auswirkungen beinhalten. Neben der Meldepflicht müssen Betreiber kritischer Anlagen alle drei Jahre zusätzliche Nachweise aller umgesetzten Vorgaben erbringen; das Pendant für (besonders) wichtige Einrichtungen sind die Dokumentationspflicht sowie Stichproben. Um den Mehraufwand so gering wie möglich zu halten, sollten Unternehmen entsprechende Lösungen in Betracht ziehen, die die Berichterstattung und das Dokumentenmanagement wesentlich effizienter machen.

4. Sicherheitsmaßnahmen in den Alltag integrieren

In der Regel stellen die Mitarbeitenden selbst kritische Schwachstellen dar und werden von Cyberangreifern unter anderem mittels Social Engineering und Phishing gezielt ins Visier genommen. NIS-2 stellt deshalb verschiedene Anforderungen an sämtliche Prozesse und Technologien, die Teil des Arbeitsalltags eines jeden Kollegen sind. Kommunikation muss mittels Kryptografie verschlüsselt werden. Zugriffe auf Unternehmenssysteme müssen sowohl mithilfe von Multi-Faktor-Authentifizierung zusätzlich geschützt und zum Beispiel auf Grundlage des Zero-Trust-Konzepts gesteuert und eingeschränkt werden (Least Privilege). Darüber hinaus helfen regelmäßige Security-Schulungen dabei, das Sicherheitsbewusstsein der Belegschaft zu schärfen und sie für aktuelle Bedrohungen zu sensibilisieren.

5. Netzwerksichtbarkeit boosten
Auf Sichtbarkeit geht die NIS-2-Richtlinie nicht konkret ein. Sprich: Unternehmen sind nicht explizit dazu verpflichtet, die Sichtbarkeit innerhalb ihrer System- und Datenlandschaft zu erhöhen. Allerdings lassen sich Risiken, Schwachstellen und Vorfälle nur dann erkennen, bewerten und managen, wenn diese bekannt sind. Heutzutage ist das leichter gesagt als getan. Denn die IT-Umgebung von Unternehmen wächst mit jeder neuen Technologie und Lösung weiter, wird immer komplexer und bewegt sich zunehmend vom eigentlichen Kern weg. Dies wiederum macht es IT- und Sicherheitsteams nicht gerade einfach, den Überblick zu behalten und den umfassenden Schutz aller Systeme und Daten zu gewährleisten. Das Risiko von Blind Spots – zum Beispiel in Form lateralen East-West-Traffics oder verschlüsselten Datenverkehrs – wächst.

Da herkömmliche Sicherheitslösungen in dieser Umgebung schnell an ihre Grenzen stoßen, kommen Unternehmen langfristig nicht umhin, ihre Netzwerksichtbarkeit zu erhöhen. Am besten funktioniert das mit Deep Observability, das weit über traditionelles metrik-, event-, log- und tracebasiertes Monitoring hinausgeht. Sämtliche Daten, die sich durch das Netzwerk bewegen (einschließlich des verschlüsselten und lateralen Datenverkehrs), werden in einem Layer zusammengeführt, der sich zwischen dem Netzwerk und den Sicherheits- und Monitoring-Lösungen befindet. Dort werden sie analysiert und erst dann an die Lösungen weitergeleitet. Im Zuge dessen werden auch bislang unbekannte Blind Spots aufgedeckt. Ein solch hoher Grad an Sichtbarkeit bildet zudem die Grundlage für Zero-Trust- und auf Least Privilege aufbauende Identity-and-Access-Management-Konzepte.

The NIS 2 Directive and the NIS 2 Implementation Act apply to all companies that employ at least 50 people, have a turnover of more than ten million euros and/or operate in one of 18 defined critical sectors. Otherwise, they face fines of up to ten million euros or two percent of their global annual turnover.

If you fall under these criteria, you should start preparing now. These five steps, which address the key requirements, will help you get started:

1. Increase risk awareness

One of the main components of NIS-2 is risk management, which aims to protect critical services and infrastructures, avoid disruptions and minimize the impact of security incidents. Affected institutions must therefore implement both technical and organizational processes and technologies that can quickly identify, analyze, assess and effectively manage risks. However, the topic of cyber security must not be limited to the home. NIS-2 stipulates that affected facilities must also ensure this along their supply chains. Regular security assessments and corresponding measures for all suppliers and partners are therefore a must.

2. Prepare for an emergency

It is no longer just a matter of isolating your own network so that cyber attackers have no chance of making an advance. Instead, companies need to prepare for the eventuality of an attack and use the right means to minimize its impact on critical services. Effective incident management helps to quickly identify abnormal activities as well as acute attacks and respond appropriately. This simplifies the recovery of affected systems and data in the event of a successful attack, which benefits both overall resilience and business continuity. In fact, NIS-2 requires organizations to take appropriate measures as part of their business continuity management – including crisis and recovery plans and regular backups.

3. Do not forget documentation, verification and reporting obligations

Structured incident management has another advantage: it allows IT and security teams to get to the bottom of security incidents and their causes in detail. This is important because with the introduction of NIS-2, companies are obliged to report incidents to the competent authority for the first time within 24 hours. Both initial and follow-up reports as well as the final report must contain all necessary information such as a description of the course of events, possible causes, measures taken and effects. In addition to the reporting obligation, operators of critical facilities must provide additional evidence of all implemented requirements every three years; the counterpart for (particularly) important facilities is the documentation obligation and random checks. In order to keep the additional workload as low as possible, companies should consider appropriate solutions that make reporting and document management much more efficient.

4. Integrate safety measures into everyday life

As a rule, employees themselves represent critical vulnerabilities and are targeted by cyber attackers using social engineering and phishing, among other things. NIS-2 therefore places various requirements on all processes and technologies that are part of every colleague’s day-to-day work. Communication must be encrypted using cryptography. Access to company systems must be additionally protected using multi-factor authentication and controlled and restricted based on the zero-trust concept (least privilege), for example. In addition, regular security training courses help to raise the security awareness of the workforce and sensitize them to current threats.

5. Boost network visibility

The NIS 2 directive does not specifically address visibility. In other words, companies are not explicitly obliged to increase visibility within their system and data landscape. However, risks, vulnerabilities and incidents can only be identified, assessed and managed if they are known. Nowadays, this is easier said than done. This is because companies‘ IT environments continue to grow with every new technology and solution, becoming ever more complex and increasingly moving away from the actual core. This in turn makes it difficult for IT and security teams to maintain an overview and ensure comprehensive protection of all systems and data. The risk of blind spots – for example in the form of lateral East-West traffic or encrypted data traffic – is growing.

As conventional security solutions quickly reach their limits in this environment, companies have no choice but to increase their network visibility in the long term. The best way to do this is with deep observability, which goes far beyond traditional metrics-, event-, log- and trace-based monitoring. All data moving through the network (including encrypted and lateral traffic) is aggregated in a layer that sits between the network and the security and monitoring solutions. There it is analyzed and only then forwarded to the solutions. In the process, previously unknown blind spots are also uncovered. Such a high degree of visibility also forms the basis for zero-trust and least privilege-based identity and access management concepts.