NIS2-Richtlinie
EU verabschiedet NIS2-Richtlinie: Stärkung der Cybersecurity
Vectra AI erklärt, was dies für Unternehmen bedeutet
Ende vergangener Woche hat das Europäische Parlament in Brüssel ein Abkommen mit den EU-Staaten gebilligt, das Netz- und Informationssysteme besser vor Hackerangriffen schützen soll. Mit den neuen Anforderungen sollen vor allem die Regeln in den 27 EU-Ländern vereinheitlicht werden. Dazu werden Mindestanforderungen und Mechanismen zur Zusammenarbeit zwischen den Ländern geschaffen.
Christian Borst, Field CTO bei Vectra AI, einem Anbieter von Lösungen für KI-basierte Cybersicherheit, kommentiert:
„Zum Schutz vor Cyberangriffen – etwa auf die öffentliche Verwaltung, Hersteller von Medizinprodukten oder die Abwasserwirtschaft – gelten in der EU künftig strengere Regeln. Das Europäische Parlament billigte am Donnerstag in Brüssel ein Abkommen mit den EU-Staaten, das Netz- und Informationssysteme besser vor Hackerangriffen schützen soll. Mit den neuen Anforderungen sollen vor allem die Regeln in den 27 EU-Ländern vereinheitlicht werden. Dazu werden Mindestanforderungen und Mechanismen zur Zusammenarbeit zwischen den Ländern geschaffen. Außerdem können Bußgelder verhängt werden, wenn Betreiber kritischer Infrastrukturen die Anforderungen nicht einhalten. Die nationalen Behörden müssen die Umsetzung der neuen Vorschriften strenger überwachen als bisher.
Darüber hinaus wird der Anwendungsbereich beispielsweise auf die pharmazeutische Produktion ausgeweitet. Bisher galt die so genannte NIS-Richtlinie, die nun durch NIS2 ersetzt wird, nur für Bereiche wie Gesundheitswesen, Banken, Trinkwasserversorgung und Energieinfrastruktur. Bevor die neuen Regeln in Kraft treten, müssen die EU-Länder das Abkommen mit dem Parlament endgültig absegnen. Dies gilt als Formalität. Die Mitgliedstaaten haben dann 21 Monate Zeit, die neuen Regeln in nationales Recht umzusetzen.
Mit der Verabschiedung der NIS2-Richtlinie durch das Europäische Parlament ist im Prozesses zur Verschärfung des Cyberrisikomanagements in der EU der nächste Schritt vollzogen. Der Anwendungsbereich der Richtlinie wurde nicht nur über den der NIS-Richtlinie von 2016 hinaus erweitert, sondern die Vorschriften wurden auch in drei Kernbereichen verschärft: Aufsichtsmaßnahmen und Geldbußen, Zusammenarbeit und Kooperation sowie Anforderungen an das Cyber Security-Risikomanagement.
Betroffene Unternehmen müssen nun nicht nur für entsprechende Schutzmaßnahmen im Rahmen der Basishygiene sorgen. Sie müssen unter anderem auch die Fähigkeit zur Reaktion auf einen Vorfall sicherstellen, um den Behörden innerhalb von 24 Stunden einen ersten Bericht vorlegen zu können. Dies erfordert von vielen Unternehmen eine Überprüfung ihrer bestehenden Fähigkeiten, um ihre Erkennungs- und Reaktionsmöglichkeiten zu verbessern, um im vorgegebenen Zeitrahmen agieren zu können.
Heute verbringen viele Sicherheitsteams die meiste Zeit mit der Wartung der bestehenden Sicherheitstechnologien, um die Erkennungsmöglichkeiten zu verbessern. Somit bleibt wenig bis keine Zeit für die notwendige Konzentration auf die Prozessgestaltung und -automatisierung, um die Reaktionsmöglichkeiten auf Vorfälle einschließlich der Berichterstattung zu schaffen und zu verbessern. In einer Zeit der knappen Ressourcen, des „War-for-talent“ und einer immer stärkeren Digitalisierung müssen die Sicherheitsexperten strategisch eingesetzt und befähigt werden. Dazu stehen moderne Lösungen zur Verfügung, die den technischen Betrieb entlasten und es den Sicherheitsteams ermöglichen, sich auf das aktive Management von Cyberrisiken zu konzentrieren. Diese Ansätze verbessern die Sichtbarkeit und die Datenqualität erheblich und ermöglichen es einen weiteren von NIS2 geforderten Bereich anzugehen: den Informationsaustausch.
Die Erkennung von Angreifersignalen und deren Umwandlung in verwertbare Informationen ist der Schlüssel zum Erfolg für die zeitnahe Reaktion auf Vorfälle und den Austausch relevanter Informationen zwischen dem Netzwerk öffentlicher und privater Sicherheitsorganisationen. Eine gut integrierte Technologie, die moderne Schnittstellen (APIs) nutzt, ermöglicht den einfachen Austausch von Angriffssignalen innerhalb des Verbunds der Cyberverteidiger. Die individuelle Widerstandsfähigkeit eines Unternehmens sowie die allgemeine Widerstandsfähigkeit des Nationalstaates und seiner Partner und Verbündeten profitieren in hohem Maße von dieser Schwerpunktverlagerung. Die Sicherheitsteams müssen in die Lage versetzt werden, sich auf mehrwertbringende Aktivitäten zu konzentrieren, die durch moderne Technologielösungen unterstützt werden. Nur so können Regierungen und Unternehmen auch den Mangel an qualifizierten Fachkräften für Cybersicherheit angehen und gleichzeitig weiter in Schulungs- und Weiterbildungsmaßnahmen investieren.
Der Ratifizierungsprozess ist noch nicht abgeschlossen und die Verabschiedung in den einzelnen europäischen Mitgliedstaaten wird noch einige Zeit in Anspruch nehmen. Die Entscheidungsträger sollten dennoch schon heute handeln, da die Angreifer bereits im Spiel sind und nicht warten werden. Eine erfolgreiche digitale Gesellschaft und inklusive ihrer Unternehmen erfordert eine starke Erkennungs- und Reaktionsfähigkeit, um Bedrohungen frühzeitig zu identifizieren und rechtzeitig darauf zu reagieren, damit die Gesamtauswirkungen kontrollierbar bleiben. Die Ausweitung der Vernetzung und Digitalisierung in die IoT-Welt und in die Cloud lässt die bisherigen Ansätze nicht mehr zu und erfordert konzentrierte Anstrengungen, um die Sicherheitsstrategie zu überdenken und anzupassen.“