Marco Eggerling, Global CISO bei Check Point Software

Die EU-Richtlinie NIS2 fordert getrennte Rollen für CISO und DPO, erklärt Marco Eggerling, LL.M, Global CISO bei Check Point Software.

The EU’s NIS2 directive requires separate roles for the CISO and DPO, explains Marco Eggerling, LL.M., global CISO at Check Point Software.

Die Erwartungshaltung ist klar: Wenn die EU-Richtlinie NIS2 nach dem 18. Oktober 2024 in nationales Recht umgesetzt und in Kraft getreten ist, wird sie das Verständnis von regulatorischer Compliance in den europäischen Mitgliedsstaaten nachhaltig positiv beeinflussen. Erstmals wird die Zusammenarbeit der Länder Europas im Bereich der Cybersicherheit explizit gefördert.

Bis dahin wird die Notwendigkeit robuster Sicherheitsprogramme in den Fokus des Managements aller Organisationen rücken, nicht zuletzt durch die Androhung verwaltungsrechtlicher Sanktionen ähnlich der DSGVO. Darüber hinaus werden die Mitgliedstaaten der EU ermutigt, ihre nationalen Cyberstrategien zu verbessern.

Die Richtlinie fördert vor allem eine stärkere Harmonisierung der Sicherheitsanforderungen und Meldepflichten innerhalb der EU. Zu diesem Zweck wurde das EU-Netzwerk CyCLONe (European Cyber Crises Liaison Organisation Network) eingerichtet. Dieses hilft bei der Koordinierung der Offenlegung neuer Schwachstellen.

Diesem Zweck dient auch die Einrichtung des EU CSIRTs Network. Es wurde mit der NIS eingerichtet und mit der NIS2 weiter gestärkt. Es soll zur Vertrauensbildung beitragen und eine schnelle und effektive operative Zusammenarbeit zwischen den Mitgliedsstaaten fördern. Mitglieder sind die nationalen Computer Security Incident Response Teams (CSIRTs). Mindestens alle 18 Monate soll ein Austausch stattfinden.

Innerhalb der Unternehmen stärkt die Richtlinie die Zusammenarbeit zwischen Rechtsabteilung und Informationssicherheit. Sie verschärft die Sicherheitsanforderungen an Unternehmen, indem sie einen Risikomanagement-Ansatz vorschreibt. Dies geschieht nicht zuletzt durch die Bereitstellung einer Mindestliste grundlegender Sicherheitselemente, die umgesetzt werden müssen.

Vor allem die Meldepflichten, also die Berichterstattung über Sicherheits- und Datenschutzverletzungen, werden klarer geregelt. Die präziseren Regelungen vereinfachen den Meldeprozess, den Inhalt und den Zeitpunkt von Vorfällen. So müssen deutsche Unternehmen nun 24 Stunden nach dem Vorfall eine Erstmeldung an das Bundesamt für Sicherheit in der Informationtechnik (BSI) senden, 72 Stunden später weitere Details und eine Analyse nachreichen und nach einem Monat einen vollständigen Bericht erstellen.

Eine weitere wichtige Entwicklung ist die Trennung der Rolle des Chief Information Security Officer (CISO) von der des Data Protection Officer (DPO). Ziel der Richtlinie ist es unter anderem, den Reifegrad der Informationssicherheit aller beteiligten Unternehmen zu erhöhen. Die Rolle des CISO wird sich mehr in Richtung eines Beraters der Geschäftsleitung entwickeln. Dies führt zu einer stärkeren Verzahnung von Geschäftsanforderungen und IT.

Im besten Fall stärkt NIS2 die Bindung des Unternehmens an die jeweilige nationale Sicherheitsbehörde und sorgt für eine Anpassung der bisherigen Sicherheitsstrategien und -praktiken an deren Vorgaben. Hier kommt der Datenschutzbeauftragte ins Spiel, denn durch NIS2 wird auch eine höhere DSGVO-Konformität erreicht. Bereits nach Inkrafttreten der DSGVO wurden von Experten weltweit mehr als 28.000 DPOs genannt.

Es ist problematisch, dass in zu vielen Organisationen die beiden Rollen des CISO und des DPO von derselben Person ausgefüllt werden. Dies muss sich für alle Unternehmen ändern, die nun unter die NIS2 fallen, denn die Aufgaben sind zu umfassend und die Verantwortung muss zwischen den beiden Positionen aufgeteilt werden. Andernfalls bleiben beide nur Abkürzungen.

The expectation is clear: when the EU NIS2 Directive is transposed into national law and comes into effect after October 18, 2024, it will have a lasting positive impact on the understanding of regulatory compliance in European member states. For the first time, cybersecurity cooperation between European countries will be explicitly encouraged.

In the meantime, the need for robust security programs will become a management focus for all organizations, not least through the threat of administrative sanctions similar to the GDPR. In addition, EU member states are encouraged to improve their national cyber strategies.

Above all, the directive promotes greater harmonization of security requirements and reporting obligations within the EU. To this end, the EU network CyCLONe (European Cyber Crises Liaison Organization Network) has been established. This helps to coordinate the disclosure of new vulnerabilities.

The establishment of the EU CSIRTs network also serves this purpose. It was established with the NIS and further strengthened with the NIS2. It is intended to help build trust and promote rapid and effective operational cooperation between Member States. Its members are the national Computer Security Incident Response Teams (CSIRTs). Exchanges should take place at least every 18 months.

Within companies, the Directive strengthens cooperation between the legal and information security departments. It tightens security requirements for companies by requiring a risk management approach. It does so by providing a minimum list of basic security elements that must be implemented.

Within companies, the Directive strengthens cooperation between the legal department and information security. It strengthens the security requirements for companies by prescribing a risk management approach. It does so by providing a minimum list of basic security elements that must be implemented.

NIS2 clarifies the reporting requirements for security and data breaches. The more precise rules simplify the reporting process, content and timing of incidents. For example, German companies are now required to submit an initial report to the Bundesamt für Sicherheit in der Informationtechnik (BSI) within 24 hours of the incident, further details and analysis within 72 hours, and a full report after one month.

Another important development is the separation of the roles of Chief Information Security Officer (CISO) and Data Protection Officer (DPO). One of the goals of the Directive is to increase the level of information security maturity in all participating companies. The role of the CISO will evolve towards that of an advisor to senior management. This will lead to a closer integration of business requirements and IT.

In the best case scenario, NIS2 will strengthen the company’s relationship with its national security authority and ensure that existing security policies and practices are aligned with its needs. This is where the Data Protection Officer comes into play, as NIS2 also ensures greater GDPR compliance. Since the GDPR came into force, experts have already appointed more than 28,000 DPOs worldwide.

The problem is that in too many organizations, the two roles of CISO and DPO are filled by the same person. This needs to change for all organizations now covered by NIS2, as the roles are too broad and responsibilities need to be split between the two positions. Otherwise, they will both remain mere acronyms.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner