EU-Vorschriften
Neue EU-weite Vorschriften zur Stärkung der Cybersicherheit und Widerstandsfähigkeit
Von Andy Norton, European Cyber Risk Officer bei Armis
Die überarbeitete Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) dient als Basis für Risikomanagement und Meldepflichten für die Cyber Security in vielen Bereichen, wie etwa digitale Infrastruktur, Verkehr, Energie und Gesundheit.
Mitte November wurde durch das Europäische Parlament ein Abkommen beschlossen, das die sicherheitskritschen Netz- und Informationssysteme besser vor Cyberangriffen schützen soll. Die neue Richtlinie soll dabei helfen, den rechtlichen Rahmen in allen EU-Staaten zu nivellieren. Dafür sind gemeinsame Mindestanforderungen und Maßnahmen zur Stärkung der Cybersicherheit notwendig.
Die neuen Rechtsvorschriften stellen nicht einfach nur weitere Punkte auf einer Liste mit Compliance Regeln dar, die man abhaken kann. So sehen bereits die bestehenden NIS-Vorschriften vor, dass angemessene und verhältnismäßige Kontrollen unter Verwendung modernster Technologien durchgeführt werden müssen. Mit NIS2, der jüngsten Überarbeitung der bestehenden Gesetzgebung, wird ein höheres Straf- und Bußgeldniveau eingeführt. Bisher basierten die Bußgelder auf Verstöße gegen die Cybersicherheit, doch im Entwurf des NIS2-Gesetzes wird in Artikel 18 ein Mindestmaß an konformen Funktionen vorgeschrieben, die eine wesentliche oder wichtige Einrichtung einführen muss. Bei Nichteinführung dieser Mindestanforderungen drohen der Organisation nun empfindliche Bußgelder in Höhe von bis zu 10 Millionen Euro oder 2 % der weltweiten Einnahmen gemäß Artikel 31.
Die erste der Mindestanforderungen ist die Durchführung einer angemessenen Risikoanalyse. Dies allein bedeutet für die meisten sicherheitsrelevanten Unternehmen und Einrichtungen ein großes Problem. Denn die Risikoanalyse basiert auf dem Verständnis der kritischen Assets (Geräte im Unternehmen), wobei für die meisten Organisationen ein aktuelles und genaues Verzeichnis dieser Assets entweder nicht vorhanden, veraltet oder bestenfalls unvollständig ist. Von großer Bedeutung ist hierbei, dass Organisationen die Stabilität ihrer IT-Sicherheitsarchitektur nachweisen können. Dafür benötigen sie eine adäquate und umfassende Risikoanalyse, die den NIS2-Vorschriften entspricht.