EU-Richtlinie NIS 2 für mehr Cybersicherheit ist in Kraft. Es besteht dringend Handlungsbedarf

Frankfurt, Starnberg, 07. Febr. 2023 - Das Gesetz betrifft alle Firmen bis hinauf in die Management-Ebene; Horizon3.ai bietet autonomes KI-gestütztes Penetration Testing...

Zum Beitrag: Die Situation wird kritisch für Unternehmen – das neu in Kraft getretene Verordnungs-Paket der Europäischen Union (EU) verpflichtet Organisationen in vielen Branchen zu einem stringenten Schutz gegen Cyberangriffe. (1) Die Richtlinie gilt dabei nicht nur für Betreiber kritischer Infrastrukturen, sondern für Organisationen aller Art und Größe. Die NIS-2-Richtlinie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Sie tritt laut dem BSI am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Die Mitgliedstaaten müssen die Richtlinie danach innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen.

 

Link > BSI

 

Das Unternehmen Horizon3.ai hat dazu jetzt eine Lösung für die Wirtschaft vorgestellt. Sie wurde entwickelt von ehemaligen Mitgliedern der Cyber-Defense-Teams innerhalb internationaler Streitkräfte. NodeZero ermöglicht autonomes Pentesting – also den ständigen simulierten Angriff auf die eigene Infrastruktur ohne Risiko. Kommentarauszug Rainer M. Richter, Vice President EMEA & APAC von Horizon3.ai.: "Unsere Methode des autonomen Penetration Testings ist im Unterschied zum automatischen Pentesting nicht einfach eine Abfolge von Tests… NodeZero untersucht mit einer KI-gestützten Abfolge von Tests die gesamte Infrastruktur und findet so alle ausnutzbaren Angriffsvektoren…" Damit sollen nach Angaben des Unternehmens Schwachstellen in kürzester Zeit identifiziert, behoben und auf korrekte Sicherheit neu überprüft werden können, ohne dabei auf die üblicherweise notwendigen Cybersicherheitsspezialisten angewiesen zu sein.

 

Autonomes Pentesting für mehr automatisierte Sicherheit

Die zentrale Anforderung der EU: IT-Sicherheit wird zum Teil der Unternehmenssteuerung und verlagert sich so von der IT-Abteilung in die Firmenleitung. Organisationen müssen ein Risikomanagement und Notfallpläne einführen. Auch ein System für die zügige Meldung von Vorfällen an die Aufsichtsbehörden wird künftig verpflichtend. Autonomes Pentesting, dass im laufenden Betrieb aller Systeme stattfinden kann, hilft auch dabei: NodeZero von Horizon3.ai bietet ein autonomes Pentesting-as-a-Service. Es soll gleichermaßen für den Einsatz in Unternehmen und die Nutzung durch professionelle Tester geeignet sein.

Professionelle Reports sollen beim Nachweis von Schwachstellen und deren Beseitigung helfen. Mit geringem Aufwand kann laut Entwickler die gesamte Infrastruktur ständig auf Sicherheitsprobleme untersucht werden. Das Modell von Horizon3.ai arbeitet dabei nach drei Grundsätzen: Find, fix and verify. Potenzielle und durch Hacker ausnutzbare Sicherheitslücken werden gefunden, können gezielt beseitigt, und anschließend sofort auf die einwandfreie Funktion überprüft werden. Die kontinuierliche Überprüfung der Infrastruktur schützt zudem dauerhaft, während externe Pentester meist nur einmal im Jahr das Angriffsszenario ausspielen können.

 

EU-Rundumschlag für die Gesamtwirtschaft

NodeZero nutzt dabei für Kunden in Europa eine eigene europäische Instanz, um die höchste Datensicherheit zu gewährleisten. Zitat: „Das so erzielbare Sicherheitsniveau ist höher als alle bisherigen Maßnahmen. Das bezieht sich nicht nur auf die Erfüllung von NIS 2, sondern auch auf einen effizienteren Schutz vor Angreifern. Unsere Algorithmen werden regelmäßig erweitert aktualisiert und sind daher stets auf Augenhöhe mit den Hackern – egal, ob wirtschaftlich oder politisch motiviert“, so Rainer M. Richter von Horizon3.ai.

Die Richtlinie NIS 2 schließt erstmals auch kleine Unternehmen mit mindestens 50 Mitarbeitern und zehn Millionen Euro Umsatz ein. Oft verfügen diese Betriebe nur über eingeschränkte Ressourcen in der IT-Abteilung – automatisierter Schutz tut also not. „NIS 2 geht alle an, vom Mittelstand bis zum Dax 40“, betonte Iris Plöger, verantwortlich für Digitalisierung beim Bundesverband der Deutschen Industrie BDI Ende letzten Jahres auf einer Tagung. Hinzu kommen empfindliche Strafen, die Organisationen drohen: Bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes bei Einrichtungen „mit hoher Kritikalität“. Andere Firmen werden mit bis zu sieben Millionen Euro oder 1,4 Prozent des Erlöses geahndet.

 

Querverweis:

Unser Beitrag > Steigende Cyber-Risken für den Finanzsektor auf Grund von Drittstaaten-Konflikten in Europa

Unser Blogpost > Kontinuierlicher Datenschutz (CDP) zur Modernisierung von Backup- und D/R-Verfahren