Von Dr. Christoph Bausewein, Assistant General Counsel, Data Protection & Policy CrowdStrike

Die Netz- und Informationssicherheitsrichtlinie, auch bekannt als NIS2, ist die neue Cybersicherheitsrichtlinie der Europäischen Union.

Sie baut auf der Richtlinie NIS1 aus dem Jahr 2016 auf und zielt darauf ab, einen weltweit führenden Standard für Cybersicherheitsmaßnahmen zu schaffen, der sicherstellt, dass europäische Unternehmen sowie Netzwerk- und Informationssysteme vor den sich ständig weiterentwickelnden Cyberbedrohungen geschützt sind. Die NIS2-Richtlinie ist zwar ein innovativer Schritt zur Verbesserung der Cybersicherheit in Unternehmen, doch müssen die betroffenen Organisationen die Schritte, die zur Einhaltung dieser neuen Vorschriften erforderlich sind, genau verstehen.

Die erfolgreiche Einhaltung der NIS2-Richtlinie erfordert mehr als die Anschaffung neuer Technologien. Unternehmen müssen eine Sicherheitskultur aufbauen, die über die Abteilung des CISO hinausgeht und das gesamte Unternehmen durchdringt. Viele Unternehmen haben jedoch Probleme auf folgenden Gebieten:

• Schnelle Triage: Die durchschnittliche eCrime Breakout Time – also die Zeit, die ein Angreifer benötigt, um von einem ursprünglich kompromittierten Host lateral auf einen anderen Host in der Opferumgebung überzugehen – ist laut dem CrowdStrike 2024 Global Threat Report im Jahr 2023 auf 62 Minuten gesunken. Unternehmen müssen wissen, wie sie Bedrohungen erkennen und stoppen können, bevor sie sich zu einem umfassenden Sicherheitsvorfall entwickeln.
• Die Cloud verstehen: Die Cloud ist das neue Schlachtfeld für Cyber-Verteidiger und -Angreifer. Der Global Threat Report zeigt, dass die Gesamtzahl der Cloud-Angriffe bis 2023 um 75 % und die Zahl der Cyber-Angriffe mit Cloud-Bezug um 110 % gestiegen ist. Da die Cloud-Nutzung weiter zunimmt, müssen Unternehmen ihre Cloud-Umgebungen verstehen und schützen.
• Onboarding und Upleveling von Analysten: Unternehmen stehen vor der Herausforderung, mit einer immer komplexeren Bedrohungslandschaft Schritt zu halten. Angesichts des anhaltenden Fachkräftemangels im Sicherheitsbereich und der schnell wachsenden Angriffsfläche ist es für Unternehmen wichtig, die richtigen Sicherheitstools und -dienste auszuwählen, um Analysten auf den neuesten Stand zu bringen, damit sie Bedrohungen erkennen, identifizieren und beseitigen können.
• Verwaltung einer Vielzahl von Sicherheitstools: Mit dem Aufkommen neuer Sicherheitsbedrohungen und -herausforderungen führen viele Unternehmen weitere punktuelle Produkte ein, um diesen zu begegnen. Damit schaffen sie zusätzliche Komplexität in ihren Umgebungen, neue Probleme bei der Verwaltung der zahlreichen Tools und Lücken in ihren Abwehrmaßnahmen, die von Angreifern ausgenutzt werden können.

Trotz dieser Herausforderungen ist es das Ziel der NIS2-Verordnungen, die Widerstandsfähigkeit aller in der EU tätigen Organisationen, die wichtige Funktionen für Gesellschaft und Wirtschaft erfüllen, zu stärken. NIS2 zielt darauf ab, Unstimmigkeiten im Umgang mit Cyber-Sicherheitsbedrohungen zu verringern, das Bewusstsein für Cybersicherheit zu schärfen und die Fähigkeit von Organisationen zu verbessern, auf Vorfälle zu reagieren.

Wann endet die NIS2-Frist, und wer muss sie einhalten?

Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die NIS2-Vorschriften in nationales Recht umzusetzen. Folglich sind die Verantwortlichen in den Unternehmen dafür verantwortlich, die Cybersicherheitspraktiken ihres Unternehmens auf den neuesten Stand zu bringen. Die Kosten für die Nichteinhaltung der Vorschriften können Geldstrafen, Rufschädigung und Verlust von Kunden sein.

Die neuen Vorschriften betreffen Organisationen, die als Kerninfrastrukturen eingestuft werden und in der Europäischen Union tätig sind. Diese Organisationen werden so definiert, dass sie Dienstleistungen erbringen oder ihre Tätigkeiten in der Europäischen Union ausüben, in bestimmten Sektoren tätig sind, wesentliche oder wichtige Funktionen ausüben und als mittlere oder große Unternehmen eingestuft werden. Gemäß Artikel 2 der Empfehlung 2003/361/EG im Anhang hat ein mittleres Unternehmen zwischen 50 und 249 Beschäftigte oder eine Bilanzsumme zwischen 10 und 43 Millionen Euro. Große Unternehmen haben 250 oder mehr Beschäftigte oder eine Bilanzsumme von 43 Mio. EUR oder einen Jahresumsatz von 50 Mio. EUR. Unternehmen sollten wissen, in welche Kategorie sie fallen, um zu verstehen, wie sie die Vorschriften einhalten müssen.

Es gibt keinen magischen Einschalt-Knopf

Bei der NIS2-Richtlinie geht es nicht nur darum, über die Technologie zur Abwehr von Cyberangriffen zu verfügen. Es geht auch darum, dass Unternehmen über bewährte Verfahren und eine umfassende Sicherheitskultur verfügen, in der jeder Einzelne die Cybersicherheit ernst nimmt. Die Auswirkungen der Richtlinie auf ein Unternehmen werden stark davon abhängen, wo das Unternehmen in Bezug auf seine Sicherheitsreife steht. Für Unternehmen, die diesen Weg noch nicht eingeschlagen haben, kann die Umsetzung von NIS2 eine herausfordernde Aufgabe sein, da sie sich zum ersten Mal mit der Einhaltung von Cybersicherheitsvorschriften befassen müssen.

Für Unternehmen, die der Schaffung robuster, moderner Sicherheitspraktiken in ihrer gesamten Organisation Priorität eingeräumt haben, sind die Auswirkungen von NIS2 möglicherweise weniger belastend, könnten aber dennoch einige Herausforderungen mit sich bringen. Unabhängig davon, an welchem Ende des Spektrums sich ein Unternehmen befindet, wird 2024 eine Zeit der Anpassung an die neuen Cybersicherheitsstandards erforderlich sein. Unternehmen müssen darauf vorbereitet sein.

Den Wandel vorantreiben

Eine Möglichkeit für Führungskräfte, ihr Unternehmen auf dem Weg zur Cybersicherheit zu begleiten, besteht darin, sich daran zu erinnern, dass jede NIS2-Anforderung auf drei Kategorien basiert: Menschen, Technologie und Prozesse.

• Menschen: Die Menschen in einem Unternehmen sind einer der wichtigsten Faktoren beim Aufbau einer starken Cybersicherheitskultur. Unabhängig davon, ob sie ihre Mitarbeiter in bewährten Verfahren schulen oder Experten von Drittanbietern für verwaltete Sicherheits- und Reaktionsdienste beauftragen, müssen die Verantwortlichen erkennen, dass eine starke Cyber-Abwehr die Beteiligung der Mitarbeiter erfordert. Indem sie ihren Mitarbeitern bei der Einstellung und danach regelmäßig Schulungen zur Cybersicherheit anbieten, stellen sie sicher, dass die Cybersicherheit immer an erster Stelle steht, auch wenn die Mitarbeiter nicht die einzigen sind, die die Sicherheitslage eines Unternehmens beeinflussen können. Auch Führungskräfte müssen eng mit ihren Sicherheitspartnern zusammenarbeiten, um sicherzustellen, dass Vorfälle erkannt und behoben werden.
• Technologie: Führungskräfte müssen sicherstellen, dass ihr Unternehmen über die richtige Technologie zur Abwehr von Cyber-Bedrohungen verfügt. Die technologische Infrastruktur wird oft komplizierter, wenn Unternehmen ihre Systeme erweitern und neue Lösungen erwerben. Diese technologische Erweiterung bringt neue Risiken mit sich, da die Sicherheitsteams mehr zu überwachen und zu schützen haben. Die Wahl einer konsolidierten Sicherheitsplattform mit integrierten Funktionen hilft, diese Schwachstellen zu beseitigen und die Cyberabwehr zu optimieren.
• Prozesse: Cybersicherheitsprozesse müssen kontinuierlich weiterentwickelt werden, um den Angreifern einen Schritt voraus zu sein. Das bedeutet, dass Unternehmensleiter und CISOs ihre Cybersicherheitsprozesse wie Sicherheitsrichtlinien, Vorfallmanagement, Risikomanagement und Audits genau kennen müssen, um das gesamte Unternehmen bei der Bewältigung der sich ständig ändernden Bedrohungslandschaft zu unterstützen.

Auch wenn die Einhaltung der neuen Vorschriften eine Herausforderung sein kann, werden Unternehmen, die der Cybersicherheit Priorität einräumen und die NIS2-Richtlinie jetzt einhalten, viel besser darauf vorbereitet sein, sich gegen aktuelle und aufkommende Sicherheitsbedrohungen zu verteidigen und ihr Wachstum im nächsten Jahr und darüber hinaus zu beschleunigen.