Matt Middleton-Leal, Managing Director EMEA North bei Qualys, erklärt, wie Sie NIS2 richtig implementieren sollten. | Matt Middleton-Leal, Managing Director EMEA North at Qualys, explains how to get NIS2 right. |
Die Richtlinie der Europäischen Union zur Gewährleistung eines hohen Niveaus der Cybersicherheit in der gesamten Union – kurz NIS2 – zielt darauf ab, die Cybersicherheit in der Region nachhaltig zu verbessern. Aufbauend auf der ersten NIS-Richtlinie bietet sie einen Rahmen zur Regulierung der Sicherheits- und Resilienzstandards in europäischen Organisationen. Noch entscheidender ist, dass sie eine Sicherheitskultur in Unternehmen etablieren möchte, die für den täglichen Betrieb unerlässlich sind – angefangen bei kritischen Branchen wie Energie, Verkehr, Wasser und Banken bis hin zu Gesundheitseinrichtungen und Anbietern digitaler Infrastruktur.
Da unser Leben immer stärker ins Digitale verlagert wird, ist es kaum überraschend, dass auch die Sicherheitsvorschriften mit der Zeit angepasst wurden. Angesichts der täglichen neuen Bedrohungen müssen diese Vorschriften ebenfalls weiterentwickelt und angepasst werden. Doch was bedeutet das für den durchschnittlichen CISO, der bereits unter immensem persönlichem und beruflichem Druck steht, die Sicherheitsanforderungen zu erfüllen? Was ist neu an NIS2? NIS2 gilt für mittelständische und große Unternehmen, die kritische Dienstleistungen für wirtschaftliche und gesellschaftliche Aktivitäten in allen Ländern der Europäischen Union bereitstellen. Ein wesentlicher Teil der Verordnung beschäftigt sich damit, wie die Mitgliedstaaten in Europa ihre eigenen Computer Security Incident Response Teams (CSIRTs) aufstellen, um potenzielle Bedrohungen zu bewältigen. Gleichzeitig definiert die Verordnung klarere und strengere Vorgaben. Der zentrale Unterschied zwischen NIS1 und NIS2 liegt darin, dass NIS2 klarer definiert, welche Organisationen von der Verordnung betroffen sind. Statt den Mitgliedstaaten zu überlassen, wie die Verordnung anzuwenden ist, legt NIS2 fest, wer die Vorschriften einhalten muss und welche Maßnahmen zur Sicherstellung von Sicherheit, Resilienz und Kontinuität ergriffen werden müssen. Zusätzlich zur Erweiterung des Unternehmensspektrums, das von der Verordnung erfasst wird, nimmt NIS2 einen direkteren Ansatz in Bezug auf Software- und Technologielieferketten. Dies folgt einem allgemeinen Trend im Sicherheitsmanagement, bei dem Angreifer gezielt Drittanbieter ausnutzen, um ihre Kunden anzugreifen oder sich durch legitime Software Zugang verschaffen. NIS2 strebt eine Verbesserung des allgemeinen Sicherheitsniveaus an, indem detailliertere Richtlinien für diese Lieferketten eingeführt werden. Im Bereich der Vorfallsmeldung müssen die von der Verordnung betroffenen Unternehmen festgelegte Fristen einhalten. Bei einem schwerwiegenden Vorfall sind Organisationen verpflichtet, innerhalb von 24 Stunden eine „Frühwarnung“ an das zuständige CSIRT oder die nationale Cybersicherheitsbehörde zu senden, gefolgt von einem Status-Update innerhalb von 72 Stunden. Innerhalb eines Monats nach der ersten Entdeckung des Vorfalls muss ein detaillierter Bericht erstellt werden, um weitere Informationen und die Auswirkungen zu liefern. Diese Fristen sollten parallel zu den internen Abläufen des Unternehmens für das Vorfallsmanagement eingehalten werden. Die Verordnung definiert „erheblich“ als jeden Vorfall, der zu einer gravierenden Unterbrechung des Dienstbetriebs oder zu finanziellen Verlusten führen könnte oder erheblichen materiellen oder immateriellen Schaden für Dritte verursacht. Es ist wichtig zu beachten, dass NIS2 für alle Unternehmen gilt, die in Europa geschäftlich tätig sind, und nicht nur für diejenigen, die ihren Hauptsitz oder Niederlassungen in der Region haben. Für Unternehmen, die Kommunikations-, Anwendungs- oder Cloud-Dienste anbieten, wird die Einhaltung von NIS2 im Laufe der Zeit zur Voraussetzung für ihre Geschäftstätigkeit in Europa. Welche Auswirkungen wird die Verordnung haben? Jede neue Verordnung hat Auswirkungen auf Unternehmen, allein durch den Zeitaufwand, der erforderlich ist, um die Richtlinien zu prüfen und ihre Anwendung zu verstehen. Selbst wenn keine Prozessänderungen nötig sind, entsteht ein administrativer Aufwand. Ziel der Verordnung ist es jedoch, Unternehmen dabei zu unterstützen, einen risikobasierten Sicherheitsansatz zu etablieren. Statt konkrete Vorgaben zu machen, legt die Verordnung den Fokus auf praxisorientierte Sicherheitsmaßnahmen und die Abwägung von Kosten und Risiken. Artikel 21 schreibt vor, dass „wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen müssen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie für ihren Betrieb oder die Erbringung ihrer Dienste nutzen, zu steuern und die Auswirkungen von Sicherheitsvorfällen auf die Nutzer ihrer Dienste und andere betroffene Systeme zu verhindern oder so gering wie möglich zu halten.“ Dieser verhältnismäßige Ansatz ist besonders relevant für CISOs, die nicht nur die Sicherheit effektiv verwalten müssen, sondern auch darüber berichten, wie ihre Budgets eingesetzt werden. NIS2 kodifiziert, wie Organisationen in ganz Europa Sicherheits-, Kontinuitäts- und Resilienzmaßnahmen umsetzen sollten. Durch die Anwendung eines risikobasierten Ansatzes können Unternehmen jeder Größe, die von der Verordnung betroffen sind, sicherstellen, dass ihre Prozesse so sicher wie möglich gestaltet sind und dass sie auf eine Weise investieren, die ihren individuellen Bedürfnissen entspricht. Die Implementierung eines risikobasierten Sicherheitsansatzes erleichtert nicht nur die Einhaltung der Vorschriften, sondern hilft auch dabei, die Sicherheitsstrategie mit den übergeordneten Geschäftsstrategien zu verbinden. Viele CISOs, mit denen ich spreche, möchten immer noch genau wissen, wie sie das „angemessene und verhältnismäßige“ Risiko in Bezug auf erforderliche Kontrollen und Investitionen bemessen sollen, da diese Formulierungen häufig als zu vage empfunden werden! |
The European Union’s Directive to Ensure a High Level of Cyber Security in the European Union – NIS2 for short – aims to improve cyber security in the region in a sustainable way. Building on the first NIS Directive, it provides a framework for regulating security and resilience standards in European organisations. More importantly, it aims to establish a culture of security in organisations that are essential to day-to-day operations – from critical industries such as energy, transport, water and banking, to healthcare facilities and digital infrastructure providers.
As our lives become increasingly digital, it is not surprising that security regulations have also evolved. With new threats emerging every day, these regulations must also evolve and adapt. But what does this mean for the average CISO, who is already under immense personal and professional pressure to meet security requirements? What’s new about NIS2? NIS2 applies to medium and large organisations that provide critical services for economic and social activities in all countries of the European Union. A significant part of the regulation deals with how Member States in Europe set up their own Computer Security Incident Response Teams (CSIRTs) to deal with potential threats. At the same time, the regulation defines clearer and more stringent requirements. The main difference between NIS1 and NIS2 is that NIS2 defines more clearly which organisations are covered. Instead of leaving it up to Member States to decide how to apply the Regulation, NIS2 defines who must comply and what measures must be taken to ensure security, resilience and continuity. As well as broadening the range of organisations covered, NIS2 takes a more direct approach to software and technology supply chains. This follows a general trend in security management where attackers are targeting third party vendors to attack their customers or gain access through legitimate software. NIS2 aims to improve the overall level of security by introducing more detailed guidelines for these supply chains. In the area of incident reporting, companies covered by the regulation will have to comply with set deadlines. In the event of a serious incident, organisations must send an ‚early warning‘ to the relevant CSIRT or national cyber security authority within 24 hours, followed by a status update within 72 hours. A detailed report is required within one month of the initial discovery of the incident to provide further information and impact. These timelines should run in parallel with the company’s internal incident management processes. The Regulation defines ’significant‘ as any incident that could result in a serious disruption of service or financial loss, or cause significant material or immaterial damage to third parties. It is important to note that NIS2 applies to all companies operating in Europe, not just those headquartered or based in the region. For companies providing communications, application or cloud services, compliance with NIS2 will over time become a requirement of doing business in Europe. What impact will the regulation have? Any new regulation will have an impact on businesses, simply because of the time required to review the guidelines and understand their application. Even if no process changes are required, there will be an administrative burden. However, the aim of the Regulation is to help companies adopt a risk-based approach to security. Rather than prescribing, the Regulation focuses on practical security measures and the balancing of costs and risks. Article 21 requires that „essential and important entities shall take appropriate and proportionate technical, operational and organisational measures to manage the risks to the security of the network and information systems they use for their operations or the provision of their services and to prevent or minimise the impact of security incidents on the users of their services and other affected systems“. This proportionate approach is particularly relevant for CISOs, who not only need to manage security effectively, but also report on how their budgets are being spent. NIS2 codifies how organisations across Europe should implement security, continuity and resilience measures. By adopting a risk-based approach, organisations of all sizes affected by the regulation can ensure that their processes are as secure as possible and that they invest in a way that suits their individual needs. Adopting a risk-based approach to security not only facilitates compliance, but also helps to link security strategy to broader business strategies. Many CISOs I speak to still want to know exactly how to measure ‚appropriate and proportionate‘ risk in terms of required controls and investment, as these phrases are often perceived as too vague! |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de