[datensicherheit.de, 16.10.2024] Die NIS-2-Richtlinie der EU bringe nicht nur einen breiteren Anwendungsbereich und strengere Sicherheitsanforderungen mit sich, sondern zeuge auch von der Einführung einer neuen Denkweise in der Cyber-Sicherheit. „Während die NIS einen reaktiven Ansatz verfolgte, bei dem Unternehmen nach einem Sicherheitsvorfall bestraft wurden, geht die NIS-2 zu einem proaktiven Ansatz über“, erläutert Andy Norton, „European Cyber Risk Officer“ bei Armis, in seiner aktuellen Stellungnahme. Er unterstreicht: „Unternehmen werden für unzureichende Sicherheit bestraft, bevor es zu einer Sicherheitsverletzung kommt.“

Foto: Armis

Andy Norton gibt angesichts der NIS-2-Einführung zu bedenken: KRITIS-Betreiber können nicht absichern, was sie nicht sehen…

NIS-2 sollte eben nicht zum reinen Abhaken von Checklisten verkommen

Die technischen Anforderungen der NIS-2-Richtlinie seien alles Andere als eine leichte Übung zum Abhaken, aber sie müssten für KRITIS-Betreiber umsetzbar sein. Es gebe jedoch eine große Herausforderung, der sich die Unternehmen bewusst sein müssten – die Sichtbarkeit.

Es gebe nun eine Fülle von Ratschlägen für die Implementierung von NIS-2 und zahllose Anbieter, welche dabei helfen könnten. „Die Wahrheit ist jedoch, dass KRITIS-Betreiber nicht absichern können, was sie nicht sehen“, betont Norton. Unternehmen müssten daher über einen umfassenden Überblick über ihre Assets verfügen. Norton warnt: „Sonst verkommt NIS-2 zu einem reinen Abhaken von Checklisten!“

NIS-2 zwingt Unternehmen fortschrittliche Lösungen einzusetzen

Um sich auf NIS-2 vorzubereiten, müssten Unternehmen daher fortschrittliche Lösungen einsetzen, „welche ,Asset Intelligence’ in Echtzeit, Schwachstellen-Analysen, KI-gestützte Bedrohungserkennung und -behebung sowie kontextbezogene Informationen zu Vorfällen bieten“. Sicherheitsteams könnten dann fundierte Entscheidungen zum Risikomanagement treffen und zu einer vorwärts gerichteten Cyber-Sicherheit übergehen.

Norton führt abschließend aus: „Auf diese Weise können Unternehmen sicher sein, dass sie in Bezug auf die Einhaltung gesetzlicher Vorschriften oder Bedrohungsakteure nicht hinterherhinken, sondern die Problemstellen ausfindig machen und proaktiv beheben. Und zwar bevor es zu einem Vorfall kommt.“

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

[datensicherheit.de, 14.10.2024] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, veranstaltet am 16. Oktober 2024 in Berlin im BfDI-Verbindungsbüro am Spittelmarkt das diesjährige „Politische Herbstforum“: Unter dem Titel „Daten im Dienst der Patienten“ soll demnach die Vereinbarkeit von Datennutzung und Datenschutz in der Medizin mit einem inhaltlichen Schwerpunkt auf der Elektronische Patientenakte (ePA) das Thema sein.

Foto: BfDI/DH

Prof. Dr. Louisa Specht-Riemenschneider lädt zur Diskussion nach Berlin ein

Impulsvortrag aus österreichischer Sicht und Experten-Diskussion der BfDI

Den Diskussionsabend werde Dr. Franz Leisch mit seinem Impulsvortrag „Die Digitalisierung des Gesundheitswesens in Österreich am Beispiel der elektronischen Gesundheitsakte ELGA – Wo stehen und wie diskutieren unsere Nachbarn?“ eröffnen.

Anschließend sei eine Diskussion der BfDI geplant mit Prof. Dr. Eva Winkler (Vorsitzende der Zentralen Ethikkommission bei der Bundesärztekammer), Dr. Florian Hartge (Geschäftsführer der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) und Michaela Schröder (Verbraucherzentrale Bundesverband, zuständig u.a. für die Bereiche „Digitales“ und „Gesundheit“), wie die Vereinbarkeit von Datennutzung und Datenschutz im Gesundheitswesen aussehen kann.

Politisches Herbstforum 2024 der BfDI: „Daten im Dienst der Patienten“

Präsenzveranstaltung
Mittwoch, 16. Oktober 2024, 19.00 bis 21.00 Uhr, danach „Get-Together“
Verbindungsbüro Berlin der BfDI
Spittelmarkt 11 in 10117 Berlin
Anmeldung erforderlich. Die Veranstaltung soll auch im BfDI-Livestream zu verfolgen sein.

Weitere Informationen zum Thema und Anmeldung:

BfDI Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Politisches Herbstforum der BfDI / – Vorläufiger Ablaufplan –

[datensicherheit.de, 30.09.2024] Ein erstes Gesetz zur CyberSecurity innerhalb der Europäischen Union (EU), die sogenannte NIS Directive, wurde im Jahr 2016 in Kraft gesetzt und sollte für ein höheres und ausgeweitetes Niveau von Cyber-Sicherheit in Netzwerken und Informationssystemen sorgen. „Die NIS-Direktive sollte zunächst für die Bereiche Gesundheitssystem, Transport, Banken und Finanzmarkt, digitale Infrastruktur, Wasserversorgung, Energie sowie Anbieter von digitalen Dienstleistungen gelten“, erläutert Holger Fischer, „Director EMEA Central“ bei OPSWAT, in seiner aktuellen Stellungnahme und beschreibt die oft noch „holprige Realisierung der NIS2-Vorgaben“ und die dahinterstehenden Ziele. Diese NIS-Direktive habe insbesondere darauf abgezielt, ein hohes gemeinsames Niveau an CyberSecurity in allen Mitgliedstaaten der EU zu erreichen. Während sie zunächst die Fähigkeiten der Mitgliedsstaaten in Fragen der Cyber-Sicherheit habe verbessern können, habe sich jedoch ihre Umsetzung „insgesamt als schwierig“ erwiesen. Anstatt zu der angestrebten Vereinheitlichung sei es in der Praxis zu einer Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes gekommen.

Foto: OPSWAT

Holger Fischer: NIS-2 soll Art und Weise, wie die EU groß angelegte Sicherheitsvorfälle und -krisen verhindert, bewältigt und darauf reagiert, verbessern

Ersatz der alten NIS-Richtlinie, um damit Cyber-Sicherheitsanforderungen zu verstärken

Fischer führt weiter aus: „Im Dezember 2020 reagierte die EU-Kommission auf diese Situation mit einem neuen Vorschlag, der dann zur NIS-2-Richtlinie führte. Um auf die wachsenden Bedrohungen durch die Digitalisierung und die Zunahme von Cyber-Angriffen entschiedener reagieren zu können, wurde dann ein Entwurf vorgelegt, der die alte NIS-Richtlinie ersetzen und damit die Sicherheitsanforderungen verstärken sollte.“

NIS-2 ziele insbesondere darauf ab, die Sicherheit der Lieferketten zu verbessern, die Meldepflichten zu vereinfachen und strengere Aufsichtsmaßnahmen und Anforderungen zur Durchsetzung in der EU einzuführen, einschließlich EU-weit harmonisierter Sanktionen. Der erweiterte Geltungsbereichs von NIS-2, durch welchen nun mehr Unternehmen und Sektoren effektiv verpflichtet würden, entsprechende Maßnahmen zu ergreifen, sollte dazu beitragen, das Niveau der CyberSecurity im europäischen Geltungsbereich effektiv zu erhöhen.

Mit NIS-2 seien folgende Geltungsbereiche hinzugekommen: Provider von Netzwerken und Rechenzentren, Abfallkontrolle und -vernichtung, Raumfahrt, Produktion von Medikamenten und chemischen Stoffen, Dienstleistungen im Post- und Kurierbereich, Ernährungssysteme sowie öffentliche Verwaltung.

NIS-2-Richtlinie: Aspekte der praktischen Umsetzung

Mit ihren ausgeweiteten und strengeren Anforderungen verfolge die NIS-2-Richtlinie einen besonderen Ansatz zum Risikomanagement. Unternehmen müssten nun Kritische Systeme identifizieren, bei denen Cyber-Attacken einen besonderen Schaden anrichten könnten. „Sie sollen sich insbesondere darauf konzentrieren, in solchen Bereichen zusätzliche Sicherheitsmaßnahmen zu ergreifen, um Risiken zu reduzieren und die Möglichkeiten für angemessene Reaktionen zu erhöhen“, so Fischer.

Die NIS-2-Richtlinie betone ferner die Bedeutung von Maßnahmen zum Schutz der Sicherheit in der gesamten Lieferkette von Unternehmen: „Sie sollen zum Beispiel solche Sicherheitskontrollen in Betracht ziehen, die den externen Zugriff auf sensible Systeme und Informationen durch Dritte einschränken beziehungsweise verhindern. Außerdem soll sichergestellt werden, dass alle erforderlichen Sicherheitsstandards erfüllt werden, bevor man digitale Verbindungen mit anderen Unternehmen und Personen einrichtet.“

Zu den Maßnahmen, auf die größeres Gewicht gelegt werden sollte, gehörten zum Beispiel strengere Zugriffskontrollen, Multi-Faktor-Authentifizierung (MFA) und ausgeweitete Richtlinien für Passwörter. Organisationen müssten außerdem über strenge Patch-Prozesse verfügen, um sicherzustellen, „dass regelmäßige Scans auf Schwachstellen durchgeführt und neue Patches umgehend angewendet werden“.

OT-Betreiber durch NIS-2 besonders herausgefordert

Betreiber von Infrastrukturen für sogenannte Operational Technology (OT), wie zum Beispiel Hersteller, Energieerzeuger und -verteiler, sollten sicherstellen, „dass intelligente Fertigungs- und Steuergeräte angemessen segmentiert und vor unbefugtem Zugriff geschützt sind“. Darüber hinaus müssten sie sich vor dem Risiko schützen, dass eingebetteter Code in diesen Geräten durch gezielte Malware kompromittiert wird, welche zum Beispiel über kompromittierte Firmware-Updates in ihre OT-Netzwerke eindringen könnte.

Fischer betont: „Sobald der Zugang, die Systeme und die Infrastruktur abgesichert sind, sollte die Aufmerksamkeit auf die Sicherung der Daten ausgerichtet werden, die in die Organisation ein- und aus ihr herausfließen. Viele Organisationen übersehen diesen Sicherheitsschritt oder setzen ihn nicht effektiv um.“

Das Scannen der zwischen Mitgliedern der digitalen Lieferkette und Kunden übertragenen Dateien könne dann versteckte bösartige Nutzlasten aufdecken. Techniken wie „Content Disarm and Reconstruction“ (CDR) seien in der Lage, besondere Bedrohungen zu erkennen und sie zu entfernen. Dateien müssten untersucht und bereinigt werden, „bevor sie verarbeitet und gespeichert werden“.

NIS-2 verfolgt drei prinzipielle Ziele:

• 1. NIS-2-Ziel: Erhöhung der Cyber-Resilienz einer umfassenden Gruppe von Unternehmen, welche in der EU in allen relevanten Sektoren tätig sind
  „Dazu werden neue Regeln eingeführt, die sicherstellen sollen, dass alle öffentlichen und privaten Einrichtungen im gesamten Binnenmarkt, die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen, angemessene Maßnahmen zur CyberSecurity ergreifen.“
  Dies geschiehe auch dadurch, dass der Anwendungsbereich der Richtlinie auf weitere Sektoren wie zum Beispiel Telekommunikation, Social-Media-Plattformen und die öffentliche Verwaltung erweitert werde. So werde festgelegt, dass alle mittleren und großen in den von NIS-2 abgedeckten Sektoren tätigen Unternehmen die Sicherheitsvorschriften einhalten müssten. Die Möglichkeit für die Mitgliedsstaaten der EU, Anforderungen in bestimmten Fällen an staatliche Besonderheiten anzupassen, werde abgeschafft. „Dies hatte bei der Umsetzung von NIS-1 zu einer starken Fragmentierung zwischen den verschiedenen Mitgliedsstaaten geführt.“

• 2. NIS-2-Ziel: Die Verringerung der Inkonsistenzen zwischen den Staaten im gesamten EU-Binnenmarkt wird stärker betont
  „Dazu werden der De-facto-Geltungsbereich, die Anforderungen an die Sicherheits- und Schadensberichterstattung sowie die Bestimmungen über die nationale Aufsicht und Durchsetzung der Regeln aneinander angeglichen.“ Außerdem seien die grundsätzlichen Fähigkeiten der zuständigen Behörden der Mitgliedsstaaten weiter vereinheitlicht worden. NIS-2 enthalte eine Liste von sieben Schlüsselelementen, welche alle Unternehmen im Rahmen der von ihnen ergriffenen Maßnahmen berücksichtigen und umsetzen müssten:
  Dazu gehörten zum Beispiel die Reaktion auf Vorfälle, die Sicherheit von Lieferketten sowie die Offenlegung von Schwachstellen. Darüber hinaus sei eine Mindestliste von Verwaltungssanktionen festgelegt worden, welche immer dann verhängt werden sollten, „wenn Unternehmen gegen die Vorschriften zum Risikomanagement im Bereich der CyberSecurity oder gegen ihre in der NIS-2-Richtlinie festgelegten Meldepflichten verstoßen“.

• 3. NIS-2-Ziel: Die Fähigkeiten zur Vorbereitung und Reaktion der zuständigen Behörden sollen durch Maßnahmen zur Stärkung des Vertrauens zwischen den verschiedenen Instanzen erhöht werden
  Außerdem solle der Austausch von Informationen und die Festlegung von Regeln und Verfahren für den Fall von besonderen Ereignissen verbessert werden. Die neuen Regelungen sollten die Art und Weise, „wie die EU groß angelegte Sicherheitsvorfälle und -krisen verhindert, bewältigt und darauf reagiert“, verbessern.
  Dazu sollten klare Verantwortlichkeiten, eine angemessene Planung und eine verstärkte Zusammenarbeit in der EU eingeführt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

datensicherheit.de, 12.09.2024
NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden / NIS-2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur

[datensicherheit.de, 25.09.2024] Unternehmen müssen zwingend ihre IT sichern, bevor sie eine Cyber-Versicherung abschließen können. Die Versicherer prüfen IT-Sicherheit oft kostenlos bei Anfragen. Indes gilt es zu beachten, dass sich bei neuen Verträgen aktuell die Bedingungen offenbar verschärfen. Die Versicherer fordern demnach zunehmend, dass Unternehmen Mindeststandards einhalten. Diese variierten je nach Branche und Unternehmensgröße – Finanzchef24 beobachtet nach eigenen Angaben diese Entwicklung und erklärt in einer Stellungnahme aktuelle Trends.

Foto: Finanzchef24

Payam Rezvanian rät Unternehmen zu einem kostenlosen IT-Check, mit dem Versicherer Firmen bei der Cyber-Sicherheit helfen können

Angebotsanfrage für Cyber-Versicherung kann Unternehmen wertvolle Hinweise auf IT-Sicherheitslücken bieten

„Durch eine Angebotsanfrage zur Cyber-Versicherung erhalten Unternehmen oft wertvolle Hinweise auf ihre IT-Sicherheitslücken und können so ihre Schutzmaßnahmen bereits in der Angebotsphase verbessern“, erläutert Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24. Viele Versicherer scannten die IT kostenlos bei der ersten Anfrage und zeigten mögliche Schwachstellen auf. „Es handelt sich sozusagen um einen kostenlosen IT-Check, mit dem Versicherer Firmen bei der Cyber-Sicherheit helfen.“

Über eine derartige Anfrage erhalte das Unternehmen quasi eine zweite Meinung zur IT-Sicherheit und könne diese an den zuständigen IT-Dienstleister weitergeben. „Je besser ein Unternehmen seine IT schützt, desto eher erhält es eine Cyber-Versicherung.“ Diese decke dann das Restrisiko ab, sollte es zum Schaden kommen. „Die Schadenswahrscheinlichkeit hat jedoch im Gegenzug bereits abgenommen, weil die Unternehmen ihre IT zuvor für die Versicherung auf Vordermann gebracht haben. Vom doppelten Schutz profitieren Unternehmer und Versicherer gleichermaßen“, so Rezvanian.

Foto: Finanzchef24

Frank Gottheil: Unternehmen sollten die vom Versicherer angebotenen Änderungen der Vertragsbedingungen regelmäßig überprüfen!

Cyber-Versicherer verändern ihre Bedingungen bei Neuverträgen

„Weil die Cyber-Attacken zunehmen, verändern Versicherer fortlaufend die Bedingungen für Cyber-Versicherungen bei Neuverträgen“, berichtet Frank Gottheil, auf Cyber-Versicherungen spezialisierter „Senior Firmenkundenberater“ bei Finanzchef24. Versicherer zahlten oft kein Lösegeld mehr oder begrenzten die Summe – dies entspreche nicht immer den Erwartungen der Kunden.

Einige Versicherer zögen sich sogar komplett aus diesem Geschäft zurück und kündigten bestehende Cyber-Verträge zur nächsten Möglichkeit. „Deshalb raten wir Unternehmen, auf Veränderungen zu achten und die vom Versicherer angebotenen Änderungen der Vertragsbedingungen regelmäßig zu überprüfen. Aufrüsten lohnt sich“, so Gottheils Fazit.

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen

datensicherheit.de, 11.11.2022
Cyber-Versicherungen decken kritische Risiken immer seltener ab / Geschäftsführung und Vorstand drängen indes immer häufiger auf den Abschluss einer Cyber-Versicherung

[datensicherheit.de, 28.08.2024] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat nach eigenen Angaben im August 2024 eine Informationskampagne für rheinland-pfälzische Online-Shops gestartet: „Mehr als 100 Unternehmen wurden zuvor im Rahmen einer Stichprobe auf das Vorhandensein von Gastzugängen in ihren Online-Shops hin überprüft. 13 Unternehmen, bei denen der Landesbeauftragte Mängel feststellte, wurden mit Informationsschreiben auf die Notwendigkeit der Bereitstellung von Gastzugängen für den Bestellprozess hingewiesen.“ Ziel sei die Sensibilisierung der Verantwortlichen und die Verringerung datenschutzrechtlicher Verstöße in diesem Bereich.

Abbildung: DSK

DSK: Auch im Online-Handel gilt der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c) DS-GVO)!

Kunden sollen frei entscheiden können, ob sie ihre Daten beim Online-Shop hinterlegen!

In vielen Online-Shops ist es gängige Praxis, für Bestellungen ein Kundenkonto anzulegen, welches dann über den einzelnen Kauf hinaus bestehen bleibt. Diese Erstellung eines Kundenkontos kann durchaus mit Vorteilen für den Kunden einhergehen – so ist beispielsweise das weitere Bestellen ohne nochmalige Eingabe aller Daten möglich, bisherige Bestellungen können eingesehen, Bestell- und Lieferstatus können bequem überprüft und favorisierte Artikel abgespeichert werden. Nicht immer möchten Kunden jedoch eine derartige dauerhafte Geschäftsbeziehung eingehen.

„Kundinnen und Kunden müssen frei entscheiden können, ob sie ihre Daten beim Online-Shop hinterlegen möchten oder nicht. Die Möglichkeit der sogenannten Gastbestellung muss beim Einkauf im Internet deshalb immer eine gleichwertige Alternative sein“, betont daher Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.

Gastzugänge: Pflicht zum Angebot in Datenschutz-Grundverordnung verankert

Er berichtet: „Erfreulich ist, dass nur rund jeder zehnte der in unserer Stichprobe überprüften Online-Shops hier Mängel aufwies. Es zeigt, dass die Unternehmen in Rheinland-Pfalz das Prinzip der Datensparsamkeit grundsätzlich befolgen.“ Mit seiner Kampagne möchte der LfDI RLP demnach nun das Erfordernis der Einrichtung von Gastzugängen auch für die weiteren Anbieter von Online-Shops in Rheinland-Pfalz klarstellen. Professor Kugelmann kommentiert: „Im Kern geht es um die Sicherung der Entscheidungsfreiheit in der digitalen Welt!“

Die Pflicht zum Angebot von Gastzugängen für Online-Bestellungen ergibt sich laut LfDI RLP „aus den Artikeln 5 und 6 der Datenschutz-Grundverordnung“ (DSGVO). Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit könne Verstöße ahnden, Anordnungen treffen und in schwerwiegenden Fällen Geldbußen gegen die Verantwortlichen verhängen.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang (Stand 24. März 2022)

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Gastbestellungen in Online-Shops

[datensicherheit.de, 23.08.2024] Die deutsche Bundesregierung hat die Weichen für die nationale Umsetzung der NIS-2-Richtlinie der EU gestellt: Das Bundeskabinett hat sich auf einen Gesetzentwurf geeinigt, der nun durch vom Bundestag verabschiedet werden muss. „Es ist somit höchste Zeit sich mit den Anforderungen zu beschäftigen!“ Der IT-Sicherheitshersteller ESET hat hierzu ein neues Whitepaper zur NIS-2-Richtlinie veröffentlicht: „Der Countdown läuft: Wie Sie das Bewusstsein und die Umsetzung bei Führungskräften fördern“ soll IT-Sicherheitsverantwortlichen das richtige Handwerkszeug für die Kommunikation mit der Geschäftsführung bieten. „Sie erhalten hier nützliche Ratschläge, wie sie die Umsetzung der Richtlinie mit der Führungsebene kommunizieren und ihre Einhaltung durchsetzen. Das Whitepaper ist kostenlos zum Download verfügbar.“

Abbildung: eseT

eseT-Whitepaper zu NIS-2: CISO-Argumentationshilfen zur Chefsache…

NIS-2-Richtlinie als Chance für Unternehmen, ihre Cyber-Sicherheitsstrategien zu stärken und digitale Resilienz zu erhöhen

„Die NIS-2-Richtlinie bietet Unternehmen die Chance, ihre Cyber-Sicherheitsstrategien zu stärken und ihre digitale Resilienz zu erhöhen“, erläutert Phil Muncaster, Autor des Whitepapers. Führungskräfte müssten den durch Einhaltung der NIS-2-Richtlinie entstehenden Mehrwert erkennen und aktiv Maßnahmen ergreifen, um ihre Organisationen zu schützen.

Die NIS-2-Richtlinie umfasse ein breiteres Spektrum an Sektoren und führe strengere Sicherheitsanforderungen ein. Unternehmen müssten nun zehn vorgeschriebene Basissicherheitsmaßnahmen umsetzen und Vorfälle innerhalb von 24 Stunden melden. Bei grober Fahrlässigkeit könnten Führungskräfte persönlich haftbar gemacht werden. Die Strafen für Unternehmen könnten drastisch ausfallen: „Bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen bei Vorfällen in wesentlichen Unternehmen.“

Bedeutung der Cyber-Sicherheit für den Unternehmenserfolg anhand der NIS-2-Richtlinie verdeutlichen

Die Bedeutung der Cyber-Sicherheit für den Unternehmenserfolg rücke immer mehr in das Bewusstsein der Managementebene. „CISOs“ sollten die Sprache der unternehmerischen Risiken sprechen und konkrete, anschauliche Beispiele nutzen, um Geschäftsführer zu überzeugen. Dies sei in vielen Fällen keine leichte Aufgabe: „Laut Studien besitzen nur fünf Prozent der europäischen Führungskräfte Erfahrung im Bereich IT-Sicherheit.“

Das vorliegende Whitepaper gebe deshalb wertvolle Ratschläge, „wie die Kommunikation mit Geschäftsführern und Vorständen aussehen kann“. Von der richtigen Sprache, der passenden Argumentationsstruktur bis hin zu einer Risikoanalyse: IT-Sicherheitsverantwortliche erhielten das geeignete Rüstzeug, um die Unternehmensleitung zu überzeugen.

Planung eines NIS-2-Compliance-Programms

Muncaster führt weiter aus: „Die richtigen Worte bei der Geschäftsführung zu finden, ist der erste Schritt. Sobald die Finanzierung eines NIS-2-Compliance-Programms beschlossen ist, gilt es das Projekt in die Tat umzusetzen.“ Das Whitepaper biete deshalb einen Leitfaden zur Planung eines solchen Programms.

Dazu gehörten die Durchführung einer GAP-Analyse, die Planung von Schulungen und Sensibilisierungsmaßnahmen sowie die Prüfung staatlicher Beihilfen zur Finanzierung der Compliance-Maßnahmen. Unternehmen sollten die Einhaltung der NIS-2-Richtlinie als Chance begreifen, um ihre Digitale Transformation und ihr Wachstum voranzutreiben.

Cyber-Resilienz in der EU soll durch NIS-2 gestärkt werden – höchste Zeit zum Handeln

Die NIS-2-Richtlinie sei entwickelt worden, um die Cyber-Resilienz in der EU zu stärken und Unternehmen dazu zu verpflichten, angemessene Sicherheitsmaßnahmen zu ergreifen.

„CISOs“ müssen nun die Führungsebenen von der Tragweite der NIS-2-Compliance überzeugen und sicherstellen, dass das jeweilige Unternehmen die Vorschriften einhält. „Das Whitepaper von ESET bietet wertvolle Einblicke und praktische Ratschläge, um Unternehmen auf diesem Weg zu unterstützen.“

Weitere Informationen zum Thema:

eseT
NIS2 wird Chefsache / Wie Sie Führungskräfte informieren und Ihr Unternehmen NIS2-READY machen

HEIDRICK & STRUGGLES, Alice Breeden & Sylvain Dhenin & Imke Lampe & Claire Skinner & Dr. Nicolas von Rosty
Board Monitor Europe 2022

datensicherheit.de, 22.08.2024
NIS-2-Richtlinie: Drängende Herausforderung für mehr Cyber-Sicherheit in der EU / Die NIS-2-Richtlinie der EU zielt darauf ab, die Cyber-Resilienz Kritischer Infrastrukturen zu stärken

datensicherheit.de, 25.07.2024
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen / Der Verband der Internetwirtschaft fordert Verlängerung der NIS-2-Umsetzungsfristen

datensicherheit.de, 11.07.2024
NIS-2: Europäisches Parlament verpflicht Unternehmen zum sorgfältigen Störungsmanagement / Nur wer jetzt vorausschauend plant und die NIS-2-Vorgaben umsetzt, wird langfristig auf der sicheren Seite stehen

datensicherheit.de, 03.07.2024
EU-Richtlinie NIS-2: Dirk Wockes Empfehlungen zur Zusammenstellung der eigenen Task Force / Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden, ist es entscheidend, rechtzeitig ein Kernteam für Sicherheitsbelange zu bestimmen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung