- Tags:
- nis2,
- cybersecurity
NIS2: Ignoranz kann teuer enden
Zuletzt haben wir hier in unserem Blog den Hintergrund der neuen Gesetzgebung NIS2 beleuchtet. Nun gilt es zu klären, welche Aufgaben sich daraus für die Unternehmen ergeben: Für wen hat NIS2 künftig konkrete Konsequenzen? Und wie kann UEM dabei helfen, einen Teil der Vorschriften umzusetzen?
Kurz & knapp
- Ungenügende Absicherung der IT-Systeme ist ein offenes Scheunentor für Hackerangriffe.
- Die Aktualisierung relevanter Geschäftsprozesse ist von entscheidender Bedeutung.
- NIS2 ist eine echte Herausforderung, aber die Nicht-Umsetzung der Vorgaben wird in Zukunft sehr teuer.
- Gerade in Zeiten des Fachkräftemangels ist UEM ein wichtiger Baustein zur Sicherung kritischer Infrastrukturen.
Welche Organisationen mit Sitz in der EU unter den Geltungsbereich der neuen NIS2-Direktive fallen,
habe ich zuletzt im Blogartikel „NIS2: Für KRITIS-Unternehmen
wird es jetzt KRITISCH“ schon beleuchtet. Aber auch zu meiner Star-Wars-Artikelreihe lässt sich der Bogen schlagen. Sagen wir mal so: Die Gebäudetechnik des Todessterns würde definitiv die neue NIS2-Richtlinie
fallen. Mehr dazu verrate ich hier. Heute beschäftigen wir uns aber konkreter damit, was Unternehmen tun müssen und wen die Umsetzung konkret betrifft.
Klar ist: Alle betroffenen Unternehmen sind im Rahmen von NIS2 verpflichtet, ihre Aktivitäten in den Bereichen Risikoanalyse, Informationssicherheit, Maßnahmenbewertung und
-umsetzung, Incident Response Management, Krisenmanagement und Schulungen auszubauen.
Herausforderung der eigenen Ressourcen: Prozesse aktualisieren
Ein zentraler Aspekt ist im weitesten Sinne die Cybersecurity. Gerade in Zeiten des Fachkräftemangels ist die NIS2-Umsetzung für viele Unternehmen eine echte Herausforderung, wenn
nun noch mehr Manpower für Unternehmenssicherheit notwendig wird.
Unter bisherigen Gesetzgebungen war KRITIS (Unternehmen kritischer Infrastrukturen) die maßgebliche Kategorie. NIS2 unterscheidet künftig zwischen Betreibern von kritischen Anlagen
(KRITIS), wichtigen und besonders wichtigen Einrichtungen. Konkret heißt NIS2 für sie: Sie müssen ihre technischen und organisatorischen Sicherheitsmaßnahmen im Bereich
Vorfallsmanagement sowie ihre Business Continuity Pläne auf den neuesten Stand bringen. Außerdem sind sie zu regelmäßigen
Risikobewertungen verpflichtet, um alle potenziellen Einfallstore zusätzlich abzusichern. Nur hier nochmal das Stichwort: Todesstern.
Betroffene Unternehmen haben wirksame Konzepte zur Risikoanalyse vorzulegen und darin auch zu bewerten, wie wirksam welche Maßnahmen sind. Hinzu kommen regelmäßige
Schulungen im Bereich Cybersicherheit. Nicht zu vergessen: die Sicherheit von Lieferketten, Asset Management und sogar Personalsicherheit fallen unter NIS2.
Dabei – und das ist für betroffene Unternehmen wichtig – orientieren sich die erforderlichen Sicherheitsmaßnahmen nicht an den investierten Kosten für Cybersicherheit, sondern vor allem an
den möglichen Auswirkungen. So müssen sich betroffene Unternehmen zum Beispiel bei der Agentur der Europäischen Union für Cybersicherheit (ENISA) registrieren und
Sicherheitsvorfälle in der Regel in mehreren Stufen melden:
- Erstmeldung innerhalb von 24 Stunden
- Aktualisierung dieser Erstmeldung innerhalb von 72 Stunden
- Abschlussmeldung an das BSI innerhalb eines Monats
Geldbußen drohen: Mit NIS2 wird Cybersicherheit zur Chefsache
Mit NIS2 liegt die Gesamtverantwortung für Cybersicherheit und die Verhinderung von Sicherheitsvorfällen in KRITS-Unternehmen künftig beim obersten Management. Erfüllen Unternehmen die neuen Vorgaben nicht, können sie mit empfindlichen Geldbußen belegt werden. Unterm Strich heißt das: Die Verantwortung für NIS2-Compliance liegt künftig beim Management, CISOs und den Security-Abteilungen. Die tatsächliche Umsetzung im technischen Bereich fällt im Arbeitsalltag jedoch weiterhin vielfach in den Aufgabenbereich von IT-Fachkräften.
NIS2-Richtlinie: Warum Unternehmen jetzt handeln müssen
Für Unternehmen wird es jetzt also wirklich kritisch und sie müssen dringend Sicherheitsmaßnahmen ergreifen, um sich besser vor Bedrohungen zu schützen. Gleichzeitig gilt es dabei,
bestehende Budget- und vor allem Personalgrenzen zu berücksichtigen. Dabei lohnt sich relativ schnell, in Abwehr- und Wiederherstellungsmaßnahmen zu investieren.
Denn Fakt ist: Die Einhaltung von NIS2-Anforderungen ist insgesamt für Unternehmen sinnvoll, denn dadurch verringert sich das Risiko von Cyberangriffen erheblich. Nicht
zuletzt profitieren Unternehmen dadurch auch von einer besseren Effizienz und Produktivität.
Ein ganzer Werkzeugkasten, um Einfallstore effizient zu schließen
Die NIS2-Umsetzung bedeutet für viele Unternehmen im ersten Schritt zunächst viele technische und organisatorische Maßnahmen. Darüber hinaus gibt es kein einziges Tool, das dafür
sorgt, alle NIS2-Anforderungen in Gänze zu erfüllen. Vielmehr sind in den meisten Unternehmen eine Palette an IT-Security-Lösungen im Einsatz, schon bevor NIS2 überhaupt im Raum
stand. Die meisten von ihnen tragen nun auch zur NIS2-Compliance bei.
Zu ihnen zählen neben Network Access Control, Monitoring und anderen beispielsweise auch Client Management bzw. UEM-Lösungen, also Unified
Endpoint Management. Mit ihnen verwalten und überwachen IT-Admins sämtliche Endpoints im Unternehmen automatisiert: Das fängt bei einer umfassenden
Inventarisierung der Hard- und Softwareinformationen an. Dabei gilt es, keine Endpoint-Typen zu vernachlässigen und Steuerungen und Netzwerkgeräte ebenso konsequent
einzubeziehen wie Windows-Rechner oder Mobilgeräte. Diese Form des Asset Managements bildet für einige NIS2-Anforderungen die nötige Grundlage, z.B. im Bereich Transparenz,
Risikoanalyse und allgemeine Informationssicherheit.
Effektive Incident Prevention durch Schwachstellen- und Update Management
Spricht NIS2 von Cyberhygiene und Incident Prevention, fallen darunter natürlich Schwachstellen- und Update Management. Mit einer UEM-Lösung lassen sich jederzeit Patches
und Hotfixes unternehmensweit per Richtlinie auf alle von einer Sicherheitslücke betroffenen Geräte der IT und/oder OT spielen. Mithilfe der kontinuierlichen Überwachung wissen die IT-Teams
einfach stets den genauen Zustand (BIOS/UEFI, OS, Anwendungen, Konfiguration, Rechte, etc.) eines jeden Devices, ohne dabei umständlich jedes Gerät einzeln kontrollieren zu müssen. Auch
Bedrohungen, die der Defender anzeigt, sind wertvolle Daten. Nur wer transparente Informationen über Schwachstellen hat, kann
sie beseitigen und verhindern, dass sie wieder auftreten.
Und so selbstverständlich es vielleicht klingen mag: konsequentes Update Management ist ein
zentraler Baustein für verlässliche IT-Sicherheit. Das heißt: Software und Betriebssysteme möglichst in der neuesten Version zu installieren und neuestem Stand zu halten. So ist auf jedem
Rechner nur das drauf, was nötig und vertrauensvoll ist.
Sicherheitsmaßnahmen wie eine Festplattenverschlüsselung (Defense Control), Allow- bzw. Blocklisting von Software und ein Ticketsystem für eine schnelle Reaktionsfähigkeit
runden ein UEM ab. Eine echte Entlastung für zuständige Fachkräfte, einen Teil der NIS2-Anforderungen zu erfüllen.
Automatisiertes Schwachstellenmanagement
Schwachstellen in kritischen Infrastrukturen sind mehr als nur lokale Herausforderungen. Wie automatisiertes Schwachstellenmanagement auch Ihrem Unternehmen bei der Adressierung der Sicherheitslücken helfen kann, erfahren Sie in unserem kostenlosen Whitepaper.
- Tags:
- nis2,
- cybersecurity
Mehr lesen?
Digitale Rückenschmerzen? So beeinflusst die Netzwerkperformance Ihre DEX-Strategie
Zwischen Malware und NIS2: IT-Sicherheit & Compliance verbessern
- Tags:
- nis2,
- cybersecurity
Neue Gruppenrichtlinien: Best Practices für Windows 11
- Tags:
- windows11,
- win11