DORA und NIS-2: Mit externem Partner Vorgaben umsetzen und compliant werden

Rechtliche Vorgaben zu IT-Sicherheit sind nicht neu. NIS-2 und DORA heben einerseits die IT-Sicherheit auf ein höheres Level und stellen andererseits viele Unternehmen vor eine große Herausforderung. Um die Vorgaben umfänglich zu erfüllen, ziehen Betroffene die Zusammenarbeit mit Dienstleistern in Betracht. Hier gilt: Augen auf bei der Partnerwahl.

von Tim Berghoff, Security Evangelist bei G DATA CyberDefense

Es ist und bleibt paradox: Obwohl der deutschen Wirtschaft jährlich weit über 200 Milliarden Euro Schaden durch Cyberattacken entsteht, tun sich Vorstände und Geschäftsführungen schwer, Zeit, Geld und Personal in die Steigerung der unternehmenseigenen IT-Sicherheit zu investieren. Durch diese Bedingungen können sie keine ausreichende IT-Sicherheit sicherstellen und machen es den Tätergruppen leicht, Netzwerke zu kompromittieren.

Viele Firmen berücksichtigen damit nicht einmal die einfachsten Cybersecurity-Basics wie etwa sichere Passwörter, segmentierte Netzwerke oder Back-ups und sind deshalb ein leichtes Ziel für Cyberkriminelle.”

Gemeinsamkeiten und Unterschiede von DORA und NIS-2

Weil Verantwortliche ihrer Verantwortung nicht gerecht werden und die unternehmenseigene IT unzureichend vor Cyberattacken absichern, braucht es ein verpflichtendes Regelwerk. Das geschieht aktuell auf europäischer Ebene mit der neuen NIS-2-Direktive (Network and Information Security) und der Verordnung DORA (Digital Operational Resilience Act). Sowohl DORA als auch NIS-2 haben das Ziel, die digitale Resilienz zu stärken und die Sicherheit von digitalen Diensten, kritischen Infrastrukturen und Informationen zu verbessern. Beide Regelungen sind auf den digitalen Sektor hin ausgerichtet und richten sich an Unternehmen, Organisationen und Dienstleister, die digitale Services anbieten oder kritische Infrastrukturen betreiben. Sowohl DORA als auch die NIS-2-Richtlinie sollen dazu beitragen, die EU-weite Koordination bei der Bekämpfung von Cyberbedrohungen und -angriffen zu verbessern und die Reaktion auf Sicherheitsvorfälle zu stärken.

Bei all diesen Gemeinsamkeiten weisen beide Regelwerke auch Unterschiede auf:

Während DORA darauf abzielt, die digitale Resilienz des Finanzsektors zu stärken, konzentriert sich die NIS-2-Richtlinie auf die Sicherheit von Netzwerken und Informationssystemen in insgesamt 18 Branchen.”

Zu den bekannten kritischen Sektoren wie Energie, Transport, Verkehr, Gesundheit oder Versorgung mit Trinkwasser kommen neue hinzu:

• die Finanzmarkt-Infrastruktur,
• Post und Kurierdienste,
• Ernährung und
• Anbieter von Erzeugnissen sowohl Lebensmittel als auch die chemische Industrie sowie
• Waren im Bereich Maschinenbau, Optik, Datenverarbeitung, Messgeräte, Medizinprodukte.

Zusätzlich fallen auch Anbieter digitaler Dienste unter die NIS-2, also Unternehmen, die in irgendeiner Weise Software herstellen und Dienstleistungen erbringen. Während DORA voraussichtlich unter der Aufsicht der europäischen Bankenaufsichtsbehörde (EBA) durchgeführt wird, liegt NIS-2 in der Zuständigkeit der nationalen Behörden – in Deutschland beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Zeit zum Handeln ist jetzt!

Und auch wenn die Fristen für NIS-2 und DORA unterschiedlich sind, sind die Umsetzungszeiten in beiden Fällen knapp bemessen.

Die NIS-2-Richtline gilt ab dem 18. Oktober 2024, die Pflichten des DORA müssen am 17. Januar 2025 umgesetzt sein.”

Für alle betroffen Unternehmen bedeutet das: Die Uhr tickt und erfordert zügiges Handeln. Die Herausforderung an dieser Stelle: Vielen Finanzdienstleistern und anderen betroffenen Unternehmen fehlt es an Zeit, Geld, Personal oder fachlicher Expertise, um die Vorgaben innerhalb der geforderten Zeit zu erfüllen. Daher sollten die Verantwortlichen frühzeitig in Betracht ziehen, externe Dienstleister hinzuzuziehen. Allerdings sollten Firmen nicht voreilig handeln und voraussetzen, dass jeder IT-Dienstleister sie unterstützen kann. Themen wie die Einführung eines Information Security Management Systems (ISMS), die Bewältigung von Sicherheitsvorfällen oder auch Cybersicherheitszertifizierungen sowie der Einsatz von Schutztechnologien, die dem Stand der Technik entsprechen, sind alles andere als trivial.

IT ist nicht gleich IT-Sicherheit

Wie finden Verantwortliche den richtigen Dienstleister? Ein entscheidendes Kriterium ist Vertrauen.

Die Angestellten des Dienstleisters kümmern sich um die Sicherheit der IT-Infrastruktur und erhalten so detaillierte Einblicke in einen sicherheitsrelevanten Bereich.”

Wichtig ist auch, dass der Anbieter über langjährige Erfahrung in IT-Sicherheit verfügt und auf diesen Bereich spezialisiert ist. Ein allgemeiner IT-Dienstleister ist nicht die beste Wahl, denn IT ist nicht gleich IT-Sicherheit. IT-Fachleute sind nicht zwangsläufig auch IT-Expertinnen und -experten. Nicht umsonst gibt es eigene Studiengänge an Fachhochschulen und Universitäten, etwa in Bochum oder Darmstadt. Zudem verfügt ein spezialisierter Security-Anbieter über wertvolle Erfahrungen aus Kundeneinsätzen oder betreibt eigene Forschung in diesem Bereich. Gerade beim Umsetzen von bewährten Best-Practise-Ansätzen, etwa bei der Bewältigung von Sicherheitsvorfällen oder dem Einsatz von State of the Art-Schutztechnologien, profitieren die Kunden von dem Know-how der Fachleute. Ein weiterer entscheidender Punkt ist das Thema Support:

Bei einem komplexen Thema wie IT-Sicherheit macht es Sinn, mit einem Dienstleister zusammenzuarbeiten, der einen Support in Landessprache anbietet und dabei unkompliziert und verständlich bei Problemen unterstützt.”

Insbesondere bei kritischen Situationen wie etwa einem Sicherheitsvorfall ist das Risiko von Missverständnissen nicht zu unterschätzen.

Trotz der knappen Fristen sollten Verantwortliche gerade bei der Auswahl der Dienstleister gewissenhaft agieren.

Denn wer hier nur auf den Preis achtet, zahlt am Ende doppelt: zusätzliche Kosten bei einem Dienstleister-Wechsel und empfindliche Geldstrafen bei einer nicht fristgerechten Umsetzung.”

Tim Berghoff, G DATA CyberDefense