5 Gründe, warum die Vorbereitung auf die NIS2-Richtlinie jetzt beginnen sollte, Teil eins: Audits brauchen Zeit
Sie haben wahrscheinlich von der aktualisierten Richtlinie der Europäischen Union zur Netz- und Informationssicherheit (NIS2) gehört. Diese Richtlinie wird im Oktober 2024 in aktives Recht umgesetzt. Sie sollten darauf vorbereitet sein, denn es drohen hohe Geldstrafen und Sanktionen bei Nichteinhaltung.
Aber Sie denken vielleicht, dass Oktober 2024 noch weit weg ist, oder?
Doch wie können Sie wissen, ob Sie genügend Zeit haben, sich vorzubereiten, wenn Sie nicht wissen, wie gut Sie die geplanten Vorschriften derzeit einhalten?
Zwischen jetzt und Oktober 2024 müssen Sie also Ihren aktuellen Cybersicherheitsstatus überprüfen. Konkret:
- Identifizieren Sie Lücken bei der Erfüllung der Anforderungen der NIS2-Richtlinie, und zwar ab sofort
- Überprüfen Sie Ihre aktuellen Sicherheitsmängel in der Lieferkette
Im zweiten Teil dieser Serie gehe ich auf die drei Bereiche ein, die Sie angehen müssen, um die Lücken zu schließen, die Ihre Audits aufdecken – einschließlich folgenden Dingen:
- Wie Sie das Management über Ihre Cybersicherheitslücken informieren.
- Wie Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen.
- Wie Sie Zeit finden, um alle Ihre Mitarbeitenden zu schulen.
1. Identifizieren Sie Lücken bei der Erfüllung der Anforderungen der NIS2-Richtlinie, und zwar ab sofort
Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit, die rechtliche Maßnahmen zur Steigerung des allgemeinen Niveaus der Cybersicherheit in der EU vorsieht. Sie modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und der sich entwickelnden Bedrohungslandschaft im Bereich der Cybersicherheit Schritt zu halten.
Die Richtlinie dehnt den Geltungsbereich der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen aus und verbessert die Widerstandsfähigkeit und Reaktionsfähigkeit öffentlicher und privater Einrichtungen, der zuständigen Behörden und der gesamten EU.
Die NIS2-Richtlinie skizziert verstärkte Maßnahmen zur Abwehr von Cyberangriffen, um Sicherheitslücken zu minimieren und die Cyberverteidigung zu verbessern.
Um die NIS2-Richtlinie einzuhalten, müssen Sie folgendes leisten:
- Bewerten Sie Ihre Cybersicherheitslage und identifizieren Sie alle Lücken oder Schwächen, die Sie Cyberrisiken aussetzen könnten.
- Gleichen Sie Ihre bestehenden Richtlinien, Verfahren und Kontrollen mit den Anforderungen der Richtlinie ab und sehen Sie, wo Sie sie verbessern oder aktualisieren müssen.
- Bewerten Sie Ihre Fähigkeiten zur Reaktion auf Vorfälle und Ihre Berichterstattungsmechanismen und stellen Sie sicher, dass diese mit den Standards der Richtlinie übereinstimmen.
Ein großes Problem mit der NIS2 ist, dass sie Ihnen sagt, was Sie tun sollen, aber nicht, wie Sie es tun sollen. Glücklicherweise gibt es mehrere Frameworks, die Ihnen beim Wie helfen können, darunter:
In Belgien hat die CCB ein Cyberfundamentals Framework geschaffen, das auf mehreren Frameworks basiert und Hinweise darauf enthält, wie sich die verschiedenen Teile der Frameworks auf die GDPR und NIS2 beziehen.
Nach der Auswahl des Frameworks müssen Sie Lücken in Bezug auf das gewählte Framework und die Anforderungen der Richtlinie identifizieren. Die Identifizierung von Lücken ist keine einfache oder schnelle Aufgabe. Sie erfordert eine gründliche und systematische Analyse des Reifegrads und der Bereitschaft Ihres Unternehmens in Sachen Cybersicherheit.
Sie müssen nicht nur Ihre Strategie und Richtlinien im Bereich Cybersicherheit überprüfen, sondern auch eine Risikoanalyse durchführen, um die kritischsten Assets und die von ihnen ausgehenden Cybersicherheitsrisiken zu ermitteln. Dann sollten Sie Sicherheitskontrollen in Betracht ziehen, um den Risikowert dieser wichtigen Assets zu senken.
Je früher Sie mit diesem Prozess beginnen, desto mehr Zeit haben Sie, um das Budget zu erhalten, das Sie benötigen, um alle Probleme zu lösen und alle notwendigen Änderungen umzusetzen.
Mögliche NIS2-Umgebungslücken
Einige mögliche Lücken, auf die Sie in Ihrer Umgebung stoßen könnten, sind:
- Fehlen einer umfassenden Cybersicherheitsstrategie oder -politik, die alle Aspekte des Risikomanagements, der Reaktion auf Vorfälle, der Geschäftskontinuität, des Datenschutzes usw. abdeckt.
- Fehlen eines speziellen Cybersecurity-Teams oder einer Funktion, das/die alle Cybersecurity-Aktivitäten und -Initiativen im gesamten Unternehmen beaufsichtigt, koordiniert und überwacht.
- Mangel an angemessenen Sicherheitskontrollen oder -maßnahmen zum Schutz Ihres Netzwerks und Ihrer Informationssysteme vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Veränderung oder Zerstörung.
- Fehlende regelmäßige Tests oder Audits Ihrer Sicherheitskontrollen oder -maßnahmen, um deren Effektivität und Übereinstimmung mit den Anforderungen der Richtlinie sicherzustellen.
- Mangel an angemessenen Schulungen oder Sensibilisierungsprogrammen für Ihre Mitarbeiter, das Management, andere Mitarbeitende oder andere Stakeholder zu Fragen der Cybersicherheit und bewährten Verfahren.
- Mangel an klaren Kommunikations- oder Meldekanälen für die Benachrichtigung der zuständigen Behörden oder Parteien über alle Vorfälle oder Verstöße, die Ihre Dienste betreffen.
Mögliche Sicherheitslösungen für Ihre Umgebung zur Einhaltung von NIS2
Um diese Sicherheitslücken zu erkennen und zu beheben, können Sie:
- Gap-Analyse-Frameworks oder -Modelle durchführen, die Ihnen helfen, Ihren aktuellen Zustand mit dem gewünschten Zustand zu vergleichen und Bereiche mit Verbesserungsbedarf zu identifizieren.
- Cybersecurity-Reifegradmodelle oder -Standards implementieren, die Ihnen helfen, Ihr Leistungsniveau und Ihren Fortschritt im Bereich Cybersecurity zu messen.
- Eine Risikobewertung durchführen, um Ihre Assets, Bedrohungen, Sicherheitslücken, Auswirkungen und Wahrscheinlichkeiten von Cyberangriffen zu ermitteln.
- Externe Audits oder Bewertungen beauftragen, die Ihnen helfen, Ihren Compliance-Status zu überprüfen und Schwachstellen oder Mängel zu identifizieren.
2. Überprüfen Sie die aktuellen Sicherheitsmängel in der Lieferkette mit genügend Zeit, um die Maßnahmen mit den Lieferanten zu koordinieren.
Die NIS2-Richtlinie führt auch neue Bestimmungen zur Sicherheit der Lieferkette ein (Kapitel 0, Punkt 54, 56) und berücksichtigt damit, dass Cyber-Bedrohungen auch von Drittanbietern oder Subunternehmern ausgehen können.
Die Richtlinie verlangt von Unternehmen, dass sie sicherstellen, dass ihre Lieferanten angemessene Sicherheitsstandards und -praktiken einhalten (Artikel 21-2d) und ihre Leistung und Einhaltung regelmäßig überwachen (Artikel 21-3).
Dies hat seinen Grund. Angriffe auf die Lieferkette sind auf dem Vormarsch:
In einer BlackBerry-Umfrage mit über 1500 IT-Entscheidungsträgern im Jahr 2022 gaben vier Fünftel der Befragten an, dass sie innerhalb eines Jahres von einem Angriff oder einer Sicherheitslücke in ihrer Lieferkette erfahren haben. Siebenundsiebzig Prozent gaben an, dass sie versteckte Teilnehmer in ihrer Software-Lieferkette aufgedeckt haben, die ihnen vorher nicht bekannt waren.
Untersuchungen von Accenture zeigen außerdem, dass 40 % der Sicherheitsverletzungen indirekt sind und über die Lieferkette erfolgen.
Daher ist die Sicherung Ihrer Lieferkette essentiell, um die Kontinuität Ihres Unternehmens, Ihre Widerstandsfähigkeit, Ihren Ruf und Ihr Vertrauen zu gewährleisten.
Aber in Ivantis Press Reset: A 2023 Cybersecurity Status Report haben wir herausgefunden, dass nur 42 % der über 1.300 befragten Führungskräfte und Sicherheitsexperten angaben, dass sie auf den Schutz vor Bedrohungen in der Lieferkette vorbereitet sind, obwohl 46 % dies als eine Bedrohung ersten Ranges bezeichnen.
Bedrohungen der Lieferkette kommen nicht nur durch Angriffe auf Lösungsanbieter wie Okta, Kaseya oder SolarWinds, sondern auch durch Partner, die entweder direkt mit Ihrer IT-Infrastruktur verbunden sind oder sich in diese einloggen können.
Und vergessen Sie nicht die Angriffe auf Ihre Ressourcenlieferanten, die diese lahmlegen könnten, so dass sie bestimmte Ressourcen, die Sie für Ihre eigenen Operationen benötigen, nicht mehr liefern können. Sie müssen darauf vorbereitet sein und über Ersatzanbieter verfügen, die diese Ressourcen liefern können, wenn Ihr Hauptlieferant aufgrund eines Cyberangriffs oder aus anderen Gründen ausfällt.
Die Sicherheit der Lieferkette ist ein komplexes und anspruchsvolles Thema, das zahlreiche Akteure, Abhängigkeiten und Verbindungen umfasst - und nicht von heute auf morgen erreicht werden kann.
Sie müssen:
- Klare und transparente Kommunikationskanäle mit Ihren Lieferanten schaffen und Ihre Erwartungen und Verpflichtungen bezüglich der Cybersicherheit definieren.
- Regelmäßige Audits und Bewertungen der Sicherheitspraktiken Ihrer Lieferanten durchführen und sich vergewissern, dass diese die Anforderungen der Richtlinie erfüllen.
- Notfallpläne und Backup-Lösungen für den Fall einer Unterbrechung oder Beeinträchtigung Ihrer Lieferkette etablieren.
Außerdem müssen Sie so bald wie möglich mit Ihren Lieferanten ins Gespräch kommen und mit ihnen zusammenarbeiten, um sicherzustellen, dass Ihre Lieferkette sicher und widerstandsfähig ist.
Herausforderungen für die Sicherheit der Lieferkette bei NIS2
Einige mögliche Herausforderungen, denen Sie bei der Sicherung Ihrer Lieferkette begegnen können, sind:
- Mangelnde Sichtbarkeit oder Transparenz in Bezug auf die Sicherheitspraktiken, Richtlinien oder Vorfälle Ihrer Lieferanten.
- Mangelnde Sichtbarkeit oder Transparenz in Bezug auf die Sicherheitspraktiken, Richtlinien oder Probleme bei Ihren Lieferanten.
- Mangelnde Konsistenz oder Angleichung von Sicherheitsstandards, Anforderungen oder Erwartungen innerhalb Ihrer Lieferkette.
- Mangel an Ressourcen oder Fähigkeiten, um die Sicherheitsleistung oder -einhaltung Ihrer Lieferanten zu überwachen, zu prüfen oder zu verifizieren.
- Fehlen von Notfallplänen oder Backup-Lösungen, um Unterbrechungen oder Beeinträchtigungen Ihrer Lieferkette abzumildern oder zu beheben.
- Mangel an Informationen darüber, was Sie von den Sicherheitspraktiken Ihres Lieferanten erwarten.
Lösungen für die Sicherheit der Lieferkette bei NIS2
Um diese Herausforderungen in der Lieferkette zu meistern, können folgendes tun:
- Schließen Sie klare Verträge oder Vereinbarungen mit Ihren Lieferanten ab, die deren Sicherheitsverpflichtungen, Verantwortlichkeiten und Haftungen festlegen.
- Entwickeln Sie gemeinsame Sicherheitskriterien, Richtlinien oder Rahmenwerke, die für alle Lieferanten in Ihrer Lieferkette gelten und mit den Anforderungen der Richtlinie übereinstimmen.
- Implementieren Sie Sicherheitskontrollen, -maßnahmen oder -tools, die es Ihnen ermöglichen, die Sicherheitsaktivitäten, Vorfälle oder den Compliance-Status Ihrer Lieferanten zu verfolgen, zu überwachen oder zu überprüfen.
- Schaffen Sie gemeinsame Sicherheitsteams, Ausschüsse oder Foren, die den Informationsaustausch, die Zusammenarbeit und die Koordination zwischen Ihren Lieferanten oder zwischen Ihnen und Ihren Lieferanten erleichtern.
- Bauen Sie Vertrauen und gegenseitiges Verständnis mit Ihren Lieferanten durch regelmäßige Kommunikation, Feedback und Anerkennung auf.
Wenn die Prüfungen der NIS2-Richtlinie abgeschlossen sind, was nun?
Nachdem Sie nun festgestellt haben, wo Sie in Bezug auf die NIS2-Richtlinie stehen, ist es an der Zeit, wichtige Änderungen vorzunehmen, um die Einhaltung bis Oktober 2024 sicherzustellen. Ich bin mir sicher, dass Sie für die Beseitigung der Lücken, die Sie bei Ihren Audits festgestellt haben, alle Zeit brauchen werden, die Sie haben – und noch etwas mehr! – bevor die Vorschriften in Ihrem Land offiziell umgesetzt werden.
Aber wie können Sie diese Lücken systematisch und zeitnah schließen? Wir besprechen die drei Bereiche der Sicherheitsänderungen, die Sie für NIS2 benötigen, in unserem nächsten Blog-Beitrag, in dem wir untersuchen:
- Wie Sie das Management über Ihre Cybersicherheitslücken informieren.
- Wie Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen.
- Wie Sie Zeit finden, um alle Ihre Mitarbeitenden zu schulen.