Eine Umfrage unter Sicherheitsexperten zeigt, wie komplex das Thema NIS-2 mitunter sein kann. Eine besondere Bedeutung bei der Umsetzung kommt der Supply Chain zu. Es ist durchaus möglich, dass auch Unternehmen, die nicht direkt von den Vorgaben betroffen sind, die EU-Richtlinien "durch die Hintertür" einführen müssen. [...]
Mit der am 16. 1. 2023 in Kraft getretenen NIS-2-Richtlinie wurden die Anforderungen in Sachen Cybersicherheit für Unternehmen in verschiedenen Sektoren noch einmal verschärft – genau wie die Sanktionen bei Nichteinhaltung. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie in nationales Recht überführen, dann wird es für die betroffenen Unternehmen ernst.
Die NIS-2-Richtlinie sieht für die Frage des Anwen-dungsbereichs grundsätzlich eine „Size-Cap-Rule“ vor. Danach gilt die NIS-2-Richtlinie für öffentliche oder private Einrichtungen in „Sektoren mit hoher Kritikalität“ sowie „sonstige kritische Sektoren“. Für Unternehmen, die bis dato noch nicht herausgefunden haben, ob sie unter die NIS-2-Richtlinie fallen oder nicht, hat die WKO einen Online Ratgeber installiert, der mit Hilfe eines Fragekatalogs verunsicherte Personen auf die Sprünge helfen soll.
Eines ist klar: NIS-2 ist mit einem hohen Verwaltungsaufwand verbunden. „Die Umsetzung von NIS-2 ist ein komplexer Prozess, der Zeit und Ressourcen erfordert, um die Anforderungen zu erfüllen“, sagt etwa Matthias Röhr, VP Sales & Business Development (DACH) bei aDvens. „Unternehmen sollten jetzt unbedingt den Stand ihrer aktuellen NIS-2-Compliance bewerten, einen Plan zur Umsetzung der Richtlinie erstellen und in Ressourcen und Technologien investieren.“ Für ein mittelgroßes Unternehmen mit einem niedrigen Schutzniveau und Reifegrad „könnte das Aufholen von Rückständen eine Investition von mehr als einer Million Euro bedeuten. Wenn ein Unternehmen jedoch bereits 15 bis 20 Prozent seines IT-Budgets für Cyber-sicherheit aufwendet und klug eingesetzt hat, dürfte das erforderliche zusätzliche Budget nicht sehr hoch sein“, so Röhr.
Jochen Sauer, Architect & Engi-neering Manager bei Axis Communications, ergänzt: „Verantwortliche, die vor dem Hintergrund von NIS-2 Sicherheitslösungen planen, umsetzen und betreiben, müssen sicherstellen, dass diese nicht nur den heutigen Anforderungen an physische und Cybersicherheit entsprechen, sondern sich auch an zukünftige Herausforderungen anpassen lassen. Konkret bedeutet dies, dass sie die Lösung als Teil eines komplexen, vernetzten Systems verstehen müssen, nicht als eine Einzellösung neben anderen Einzellösungen. Denn selbst wenn eine bestimmte Komponente eines Systems, beispielsweise Netzwerk-Kameras, nicht als für das System kritisch eingestuft wird, kann diese dennoch eine Schwachstelle enthalten, über die ein Angreifer einen Angriff auf andere, kritische Komponenten starten kann.“
Pieter Arntz, Malware Intelligence Researcher bei Malwarebytes, weist darauf hin, dass die NIS-2-Richtlinie einen verbindlichen Mindeststandard festlegt. „Dies ist grundsätzlich eine positive Entwicklung, da auf diese Weise der Schutz dieser gezielter und damit effektiver gestaltet werden kann. Wie bei allen Gesetzen und Regulationen besteht jedoch auch in diesem Fall die Gefahr, dass sie schon bald nicht mehr den neuesten Stand der Cybersicherheitsforschung abbildet. Die Cybersicherheits-landschaft verändert sich durch große Sprachmodelle und andere Formen der künstlichen Intelligenz aktuell rapide. Dementsprechend ist es wichtig, dass Forschung, Verteidi-gung und Regulation damit Schritt halten.“
Laut Troy Stein, General Manager der TechSmith erfordern Compliance und NIS-2 eine entsprechend informierte und engagierte Belegschaft, nicht nur kompetente IT-Teams: „Cybersicherheit in Unternehmen ist wie ein Frachtnetz: Es reicht nicht, dass das Netz selbst mehrere Tonnen absichern kann, auch die Bolzen, mit denen es befestigt ist, müssen dieses Gewicht aushalten können. Genauso erfordert die Einhaltung der NIS-2-Richtlinie, dass alle Mitarbeiter im Erkennen von und Umgang mit Cyber-Risiken geschult sind, nicht nur die entsprechenden Verantwortlichen. Dafür müssen entsprechende Schulungsprogramme zeitnah auf- und umgesetzt werden. Mit einer einmaligen Schulung oder einer Rundmail kurz vor dem NIS-2-Stichtag ist es nicht getan, da sich die Cybersicherheitslandschaft – und welche Standards als Best Practice gelten – auch in Zukunft weiterhin wandeln werden. Dies bedeutet, dass die Formate, mit denen die Mitarbeiter geschult werden sollen, diese auch auf lange Sicht erreichen müssen, um Engagement mit dem Thema Cybersicherheit und damit Compliance mit NIS-2 sicherzustellen.“
NIS-2 und die Supply Chain
Nach einer Reihe von öffentlichkeitswirksamen Sicherheitsverletzungen in der Lieferkette, wie etwa bei Toyota, Atlassian und DoorDash, werden sich die Unternehmen zunehmend der Risiken bewusst, die bei der Zusammenarbeit mit Dritten verbunden sind. Das sind laut einer BlueVoyant-Studie bei weitem keine Einzelfälle. In einer in einer im letzten Jahr erschienen globalen Studie gaben 98 Prozent der befragten Führungskräfte an, dass ihr Unternehmen durch eine Sicherheitsverletzung in ihrer Lieferkette negativ beeinflusst wurde. Ein Angriff auf die Supply Chain hat für jedes Unternehmen in der Regel eine Vielzahl von schädlichen Auswirkungen. Digitale Lieferketten bestehen aus Anbietern, Zulieferern und anderen Drittparteien, die Zugang zum Netzwerk haben. Unternehmen sind deshalb nur so sicher wie das schwächste Glied ihrer Lieferkette. Wenn diese potenzielle Schwachstelle von Cyberkriminellen ausgenutzt wird, löst das schnell einen Dominoeffekt von Sicherheitsrisiken aus, der sich langfristig negativ auf die Finanzen des Unternehmens, den Ruf, das Wohlergehen der Mitarbeiter und die persönlichen Daten der Kunden auswirkt. BlueVoyant zufolge stellt Outsourcing in diesem Zusammenhang eines der am schnellsten wachsenden Sicherheitsrisiken für die sensiblen Daten eines Unternehmens dar, doch nur wenige verfügen über die internen Ressourcen und das Fachwissen, um die mit Dritten verbundenen Cyberrisiken wirksam zu erkennen und zu überwachen.
Übrigens: Laut einer europaweiten Studie der ENISA verlangen 61 Prozent der Unternehmen eine Sicherheitszertifizierung von Lieferanten, 43 Prozent nutzen Ratingdienste und 37 Prozent weisen Sorgfalts- oder Risikobewertungen auf andere Weise nach. Nur neun Prozent der befragten Organisationen geben an, dass sie die Sicherheitsrisiken in der Lieferkette gar nicht überprüfen.
Whitepaper zum Thema NIS-2 & Lieferkette
Unter dem Motto „Flicken reicht in der IT-Sicherheit nicht aus“ hat der IT-Sicherheitshersteller ESET eine umfassende Kampagne zur NIS-2-Richtlinie gestartet. „Es ist fünf vor zwölf: Bis zum 17. Oktober müssen geschätzt 40.000 Unternehmen in Deutschland und rund 3.000 in Österreich die NIS-2-Richtlinie umgesetzt haben. Deren Implementierung stellt Unternehmen vor neue Heraus-forderungen im Bereich der Cybersicherheit“, sagt Peter Neumeier, Director of Channel Sales DACH bei ESET. „Gerade der Lieferkette kommt bei der Umsetzung der NIS-2-Richtlinie eine besondere Bedeutung zu. IT-Dienstleister wie Managed Service Provider oder Zulieferer der Automobilindustrie sind als Sektoren in der Richtlinie klar definiert. Aber auch andere Unternehmen der Supply Chain werden die Richtline durch die Hintertür einführen müssen, weil der Konzern die Sicherheit seiner Lieferkette sicher-stellen muss.“
Die Sicherheitsspezialisten von ESET haben aus diesem Grund ein Whitepaper namens „NIS-2 und die Lieferkette“ herausgebracht. „Die NIS-2-Richtlinie hat keinen dedizierten Anknüpfungspunkt für ›Mitglieder einer Lieferkette‹, soweit es um die Frage geht, welches Unternehmen von den Rechtspflichten zur IT-Sicherheit betroffen werden wird. Jedoch werden durch die umschriebenen Kriterien zahlreiche Unternehmen der Supply Chain erfasst“, so der Leitfaden. Hinsichtlich der Lieferkette im Bereich IT sei laut ESET festzustellen, „dass über die in den Anhängen der NIS-2-Richtlinie enthaltenen Formulierung wohl alle Unternehmen der Lieferkette erfasst werden sollten. Dies betrifft insbesondere den Bereich, in dem Unternehmen der Supply Chain nicht bloß Vorlieferanten sind, die einen Gegenstand wie z.B. ein halbfertiges Erzeugnis oder eine Maschine verkaufen, sondern die während des Betriebs der IT ihre Leistungen erbringen bzw. gerade der ausgelagerte Betrieb der IT die Leistungserbringung dieser Unternehmen ist.“
Fazit des IT-Sicherheitsexperten ESET: „Unternehmen, die unter die NIS-2-Richtlinie fallen, können Zulieferer und Dienstleister dazu verpflichten, spezifische Sicherheitsmaßnahmen zu ergrei-fen, um ihre Systeme und Daten zu schützen.“
Das Whitepaper können Interessierte hier herunterladen.
Be the first to comment