NIS-2 Richtlinie: Unternehmen müssen von der Reaktion zur Aktion gelangen

Technische Anforderungen der NIS-2-Richtlinie alles Andere als eine leichte Übung zum Abhaken

[datensicherheit.de, 16.10.2024] Die NIS-2-Richtlinie der EU bringe nicht nur einen breiteren Anwendungsbereich und strengere Sicherheitsanforderungen mit sich, sondern zeuge auch von der Einführung einer neuen Denkweise in der Cyber-Sicherheit. „Während die NIS einen reaktiven Ansatz verfolgte, bei dem Unternehmen nach einem Sicherheitsvorfall bestraft wurden, geht die NIS-2 zu einem proaktiven Ansatz über“, erläutert Andy Norton, „European Cyber Risk Officer“ bei Armis, in seiner aktuellen Stellungnahme. Er unterstreicht: „Unternehmen werden für unzureichende Sicherheit bestraft, bevor es zu einer Sicherheitsverletzung kommt.“

Foto: Armis

Andy Norton gibt angesichts der NIS-2-Einführung zu bedenken: KRITIS-Betreiber können nicht absichern, was sie nicht sehen…

NIS-2 sollte eben nicht zum reinen Abhaken von Checklisten verkommen

Die technischen Anforderungen der NIS-2-Richtlinie seien alles Andere als eine leichte Übung zum Abhaken, aber sie müssten für KRITIS-Betreiber umsetzbar sein. Es gebe jedoch eine große Herausforderung, der sich die Unternehmen bewusst sein müssten – die Sichtbarkeit.

Es gebe nun eine Fülle von Ratschlägen für die Implementierung von NIS-2 und zahllose Anbieter, welche dabei helfen könnten. „Die Wahrheit ist jedoch, dass KRITIS-Betreiber nicht absichern können, was sie nicht sehen“, betont Norton. Unternehmen müssten daher über einen umfassenden Überblick über ihre Assets verfügen. Norton warnt: „Sonst verkommt NIS-2 zu einem reinen Abhaken von Checklisten!“

NIS-2 zwingt Unternehmen fortschrittliche Lösungen einzusetzen

Um sich auf NIS-2 vorzubereiten, müssten Unternehmen daher fortschrittliche Lösungen einsetzen, „welche ,Asset Intelligence’ in Echtzeit, Schwachstellen-Analysen, KI-gestützte Bedrohungserkennung und -behebung sowie kontextbezogene Informationen zu Vorfällen bieten“. Sicherheitsteams könnten dann fundierte Entscheidungen zum Risikomanagement treffen und zu einer vorwärts gerichteten Cyber-Sicherheit übergehen.

Norton führt abschließend aus: „Auf diese Weise können Unternehmen sicher sein, dass sie in Bezug auf die Einhaltung gesetzlicher Vorschriften oder Bedrohungsakteure nicht hinterherhinken, sondern die Problemstellen ausfindig machen und proaktiv beheben. Und zwar bevor es zu einem Vorfall kommt.“

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit