NIS2 im Kontext der Sicherheit von kritischen IT-Infrastrukturen jetzt umsetzen

München, Starnberg, 27. Aug. 2024 - Wie können sich KRITIS-Unternehmen Schritt für Schritt vorbereiten? Ein Gastbeitrag der Firma NetApp mit praktischen Empfehlungen…

Zum Hintergrund: Bis zum 17. Oktober diesen Jahres haben die EU-Mitgliedsländer noch Zeit, die NIS2-Richtlinie in nationales Recht zu überführen. Dies ist auch der Stichtag für KRITIS-Unternehmen: Bis dahin sollten sie sich auf die neuen Anforderungen eingestellt haben. Die NIS2-Richtlinie baut auf ihrer Vorgängerin auf, geht aber in vielen Bereichen darüber hinaus. Sie erweitert den Anwendungsbereich erheblich, indem sie nicht nur die bereits erfassten Unternehmen kritischer Infrastrukturen (KRITIS) einbezieht, sondern auch weitere Sektoren und Branchen hinzufügt. Zu den klassischen KRITIS-Sektoren wie Energie, Transport, Banken und Gesundheitswesen kommen nun Teile der digitalen Infrastruktur, Aspekte der öffentlichen Verwaltung und des Weltraums hinzu. Auch Firmen aus der Abfallwirtschaft, der Chemieindustrie und dem Lebensmittelsektor können nun unter die KRITIS-Definition fallen.

 

In diesem Gastbeitrag beleuchtet Ingo Kraft, Senior Strategic Partner Technical Lead bei NetApp (1), wie sich betroffene Unternehmen, die ihre Vorbereitungen auf die NIS2-Richtlinie bislang noch nicht abgeschlossen haben, diese laut dem Experten mit folgenden praktischen Schritten unterstützen können:

„Das Ziel der Europäischen Union war es, der zunehmenden Digitalisierung und Vernetzung kritischer Infrastrukturen etwas entgegenzusetzen, um die Cybersicherheit europaweit in einem breiteren Spektrum systemrelevanter Sektoren zu erhöhen. Betroffene NIS2-Unternehmen müssen sich daher auf strengere Sicherheitsanforderungen, erweiterte Vorkehrungen sowie Tests und Meldepflichten einstellen – und auf potenziell höhere Sanktionen bei Verstößen. Nicht nur zur Einhaltung der Stichdaten, sondern auch aus pragmatischem Selbstschutz drängt die Zeit, sich fit zu machen: Es gilt, Cybersicherheitsstrategien und -maßnahmen zu überprüfen und an die NIS2-Mindestanforderungen anzupassen.

 

Kernpunkte der NIS2-Richtlinie für KRITIS-Unternehmen

Eine zentrale Neuerung verschärft die Meldepflichten bei Sicherheitsvorfällen. Das dreistufige Meldesystem verlangt eine erste Warnung innerhalb von 24 Stunden, einen Zwischenbericht nach 72 Stunden und einen detaillierten Abschlussbericht innerhalb eines Monats. Dies zwingt Unternehmen dazu, ihre Incident-Response-Prozesse grundlegend zu überarbeiten.

Die Richtlinie legt zudem einen stärkeren Fokus auf Risikomanagement und Sicherheitsmaßnahmen. Unternehmen müssen daher robuste Systeme implementieren, die Bedrohungen erkennen und abwehren. Hier kommt auch dem Datenmanagement eine Schlüsselrolle zu. Wichtig: auch die Lieferkette in die firmeneigene Cybersecurity-Strategie zu integrieren.
 

Wer seine Vorbereitungen auf die NIS2-Richtlinie noch nicht abgeschlossen hat, kann sie mit den folgenden praktischen Schritten unterstützen:

1. Bestandsaufnahme und Gap-Analyse:

Es gilt, die bestehenden Cybersicherheitsmaßnahmen und -prozesse zu evaluieren und mit den rechtlich geforderten Mindeststandards abzugleichen. Bei diesem Schritt werden Lücken und Schwachstellen identifiziert und Prioritäten gesetzt.

2. Anpassung der Incident-Response-Pläne:

Wegen der neuen Meldepflichten müssen KRITIS-Unternehmen jene Pläne überarbeiten, die die Reaktion auf Sicherheitsvorfälle festschreiben. Damit geht einher, dass sie Vorfälle schnell erkennen, bewerten und innerhalb der vorgegebenen Fristen melden können.

3. Implementierung robuster Sicherheitssysteme:

Sind die bestehenden Systeme zu verbessern? Müssen neue eingekauft werden, die Bedrohungen erkennen und abwehren?

4. Schulung und Sensibilisierung der Mitarbeiter:

Da menschliches Versagen oft eine Hauptursache für Sicherheitsvorfälle ist, ist auch in umfassende Schulungsprogramme zu investieren.

5. Regelmäßige Audits und Tests:

Regelmäßige Sicherheitsaudits und Penetrationstests gewährleisten, dass potenzielle Schwachstellen eher zu identifizieren sind. Außerdem dienen sie der Überprüfung, ob die implementierten Maßnahmen wirksam sind.

6. Zusammenarbeit mit Experten:

Viele KRITIS-Unternehmen wissen, dass sie von der Zusammenarbeit mit Cybersicherheitsexperten und spezialisierten Dienstleistern profitieren. Diese unterstützen und beschleunigen oft die Compliance-Bemühungen.

 

Tools der nächsten Generation

Wer seine Systeme verstärken muss, sollte über Tools nachdenken, die künstliche Intelligenz (KI) nutzen, um Ransomware in Echtzeit präzise zu erkennen und abzuwehren. Sie analysieren schneller als menschliche Operatoren Veränderungen in der typischen Schreib-Lese-Häufigkeit und ergreifen autonome Schutzmaßnahmen. Zum Beispiel bieten sie durch unveränderliche Backup-Snapshots, die Unbefugte nicht manipulieren können, schnelle Recovery-Möglichkeiten.

Verbesserte Sicherheitsfunktionen umfassen erweiterte Verschlüsselungsoptionen, einfaches Richtlinienmanagement und die Möglichkeit, eigene Schlüssel zu verwalten. Dies stärkt die Datensicherheit. Zentrale Plattformen für das Ransomware-Management erleichtern es zudem, Bedrohungen zu erkennen und abzuwehren. Disaster-Recovery-Funktionen tragen dazu bei, dass sich die Unternehmen nach einem Angriff schnell erholen und ihre Geschäftskontinuität wahren.

 

Fazit: Mehr als nur Compliance

Konsequent umgesetzt, fungiert die NIS2-Richtlinie als Katalysator für eine starke Cyberresilienz in Europa, welche den Schutz des eigentlichen Ziels einer Attacke, nämlich der Daten, in den Mittelpunkt stellt. Letztlich wird sich zeigen, dass die richtige Datenmanagement-Lösung nicht nur ein Compliance-Werkzeug, sondern auch ein strategischer Vorteil sein kann.“
 

 

(1) Im Bild: Ingo Kraft, Senior Strategic Partner Technical Lead, bei NetApp (Bildquelle: NetApp).

 

Querverweis:

Unser Blogpost > NIS-2 Richtlinie und Datenspeicher: Auf was Unternehmen achten sollten
Diesen Blogpost bei Apple Podcasts hören (7min.). Externer Link > https://podcasts.apple.com/de/podcast/nis-2-richtlinie-und-datenspeicher/id81294878?i=1000653593314

Unser Beitrag > Digitale Souveränität: Was können und sollten Cloud-Anbieter für Unternehmen leisten?

Unser Beitrag > Mit unveränderlichen Backups gegen interne Datenmanipulationen als unterschätzte Gefahr