Die NIS2 bringt nicht nur einen breiteren Anwendungsbereich und strengere Sicherheitsanforderungen mit sich, sondern auch eine neue Denkweise in der Cybersicherheit. Während die NIS einen reaktiven Ansatz verfolgte, bei dem Unternehmen nach einem Sicherheitsvorfall bestraft wurden, geht die NIS2 zu einem proaktiven Ansatz über. Unternehmen werden für unzureichende Sicherheit bestraft, bevor es zu einer Sicherheitsverletzung kommt.
Von Andy Norton, European Cyber Risk Officer bei Armis.
Die technischen Anforderungen der NIS2 sind alles andere als eine leichte Übung zum Abhaken, aber sie müssen für KRITIS-Betreiber umsetzbar sein. Es gibt jedoch eine große Herausforderung, der sich die Unternehmen bewusst sein müssen: die Sichtbarkeit. Es gibt eine Fülle von Ratschlägen für die Implementierung von NIS2 und zahllose Anbieter, die dabei helfen können.
Die Wahrheit ist jedoch, dass KRITIS-Betreiber nicht absichern können, was sie nicht sehen. Unternehmen müssen über einen umfassenden Überblick über ihre Assets verfügen. Sonst verkommt NIS2 zu einem reinen Abhaken von Checklisten.
Um sich auf NIS2 vorzubereiten, müssen Unternehmen daher fortschrittliche Lösungen einsetzen, die Asset Intelligence in Echtzeit, Schwachstellenanalysen, KI-gestützte Bedrohungserkennung und -behebung sowie kontextbezogene Informationen zu Vorfällen bieten. Sicherheitsteams können dann fundierte Entscheidungen zum Risikomanagement treffen und zu einer vorwärts gerichteten Cybersicherheit übergehen.
Auf diese Weise können Unternehmen sicher sein, dass sie in Bezug auf die Einhaltung gesetzlicher Vorschriften oder Bedrohungsakteure nicht hinterherhinken, sondern die Problemstellen ausfindig machen und proaktiv beheben. Und zwar bevor es zu einem Vorfall kommt.