Statt NIS 2 als Last zu betrachten, sollten Unternehmen und Experten die Chance ergreifen, zu Vorreitern in einem sich rasant entwickelnden Feld zu werden. Die Richtlinie könnte der Katalysator sein, der eine neue Ära der Cybersicherheit einläutet – innovativ, kollaborativ und zukunftsweisend. [...]
Europa steht an einem Wendepunkt in der Cybersicherheit: der EU-Richtlinie zur Netzwerk- und Informationssicherheit 2, auch kurz NIS 2 genannt. Bis zum 17. Oktober 2024 müssen alle 27 EU-Staaten diese weitreichende Vorschrift umsetzen, die deutlich strengere Sicherheitsstandards und Meldepflichten für Cyberattacken vorsieht. Der Geltungsbereich erweitert sich dabei massiv. In manchen Ländern verzehnfacht sich die Zahl der betroffenen Unternehmen – z.B. in Deutschland von zuvor 3.000 bei NIS 1 auf nun rund 30.000 bei NIS 2. Verstöße wie beispielsweise eine Nichteinhaltung der Fristen können empfindliche Geldstrafen nach sich ziehen, sogar eine persönliche Haftung von Führungskräften. Doch was bedeutet das für die Zukunft der Cybersicherheit in Europa? Wird NIS 2 zum Innovationstreiber und läutet eine neue Ära von Sicherheitslösungen ein? Oder droht die strenge Regulierung, kreative Ansätze im Keim zu ersticken?
Der Bedarf an strengeren Cybersicherheitsmaßnahmen ist unbestreitbar. Laut einer aktuellen IDC-Studie von Palo Alto Networks räumen lediglich 38 Prozent der deutschen Unternehmen der Cyberresilienz höchste Priorität ein. Und nur zwischen 15 und 19 Prozent der Chief Information Security Officers (CISOs) testen regelmäßig ihren Notfall-Wiederherstellungsplan. Dies liegt deutlich unter dem Durchschnitt aller befragten Länder (28 Prozent) und zeigt die Diskrepanz zwischen Absicht und Ausführung.
Das Problem ist: Dies geschieht zu einer Zeit, in der sich die Bedrohungslandschaft mit hoher Geschwindigkeit weiterentwickelt, insbesondere durch neue Technologien wie generative KI. Die Gefahr ist also so groß wie noch nie. So beobachtete Unit 42 von Palo Alto Networks vor kurzem einen Fall, bei dem bösartige Akteure 2,5 Terabyte an Daten in nur 14 Stunden extrahierten – ein nie dagewesenes Maß an krimineller Effizienz. Angesichts solcher Bedrohungen hofft die Europäische Kommission, dass ihre Verordnung zu einer neuen Ära der Cyberresilienz führt, in der diese zur tragenden Säule der Unternehmenskultur wird und nicht nur eine lästige Pflicht ist.
Zwischen Vorsicht und Fortschritt
Die NIS-2-Richtlinie wird nicht ohne Skepsis gesehen. Manche Stimmen warnen vor einer möglichen Überregulierung, da die Richtlinie auch Einrichtungen erfasst, die von vielen als nicht kritisch angesehen werden. Die strengen Vorgaben und drohende Strafen bei Nichteinhaltung könnten Unternehmen zu einem übervorsichtigen Ansatz in der Cybersicherheit verleiten. Gerade in der aktuellen Bedrohungslage mit immer schnelleren und komplexeren Attacken kann dies problematisch sein. Es besteht die Gefahr, dass Firmen auf altbewährte, aber möglicherweise überholte Technologien setzen. Dabei könnten modernere, KI-gestützte Erkennungssysteme die Bedrohungen präzise und eindeutig identifizieren.
Ein innovativer Ansatz würde Unternehmen nicht nur heute schützen, sondern sie auch für die Zukunft wappnen. Genau das versucht die NIS-2-Richtlinie zu adressieren und fordert wichtige sowie essenzielle Einrichtungen ausdrücklich dazu auf, „die Integration von Technologien zur Verbesserung der Cybersicherheit anzustreben, etwa künstliche Intelligenz oder Systeme des maschinellen Lernens, um ihre Kapazitäten und die Sicherheit von Netz- und Informationssystemen zu erhöhen“.
Präventive statt reaktive Risikomaßnahmen
Der Wissenschaftler Donald David Stewart Ferguson betont in einem aktuellen Artikel die begrenzte Wirksamkeit von NIS 2 vor allem durch ihren engen Fokus auf Cybersicherheits-Risikomanagement. Insbesondere bemängelt er das Fehlen spezifischer Maßnahmen bei der Aufklärung von Cyberangriffen. Es bleibt zu hoffen, dass die Europäische Kommission 2024 in ihrem Durchführungsrechtsakt konkretere Vorgaben für präventive Maßnahmen macht. Diese sollen Unternehmen helfen, bösartige Aktivitäten in ihren Netzwerken frühzeitig zu erkennen.
Technologien wie maschinelles Lernen und KI können bei der Umsetzung solcher Präventionsmaßnahmen eine Schlüsselrolle spielen. Die nationalen Umsetzungsgesetze der EU-Mitgliedstaaten sollten daher den Einsatz dieser Technologien fördern. Allerdings könnte der Fokus von NIS 2 auf einheitliche Standards und Meldepflichten in der EU die Entwicklung maßgeschneiderter Cybersicherheitslösungen für spezifische organisatorische Anforderungen hemmen.
Branchenspezifische Herausforderungen
Die NIS-2-Richtlinie betont einheitliche Cybersicherheitsstandards und Meldepflichten in allen EU-Mitgliedstaaten. Dies kann allerdings die Anpassung und Innovation von Cybersicherheitspraktiken behindern, die auf spezifische organisatorische Bedürfnisse und Herausforderungen zugeschnitten sind. So unterscheiden sich beispielsweise die Anforderungen für die Cybersicherheit bei Finanzdienstleistungen von Postdiensten – beide Bereiche fallen in den Anwendungsbereich von NIS 2.
Finanzdienstleistungen sind mit komplexeren und schwerwiegenderen Bedrohungen konfrontiert, die sich direkt auf die finanzielle Sicherheit auswirken und höhere Investitionen sowie die Einhaltung strenger Vorschriften erfordern. Postdienste hingegen wickeln keine direkten Finanztransaktionen in demselben Umfang ab. Sie benötigen aber dennoch robuste Sicherheitsmaßnahmen, um personenbezogene Daten zu schützen und die Kontinuität ihrer operativen Dienste zu gewährleisten.
Zwar existieren bereits branchenspezifische Cybersicherheitsgesetze, doch für einen wirklich umfassenden Schutz ist ein maßgeschneiderter Ansatz unerlässlich. Die bestehenden Vorschriften reichen nicht aus, um kritische Sicherheitsherausforderungen zu bewältigen. Der von NIS 2 vorgeschlagene strengere und allgemeinere Ansatz könnte hier eine Lösung bieten. Ein klar definierter Rahmen schafft Sicherheit, indem er Unternehmen einen konkreten Fahrplan zur Einhaltung der Vorschriften an die Hand gibt. Dadurch hat NIS 2 das Potenzial, Investitionen in innovative, standardkonforme und unternehmensspezifische Lösungen zu fördern.
Innovation durch Regulierung
NIS 2 kann die Innovation im Cybersicherheitssektor auf vielfältige Weise vorantreiben. Der erweiterte Geltungsbereich der Richtlinie schafft einen deutlich größeren Markt für Cybersicherheitslösungen und -dienste. Dieser Nachfrageschub könnte als starker Katalysator wirken und Unternehmen dazu anspornen, Lösungen für die sich wandelnden Bedürfnisse zu entwickeln. Ein wesentlicher Fortschritt wäre zudem die Hinwendung zu einem ganzheitlichen Cyberansatz. Statt mehrere isolierte Technologien zu verbinden, sollten Unternehmen auf die Integration und Konsolidierung von Technologien und Datenquellen setzen.
Dies ermöglicht einen umfassenden Überblick über die Cybersicherheitslage – von Endpunkten über Netzwerke bis hin zu Cloud-Umgebungen. Unternehmen können so Bedrohungen besser erkennen, schneller reagieren und potenzielle Risiken für ihre Reputation und Finanzen minimieren. Der Ansatz erleichtert die Skalierung von Cybersicherheitsoperationen und die Automatisierung vieler bisher manueller Aufgaben. Und das hilft Unternehmen wiederum, die NIS-2-Konformität in ihrer gesamten Organisation sicherzustellen und die kürzeren Meldefristen dank Echtzeit-Warnungen und transparenter Übersicht effektiver einzuhalten.
Technologien als Schlüssel zur Reaktion auf Sicherheitsvorfälle
Um die Anforderungen von NIS 2 zu erfüllen, ist die Einführung neuer Cybersicherheitstechnologien und -praktiken notwendig. Dazu gehören fortschrittliche Funktionen zur Bedrohungserkennung und Reaktion auf Sicherheitsvorfälle. Verbesserte Plattformen, die Automatisierung und KI nutzen, können den Zeit- und Ressourcenaufwand dafür deutlich reduzieren. Sie stellen sicher, dass Maßnahmen konsistent und nach bewährten Verfahren durchgeführt werden.
KI kann zudem fortschrittliche Sicherheitsdienste bereitstellen, etwa zur Filterung und Abwehr komplexer webbasierter Bedrohungen, Zero-Day-Angriffe, Command-and-Control-Attacken und DNS-Hijacking-Versuche. Außerdem kann das gemeinsame Ziel der NIS-2-Konformität die Zusammenarbeit zwischen Organisationen, Branchenvertretern und Regulierungsbehörden fördern. Kooperation ist hier ein Schlüsselfaktor für Innovation. Der Austausch über bewährte Methoden, Erkenntnisse und neue Technologien kann zu bedeutenden Fortschritten führen.
Neue Horizonte für die Cybersicherheit
Die Herausforderungen von NIS 2 für Unternehmen sind beträchtlich. Verständlicherweise sorgt die Aussicht auf hohe Geldstrafen und persönliche Haftung für Bedenken. Doch ebenso verbirgt sich dahinter Potenzial für Innovation im Cybersicherheitssektor. NIS 2 schafft nicht nur einen immensen neuen Markt, sondern fördert auch den Austausch von unverzichtbarem Wissen und Erfahrungen. Diese Kombination bildet den Nährboden für kreative Lösungsansätze, die unsere bisherige Vorstellung von Cybersicherheit grundlegend verändern könnten.
Statt NIS 2 als Last zu betrachten, sollten Unternehmen und Experten die Chance ergreifen, zu Vorreitern in einem sich rasant entwickelnden Feld zu werden. Die Richtlinie könnte der Katalysator sein, der eine neue Ära der Cybersicherheit einläutet – innovativ, kollaborativ und zukunftsweisend. In diesem Sinne ist sie dann nicht nur ein Kästchen zum Abhaken, sondern eine Einladung, die digitale Sicherheit von morgen aktiv mitzugestalten.
* Sebastian Gerlach ist Senior Director Policy/Public Sector Enablement EMEA bei Palo Alto Networks.
Be the first to comment