KI im Prozess-Management - Download
Keba: KeBob - Ihr smarter Helfer im Foyer
SECURITY23. Mai 2025

NIS2: Banken und Versicherer stehen vor einer harten Bewährungsprobe der IT-Sicherheit

Stephan Schweizer, CEO bei Nevis Security, präsentiert sich in einem modernen Büro. Die Herausforderungen der NIS2-Richtlinie stellen insbesondere für Finanzinstitute eine erhebliche Belastung dar, während die Fristen für die nationale Umsetzung unklar bleiben.
Stephan Schweizer, CEO bei Nevis Security Nevis Security

Die Fristen für die nationale Umsetzung der NIS2-Richtlinie sind noch unklar, doch die Anforderungen der EU stehen längst im Raum – und mit ihnen eine massive Herausforderung für Finanzinstitute. IT-Teams stehen unter enormem Druck, veraltete System­landschaften abzusichern, fragmentierte Sicherheits­architekturen zu konsolidieren und Compliance-Lücken zu schließen – und das alles unter laufendem Betrieb. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch unkalkulierbare Sicherheitsvorfälle mit massiven Reputationsschäden.

von Stephan Schweizer, CEO bei Nevis Security 

Cyberangriffe bleiben eine der größten Bedrohungen für Finanzinstitute. Insbesondere in Zeiten, in denen immer mehr Finanzdienstleister auf Cloud-Technologien und hybride IT-Infrastrukturen setzen, steigen auch die Anforderungen an die Cybersicherheit. Mit der NIS2-Richtlinie verpflichtet die EU-Banken und Versicherer, ihre IT-Sicherheitsstrategien anzupassen und kritische Infrastrukturen besser abzusichern. Doch die Umsetzung ist alles andere als trivial: Sie erfordert nicht nur die Erfüllung regulatorischer Anforderungen, sondern auch die Überwindung technischer Hürden, interner Widerstände und wirtschaftlicher Risiken.

Die Verzögerung bei der nationalen Umsetzung der NIS2 darf nicht dazu führen, dass die Dringlichkeit unterschätzt wird.”

Wer zu lange zögert, riskiert nicht nur Verstöße gegen Vorschriften, sondern auch gravierende geschäftliche und operationelle Schäden.

Doch welche zentralen Herausforderungen müssen Finanzinstitute meistern, um die NIS2-Anforderungen erfolgreich umzusetzen?

Komplexe IT-Integrationen

Um die NIS2-Vorgaben erfolgreich umzusetzen, stehen Finanzinstitute vor einer Reihe technischer und organisatorischer Herausforderungen. Besonders die Integration neuer Sicherheitsmaßnahmen in bestehende Systeme erfordert durchdachte Strategien. Welche Stolpersteine es gibt – und wie sie sich lösen lassen:

Autor Stephan Schweizer, Nevis Security
Stephan Schweizer, Chief Executive Officer von Nevis Security, präsentiert sich mit einem freundlichen Lächeln. Der Hintergrund zeigt eine moderne Büroumgebung mit Pflanzen, was auf eine angenehme Arbeitsatmosphäre hinweist. Finanzinstitute stehen vor Herausforderungen durch NIS2.Stephan Schweizer blickt auf 22 Jahre Berufs- und Managementerfahrung im Bereich Sicherheitslösungen zurück. In dieser Zeit war er federführend beim Aufbau, Betrieb und der Weiterentwicklung der Nevis-Infrastruktur. Seit 2020 verantwortet er als Chief Executive Officer der neu gegründeten Nevis Security AG (Webiste), einem Spin-off der AdNovum Informatik AG, den strategischen Geschäftsaufbau der Nevis Security Suite auf dem internationalen Markt.
  • Schnittstellen und Integrationen: Legacy-Systeme vs. moderne Sicherheitsarchitektur
    In vielen Finanzinstituten existieren historisch gewachsene IT-Systeme, die keine modernen Sicherheitsstandards wie Zero Trust oder fortschrittliche Authentifizierungsmethoden unterstützen. Insbesondere die Integration von Sicherheitslösungen wie MFA oder Zugriffskontrollen stellt eine Herausforderung dar. Eine mögliche Lösung: Eine hybride IAM-Plattform, die sowohl Cloud- als auch On-Premise-Identitäten verwaltet und API-fähige Schnittstellen wie OAuth2 oder OpenID Connect nutzt. So lassen sich moderne Sicherheitsmaßnahmen integrieren, ohne die gesamte Infrastruktur zu ersetzen.
  • Daten-Silos und fragmentierte Sicherheitslösungen
    In der Banken- und Versicherungsbranche werden häufig verschiedene, isolierte Lösungen für unterschiedliche Sicherheitsaspekte wie IAM, SIEM (Security Information and Event Management), Endpoint Security und Cloud Security verwendet. Dies führt zu einer fragmentierten Sicherheitslandschaft, in der es an einer integrierten, unternehmensweiten Sicht auf Bedrohungen und Sicherheitsvorfälle fehlt. Eine Lösung besteht in der Implementierung von Security Orchestration, Automation and Response (SOAR) und der Nutzung moderner SIEM-Plattformen, um Daten aus verschiedenen Quellen zu vereinheitlichen und eine Echtzeitüberwachung zu ermöglichen.
  • Integration von Cloud- und On-Premise-Systemen
    Mit der zunehmenden Nutzung hybrider IT-Landschaften, in denen sowohl Cloud- als auch On-Premise-Systeme parallel betrieben werden, wird die Verwaltung von Identitäten und Zugriffen komplexer. Eine hybride IAM-Plattform, die sowohl Cloud- als auch On-Premise-Identitäten verwalten kann, sorgt für eine sichere und vereinheitlichte Verwaltung der Zugriffsrechte und erfüllt gleichzeitig die Anforderungen der NIS2-Richtlinie.

Organisatorische Hürden und Prozessoptimierung

Neben technischen Aspekten erschweren auch organisatorische und prozessuale Barrieren eine NIS2-Umsetzung. Die Herausforderungen in diesem Bereich sind oft subtiler, aber ebenso entscheidend.

  • Unzureichendes Security-Bewusstsein und interne Barrieren

IT-Security wird oft als bloße Kostenstelle betrachtet, anstatt als strategischer Geschäftsfaktor. Dies führt zu Widerständen bei der Implementierung von Sicherheitsmaßnahmen, da sowohl Management als auch IT-Teams Sicherheitsvorkehrungen wie MFA oder strikte Zugriffskontrollen als störend empfinden. Um diese Barrieren zu überwinden, ist es entscheidend, die Business-Vorteile von IT-Security durch Risikoreduktion und Compliance-Optimierung klar zu kommunizieren. Außerdem kann eine adaptive Authentifizierung, die MFA nur bei risikobehafteten Anfragen fordert, die Akzeptanz aufseiten der Endbenutzer erhöhen.

  • Automatisierungsdefizite und der Aufwand manueller Prozesse

Die NIS2-Richtlinie verlangt regelmäßige Risikobewertungen, Reporting und Monitoring. Ohne Automatisierung führt dies zu hohem manuellem Aufwand und potenziellen Fehlerquellen. Die Automatisierung von Compliance-Prüfungen und Sicherheitsbewertungen ist eine notwendige Maßnahme, um die Anforderungen effizient zu erfüllen und den Verwaltungsaufwand zu minimieren.

  • Schwierigkeiten bei der Implementierung von Incident-Response-Plänen
    Eine der zentralen Anforderungen der NIS2-Richtlinie betrifft das Incident Response Management. Fehlende klare Prozesse für Cyberangriffe und Sicherheitsvorfälle können im Ernstfall zu Verzögerungen und ineffizienter Reaktion führen. Banken und Versicherer sollten einen Security Incident Response Plan (SIRP) implementieren, der auf einem Zero Trust-Modell basiert und IAM-gestützte Zugriffskontrollen integriert, um schnell und effektiv auf Vorfälle reagieren zu können. 

Herausforderungen bei der Compliance-Umsetzung

Ebenso kritisch ist die präzise Umsetzung von Compliance-Vorgaben, die für Finanzinstitute mit erheblichen Risiken verbunden ist. Compliance-Risiken werden oft unterschätzt, können aber zu hohen Strafen führen. Ein Hauptproblem ist die unzureichende Dokumentation von Sicherheitsvorfällen.

Die NIS2-Richtlinie verlangt eine lückenlose Aufzeichnung aller sicherheitsrelevanten Ereignisse.”

Ohne umfassende Log-Speicherung und Reporting-Mechanismen wird es schwierig, diese Anforderungen zu erfüllen. Eine zentrale Log-Speicherung und Compliance-Dashboards helfen dabei, Risiken zu minimieren. Ein weiteres Risiko ist „Alibi-Compliance“, bei der nur Mindestanforderungen wie MFA für Administratoren erfüllt werden. Eine vollständige Zero-Trust-Architektur, die alle Benutzer umfasst und kontinuierlich überwacht wird, ist erforderlich, um langfristig compliant zu bleiben. Oft fehlt die Zusammenarbeit zwischen IT- und Rechtsabteilungen, was zu Compliance-Defiziten führen kann. Effektives NIS2-Management erfordert enge Kooperation, regelmäßige Schulungen und koordinierte Planung. Zudem wird die physische Sicherheit oft vernachlässigt. Die NIS2-Richtlinie umfasst auch den Schutz von Rechenzentren und Serverräumen. Eine Zero-Trust-Architektur, die auch physischen Zugang absichert, ist entscheidend für eine ganzheitliche Sicherheitsstrategie.

Erfolgreiche NIS2-Umsetzung mit IAM und Zero Trust

Die NIS2-Richtlinie ist weit mehr als eine regulatorische Verpflichtung – sie zwingt Finanzinstitute dazu, ihre IT-Sicherheitsarchitekturen grundlegend zu überdenken. Um Compliance-Risiken zu minimieren und langfristig widerstandsfähig gegenüber Cyberangriffen zu bleiben, müssen Banken und Versicherer Zero-Trust-Prinzipien konsequent umsetzen, Threat Intelligence automatisieren und eine End-to-End-Überwachung sicherheitskritischer Systeme etablieren.

Die Integration von API-fähigen IAM-Plattformen, die Orchestrierung fragmentierter Sicherheitslösungen und die Automatisierung von Compliance-Prozessen sind essenziell, um technische und organisatorische Hürden zu überwinden.”

Die frühzeitige Implementierung einer adaptiven Cyber-Resilienz hilft nicht nur dabei, regulatorische Anforderungen effizient zu erfüllen, sondern stellt sicher, dass Sicherheitsarchitekturen kontinuierlich mit neuen Bedrohungen und Technologien Schritt halten können. Dies fördert nicht nur Compliance, sondern schafft auch Vertrauen bei Kunden und Partnern und schützt vor langfristigen finanziellen und reputativen Schäden. Stephan Schweizer, Nevis Secuity

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/227215

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert