Die NIS2 der Europäischen Union bringt eine Reihe von Cybersicherheitsanforderungen mit sich, die für eine größere Anzahl von Betreibern kritischer Infrastrukturen gelten. Sie erfordert die Umsetzung geeigneter Maßnahmen zur Absicherung ihrer Netzwerke und Informationssysteme. Alle 27 EU-Mitgliedsstaaten müssen diese neuen Verpflichtungen in ihre nationalen Gesetze aufnehmen und sie bis Oktober 2024 in Kraft setzen.
Von Peter Sandkuijl, VP Sales Engineering EMEA bei Check Point.
Unternehmen, die unter die NIS2 fallen, diese aber nicht einhalten, müssen mit rechtlichen Konsequenzen rechnen. Unter diese Verwaltungsstrafen fallen Geldbußen und andere Strafen, die denen der DSGVO ähneln. Darüber hinaus kann die Nichteinhaltung der Vorschriften dazu führen, dass Kunden oder andere Parteien, die aufgrund unzureichender Cybersicherheitsmaßnahmen geschädigt wurden, rechtliche Schritte einleiten.
Um sicherzustellen, dass diese Strafandrohungen ernst genommen werden, ist in der Richtlinie eindeutig festgelegt, dass die Einhaltung der Vorschriften nachzuweisen und fehlendes Bewusstsein keine Entschuldigung ist. Letzteres wird vom IT-Manager über den CISO, den DPO bis hin zum Vorstand für entsprechendes Bewusstsein sorgen, so dass sie entsprechende Maßnahmen ergreifen.
Die Geldstrafen, die verhängt werden können, können darüber hinaus auch eine persönliche Haftung für CEOs bedeuten, was eine Premiere in der Cybersicherheit darstellt. Die persönliche Haftung, Geldstrafen und die Verpflichtung, den Behörden jeden einzelnen Vorfall innerhalb von 24 Stunden zu melden, werden Auslöser für Verhaltens-änderungen sein.
Der Einfluss von externen Parteien auf die Dienstleistungen eines Unternehmens wird dazu führen, dass die gesamte Lieferkette unter die Lupe genommen werden muss. CEOs und andere Führungskräfte müssen eine Strategie für Dritte entwickeln, die einen großen Einfluss auf Unternehmen weltweit haben wird, nicht nur auf Unternehmen in der EU.
Es gibt zwei Arten von Organisationen, die von NIS2 betroffen sind: Diejenigen, die über eine Cybersicherheitsstrategie verfügen, die die Business Continuity und die damit verbundenen Risiken berücksichtigt, werden nur wenig zusätzliche Arbeit haben. Auf der anderen Seite gibt es jedoch Organisationen, die keine Cybersicherheitsstrategie haben.
Sie haben möglicherweise noch einiges an Arbeit vor sich. Sie müssen ihre Cybersicherheitslage bewerten und eine Risikoanalyse durchführen. Darüber hinaus müssen sie in Security Awareness Trainings auf allen Ebenen investieren und technische Maßnahmen umsetzen. All dies muss geschehen, bevor das Gesetz in Kraft tritt.
Das Problem ist, dass es sich um eine Leitlinie handelt, die weder eine Checkliste noch eine Reihe von Mindestanforderungen enthält. Sie beschreibt ein angemessenes Schutzniveau, das natürlich ausgelegt werden kann. Am besten ist es, zunächst die aktuelle Situation zu analysieren, einen Fahrplan mit klaren Zielen und Zeitvorgaben zu erstellen und dann loszulegen.
Dies wird sich auf die gesamte Organisation auswirken und kann in einigen Branchen tiefgreifende Auswirkungen auf die Unternehmenskultur, die Budgets, die Arbeitseinstellung von Mitarbeitern und vieles mehr haben. Zu den technischen Mindestanforderungen gehören Firewall- und Intrusion-Prevention-Technologien, Endgeräteschutz, Mehrfaktor-Authentifizierungen, Datenverschlüsselung und Zugriffsbeschränkung sowie weitere bewährte Verfahren.