SaaS-Compliance für die neuen EU-Verordnungen NIS2 und DORA ist unerlässlich, sagt Scott Young von Obsidian Security. | SaaS compliance for the new EU regulations NIS2 and DORA is essential, explains Scott Young, Obsidian Security. |
Software as a Service (SaaS) Zwischenfälle haben sich im Vergleich zum Vorjahr vervierfacht. NIS2 und DORA führen neue Sicherheitsmaßnahmen für europäische Organisationen ein, um Verstöße gegen kritische Anwendungen zu verhindern. Die Nichteinhaltung von NIS2 oder DORA ist keine Option – es steht zu viel auf dem Spiel, von Millionen Bußgeldern bis zu zusätzlicher persönlicher Haftung.
Kritische Daten sind zu SaaS migriert und Angreifer nutzen diese neue Möglichkeit der Ausbeutung – monatliche SaaS-Verletzungen sind im Vergleich zum Vorjahr um 300% gestiegen. Aufgrund der entscheidenden Rolle, die SaaS-Anwendungen bei der Bereitstellung wichtiger Dienste spielen, kann jede Stunde Ausfallzeit Millionen kosten. Neue Sicherheitsrichtlinien sind erforderlich, um diesen blinden Fleck zu beseitigen. Zwei kürzlich verabschiedete europäische Verordnungen, die Zweite Richtlinie für Netzwerk- und Informationssicherheit (NIS2) und der Digital Operations Resilience Act (DORA), erhöhen die Anforderungen an die Einhaltung von Cybersicherheitsrichtlinien für SaaS, indem sie die betroffenen Unternehmen für die Sicherheit ihrer Anwendungen, SaaS-Identitäten und Daten verantwortlich machen. Die Anpassung an diese neue Realität erfordert ein umfassendes Verständnis Ihres SaaS-Ökosystems. Jede SaaS-Schattenanwendung oder unbekannte Integration erhöht das Risiko und gefährdet die Compliance. Dieser Blog fasst die wichtigsten SaaS-bezogenen Grundsätze für NIS2 und DORA zusammen und gibt Hinweise, wie sich Unternehmen vorbereiten sollten. Was ist neu an NIS2? NIS2 gilt für öffentliche und private Einrichtungen, die kritische Dienste oder Infrastrukturen innerhalb der EU bereitstellen. Die aktualisierte Richtlinie definiert nun zwei neue Klassifizierungen, „Essential Entities“ und „Important Entities“, für die jeweils geänderte Cybersicherheitsverpflichtungen gelten. Die Unternehmen müssen Kontrollen in Bezug auf das Risikomanagement, die Meldung von Cybervorfällen und den Informationsaustausch einhalten. Die betroffenen Unternehmen müssen bis Oktober 2024 neue Prozesse und Richtlinien einführen, um die Anforderungen zu erfüllen. Mittelgroße Unternehmen (unterhalb der Wesentlichkeitsschwelle) innerhalb der kritischen Sektoren werden als kritisch eingestuft, sofern der Mitgliedstaat nichts anderes bestimmt; einige Ausnahmen stellen sicher, dass bestimmte Sektoren unabhängig von ihrer Größe immer als kritisch eingestuft werden, wie z.B. DNS-Dienstleister. Darüber hinaus führt die NIS2 eine persönliche Haftung der Unternehmensleitung ein. Bei wiederholter Nichteinhaltung können Sanktionen bis hin zum Ausschluss aus der Geschäftsführung verhängt werden. Die Nichteinhaltung von NIS2 ist keine Option – zu hoch sind die drohenden Bußgelder in Millionenhöhe und die persönliche Haftung. Was ist DORA und wie unterscheidet es sich von NIS2? DORA wird 2025 in Kraft treten und ein strenges Cybersicherheitsmandat für europäische Finanzunternehmen und die von ihnen unterstützten kritischen Drittanbieter von IKT-Dienstleistungen einführen. Wenn ein Unternehmen sowohl der NIS2 als auch der DORA unterliegt, hat die DORA Vorrang; die beiden Rechtsvorschriften sind jedoch so konzipiert, dass sie sich gegenseitig ergänzen und nicht überlagern. Ähnlich wie NIS2 führt DORA strenge Richtlinien für die Meldung von Vorfällen, die Prüfung der Widerstandsfähigkeit, das Risiko Dritter und das Risikomanagement ein. Während NIS2 spezifische Geldstrafen vorsieht, überlässt DORA die Bewertung von Sanktionen den Mitgliedstaaten und den zuständigen Behörden. Optimierte SaaS-Compliance mit Obsidian Security NIS2 und DORA führen eine Reihe robuster Kontrollen ein, die Unternehmen speziell für ihre Anwendungen, SaaS-Identitäten und Daten implementieren müssen. Die Herausforderung besteht darin, dass Unternehmen oft über Hunderte von Anwendungen verfügen und kritische SaaS-Anwendungen wie Salesforce Dutzende einzelner Instanzen umfassen können. Ein manueller Ansatz zur Erfüllung der NIS2- und DORA-Anforderungen ist nicht skalierbar. Die Erstellung eines Mapping-Frameworks mit einer SaaS-Sicherheitslösung automatisiert den Prozess, um eine kontinuierliche Einhaltung der Anforderungen zu gewährleisten. Anwendungssicherheit Die Sicherstellung, dass jede Anwendung für Kontrollen wie MFA und Verschlüsselung richtig konfiguriert ist, ist schwierig – es dauert durchschnittlich 28 Tage, um eine einzige SaaS-Anwendung zu prüfen. Darüber hinaus müssen die Teams die Anwendungen im Laufe der Zeit überwachen, um Konfigurationsabweichungen zu bekämpfen. Die Obsidian-Plattform erkennt schnell und kontinuierlich alle Anwendungen in Ihrer Umgebung und misst deren Leistung anhand der von Ihnen befolgten internen oder externen Compliance-Standards. Durch die Überwachung mit Obsidian können Sicherheitsteams App-Konfigurationen schnell bewerten und eventuelle Risiken beseitigen. Identitätssicherheit Neben der Sicherheitslage wird in NIS2 und DORA ausdrücklich die betriebliche Ausfallsicherheit als Kernkomponente genannt. Der beste Weg, dieser Compliance-Vorgabe zuvorzukommen, ist die Implementierung robuster Identitätssicherheitsmaßnahmen, um Kompromittierungen zu verhindern – 82 % der Cyberangriffe zielen auf Identitäten innerhalb von SaaS. Der Schutz Ihrer SaaS-Identitäten ist eine entscheidende Komponente der NIS2- und DORA-Compliance. Die Obsidian-Plattform verwendet ML-basierte Algorithmen, um anomales Nutzerverhalten zu identifizieren und Bedrohungen innerhalb von Minuten zu stoppen. Datenverwaltung Schließlich ist die Datenverwaltung bei SaaS eine besondere Herausforderung. Allein die Sicherstellung der korrekten Berechtigungen, des Zugriffs und der Integrationen über bekannte Anwendungen hinweg ist kompliziert, aber jede SaaS-Schattenanwendung oder versteckte Integration wirkt sich auf Ihr Risikoprofil aus. Mit Obsidian können Sicherheitsteams die Datenflüsse zwischen den Anwendungen nachvollziehen, um zu wissen, wie auf die Daten zugegriffen wird und wie sie geschützt werden. Durch die Zusammenarbeit mit Plattformen wie Snowflake und Databricks wird sichergestellt, dass Ihre Daten auf dem Weg von Anwendung zu Anwendung ordnungsgemäß kontrolliert werden. |
SaaS breaches have increased 4x year over year. NIS2 and DORA introduce new security measures for European organizations to prevent breaches of critical applications. Failure to comply with NIS2 or DORA is not an option – between the millions in fines and added personal liability, there is too much at stake.
Critical data has migrated to SaaS, and attackers are taking advantage of this new avenue of exploitation – monthly SaaS breaches are up 300% year-over-year. Because of the critical role SaaS applications play in delivering essential services, every hour of downtime can cost millions. New security policies are needed to address this blind spot. Two recent European regulations, the Second Network and Information Security Directive (NIS2) and the Digital Operations Resilience Act (DORA), are increasing SaaS cybersecurity compliance requirements by making covered entities responsible for the security of their applications, SaaS identities, and data. Adapting to this new reality requires a comprehensive understanding of your SaaS ecosystem. Every shadow SaaS application or unknown integration increases risk and compromises compliance. This blog summarizes the key SaaS-related principles for NIS2 and DORA, and provides guidance on how organizations should prepare. What’s new in NIS2? NIS2 applies to public and private sector entities that provide critical services or infrastructure within the EU. The updated directive now defines two new classifications, „Essential Entities“ and „Important Entities,“ each with modified cybersecurity obligations. Entities must comply with controls related to risk management, cyber incident reporting, and information sharing. Covered entities must implement new processes and policies to comply by October 2024. Mid-sized companies (below the Essential size thresholds) within Essential sectors are classified as Important unless otherwise specified by the Member State; some exceptions ensure that certain sectors are always classified as Essential, such as DNS service providers, regardless of size. In addition, NIS2 introduces personal liability for management. Penalties could include disqualification from management positions for repeated non-compliance. Failure to comply with NIS2 is not an option – between the millions of dollars in fines and personal liability, the stakes are too high. What is DORA and how does it differ from NIS2? Coming into force in 2025, DORA introduces a strong cybersecurity mandate for European financial firms, as well as the critical third-party ICT service providers that support them. If an entity is subject to both NIS2 and DORA, DORA will take precedence; however, the two pieces of legislation are designed to complement rather than override each other. Similar to NIS2, DORA introduces strict guidelines for incident reporting, resilience testing, third party risk and risk management. While NIS2 has specific fines, DORA leaves the assessment of sanctions to member states and relevant authorities. Streamline SaaS Compliance with Obsidian Security NIS2 and DORA introduce a robust set of controls that organizations must adopt specifically for their applications, SaaS identities, and data. The challenge is that enterprises often have hundreds of applications, and critical SaaS, such as Salesforce, can have dozens of individual instances. Relying on a manual approach to meet NIS2 and DORA requirements is not scalable. Creating a mapping framework with a SaaS security solution automates the process to ensure continuous compliance. Application posture Ensuring that each app is properly configured for controls like MFA and encryption is difficult-it takes an average of 28 days to audit a single SaaS app. In addition, teams must monitor apps over time to combat configuration drift. The Obsidian platform quickly and continuously discovers all the apps in your environment and measures their performance against the internal or external compliance standards you follow. By monitoring your posture with Obsidian, security teams can quickly assess app configurations and remediate any risks. Identity Security Beyond posture, NIS2 and DORA specifically call out operational resilience as a core component. The best way to get ahead of this compliance mandate is to implement robust identity security measures to prevent compromises-82% of cyberattacks target identities within SaaS. Protecting your SaaS identities is a critical component of NIS2 and DORA compliance. Obsidian’s platform uses ML-based algorithms to identify anomalous user behavior and stop threats in minutes. Data Governance Finally, data governance is particularly challenging in SaaS. Ensuring proper permissions, access, and integrations across known applications alone is complicated, but every shadow SaaS application or hidden integration impacts your risk profile. With Obsidian, security teams can understand data flows between applications to know how data is being accessed and kept secure. Partnering with platforms like Snowflake and Databricks ensures that your data is properly controlled as it moves from application to application. |
Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. | Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de