NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden

Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

[datensicherheit.de, 11.05.2024] Auch Peter Sandkuijl, „VP Sales Engineering EMEA“ bei Check Point Software„Die NIS-2 der Europäischen Union bringt eine Reihe von Cyber-Sicherheitsanforderungen mit, die für eine größere Anzahl von Betreibern Kritischer Infrastrukturen gelten. Sie erfordert die Umsetzung geeigneter Maßnahmen zur Absicherung ihrer Netzwerke und Informationssysteme. Alle 27 EU-Mitgliedsstaaten müssen diese neuen Verpflichtungen in ihre nationalen Gesetze aufnehmen und sie bis Oktober 2024 in Kraft setzen.

Foto: Check Point Software

Peter Sandkuijl: NIS-2 könnte in einigen Branchen tiefgreifende Auswirkungen u.a. auf die Unternehmenskultur, die Budgets und die Arbeitseinstellung von Mitarbeitern haben…

Aufgrund unzureichender Cyber-Sicherheitsmaßnahmen Geschädigte können rechtliche Schritte einleiten

Unternehmen, die unter die NIS-2 fallen, diese aber nicht einhalten, müssen nun ganz offensichtlich mit einer Reihe rechtlicher Konsequenzen rechnen: „Unter diese Verwaltungsstrafen fallen Geldbußen und andere Strafen, die denen der DSGVO ähneln.“ Darüber hinaus könne die Nichteinhaltung der Vorschriften dazu führen, dass Kunden oder andere Parteien, die aufgrund unzureichender Cyber-Sicherheitsmaßnahmen geschädigt wurden, eigene rechtliche Schritte einleiten.

Sandkuijl betont: „Um sicherzustellen, dass diese Strafandrohungen ernst genommen werden, ist in der Richtlinie eindeutig festgelegt, dass die Einhaltung der Vorschriften nachzuweisen und fehlendes Bewusstsein keine Entschuldigung ist.“ Letzteres werde vom IT-Manager über den „CISO“, den „DPO“ bis hin zum Vorstand wohl für entsprechendes Bewusstsein sorgen, „so dass sie entsprechende Maßnahmen ergreifen“. Die potenziellen Geldstrafen könnten darüber hinaus auch eine persönliche Haftung für „CEOs“ bedeuten – „was eine Premiere in der Cyber-Sicherheit darstellt“.

Von NIS-2 betroffene Organisationen benötigen zwingend eine Cyber-Sicherheitsstrategie

Sandkuijl ist überzeugt, dass die persönliche Haftung, Geldstrafen und die Verpflichtung, den Behörden jeden einzelnen Vorfall innerhalb von 24 Stunden zu melden, Auslöser für Verhaltensänderungen sein werden. Der Einfluss von externen Parteien auf die Dienstleistungen eines Unternehmens werde dazu führen, dass die gesamte Lieferkette unter die Lupe genommen werden müsse. „CEOs“ und andere Führungskräfte müssten eine Strategie für Dritte entwickeln, welche einen großen Einfluss auf Unternehmen weltweit haben werde – nicht nur auf Unternehmen in der EU.

Es gebe zwei Arten von NIS-2 betroffener Organisationen: „Diejenigen, die über eine Cyber-Sicherheitsstrategie verfügen, die die ,Business Continuity’ und die damit verbundenen Risiken berücksichtigt, werden nur wenig zusätzliche Arbeit haben.“ Auf der anderen Seite gebe es jedoch noch immer Organisationen ohne eine Cyber-Sicherheitsstrategie: „Sie haben möglicherweise noch einiges an Arbeit vor sich.“ Diese müssten ihre Cyber-Sicherheitslage bewerten und eine Risikoanalyse durchführen. Darüber hinaus müssten sie in „Security Awareness“-Trainings auf allen Ebenen investieren und technische Maßnahmen umsetzen. „All dies muss geschehen, bevor das Gesetz in Kraft tritt“, betont Sandkuijl.

NIS-2 beschreibt angemessenes Cyber-Schutzniveau – und lässt Raum für Auslegung

Er führt aus: „Das Problem ist, dass es sich um eine Leitlinie handelt, die weder eine Checkliste noch eine Reihe von Mindestanforderungen enthält. Sie beschreibt ein angemessenes Schutzniveau, das natürlich ausgelegt werden kann.“ Am besten sei es, zunächst die aktuelle Situation zu analysieren, einen Fahrplan mit klaren Zielen und Zeitvorgaben zu erstellen und dann loszulegen.

Dies werde sich auf die gesamte Organisation auswirken und könne in einigen Branchen tiefgreifende Auswirkungen auf die Unternehmenskultur, die Budgets, die Arbeitseinstellung von Mitarbeitern und vieles mehr haben. Zu den technischen Mindestanforderungen gehörten Firewall- und Intrusion-Prevention-Technologien, Endgeräteschutz, Mehrfaktor-Authentifizierungen, Datenverschlüsselung und Zugriffsbeschränkung sowie weitere bewährte Verfahren.

Weitere Informationen zum Thema:

CHECK POINT
What is the NIS2 Directive?

datensicherheit.de, 02.05.2024
NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit / Ari Albertini sieht Umsetzung der NIS-2-Richtlinie als notwendige, aber derzeit noch nicht hinreichende Maßnahme an

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

datensicherheit.de, 16.04.2024
NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos / Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben