Was NIS2 für KRITIS-Unternehmen bedeutet und warum Risikomanagement über die IT hinausgeht

In der aktuellen Untersuchung The Impact of the NIS2 Directive hat Nozomi Networks die Aktualisierungen der neuesten Version der NIS2-Richtlinie unter die Lupe genommen. Die Aktualisierungen erweitern den Anwendungsbereich der Richtlinie um neue kritische Sektoren und ergänzen Überlegungen zur Bestimmung von „wesentlichen“ bzw. „wichtigen“ Einrichtungen. Eine der Kernaussagen des Berichts: Risikomanagement muss über die IT hinausgehen.

Die ursprüngliche Richtlinie trat im Mai 2018 in Kraft, und die EU-Mitgliedstaaten sind verpflichtet, die Bestimmungen der jüngsten Aktualisierung der Richtlinie bis Oktober 2024 zu übernehmen. Dazu müssen sie Pläne vorlegen, wie sie die Richtlinie einhalten wollen. Bei Nichteinhaltung der Vorschriften können Geldbußen für wesentliche Unternehmen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes und für wichtige Unternehmen bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes verhängt werden.

Es gelten sieben umfassende Sicherheitsanforderungen für alle Unternehmen:

• Risikoanalyse und Sicherheitspolitik für Informationssysteme
• Umgang mit Vorfällen (Prävention, Erkennung und Reaktion)
• Geschäftskontinuität und Krisenmanagement
• Sicherheit der Lieferkette
• Sicherheit in Netzwerken und Informationssystemen
• Richtlinien und Verfahren für Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit
• Einsatz von Kryptographie

Digitalisierung bietet neue potentielle Angriffsflächen

Banken und andere KRITIS-Unternehmen waren noch nie so technologieabhängig wie heute, und ihre potenzielle Angriffsfläche werde durch große digitale Fußabdrücke noch vergrößert. Die Strategien der Bedrohungsakteure entwickeln sich weiter und scheinen zwischen einer Taktik, die vom Land lebt, und maßgeschneiderten Angriffen auf bestimmte Ziele zu variieren. Kriminelle Gruppen haben es zunehmend auf organisatorische Systeme und Netzwerke abgesehen (z. B. Betriebstechnik und Internet der Dinge), für die IT-Sicherheitsexperten verantwortlich sind. NIS2 sei eine direkte Reaktion auf die wachsende Bedrohungslandschaft; im Mittelpunkt der neuen Gesetzgebung steht, dass Organisationen in kritischen Infrastruktursektoren ihre Widerstandsfähigkeit, Erkennung und Reaktionsfähigkeit auf Vorfälle verbessern müssen.

Laut den befragten IT-Führungskräften teilen sich die Verantwortung für die Sicherung von OT- und IoT-Geräten und -Netzwerken sowohl die internen Beteiligten als auch externe Dritte.

Um diesen Gegebenheiten erfolgreich zu begegnen zu können, ist es ist wichtig zu erkennen, dass Unternehmen bei internen oder externen Netzwerkverletzungen zunehmend auf externe Anbieter für Bedrohungsinformationen und Beratung angewiesen sind. Angesichts der zunehmenden Komplexität und Raffinesse von Cyberbedrohungen erkennen Unternehmen die Notwendigkeit, auf die Expertise und das Fachwissen externer Anbieter zurückzugreifen, um sich angemessen gegen Verstöße zu verteidigen.

Darüber hinaus spielt es laut Nozomi eine wichtige Rolle, dass böswillige Aktivitäten oder externe Verstöße in den IT-Systemen eines Unternehmens überall auftreten und eine Gefahr für Unternehmensnetzwerke, einschließlich OT- und IoT-Systeme, darstellen können. Um effektiv auf solche Verstöße zu reagieren, wenden sich IT-Sicherheitsbeauftragte am häufigsten an IT-Berater oder Anbieter von Cybersicherheitslösungen. Dies verdeutlicht die wichtige Rolle, die externe Dritte im Bereich der Cybersicherheit spielen, indem sie Unternehmen mit Fachwissen und Ressourcen unterstützen.

Trotz der begrenzten Verfügbarkeit von Bedrohungsdaten ist es für viele Unternehmen wichtig, mehr über die potenzielle Bedrohungslandschaft und die Risiken für OT und IoT zu erfahren. Unternehmen haben zudem blinde Flecken in Bezug auf die Cybersicherheit, insbesondere im Zusammenhang mit ihren kritischen Informationssystemen (CIS).

Unternehmen handeln blind

Zugleich gibt es viele Organisationen, die entweder erst handeln oder überhaupt nicht wissen, welchen Bedrohungen oder Risiken sie ausgesetzt sind. Angesichts der Schäden, die durch Cybersecurity-Angriffe oder -Verletzungen verursacht werden können, muss das Risikomanagement eindeutig verbessert werden.

Die Ergebnisse der Untersuchung machen zudem deutlich, dass Unternehmen in ganz Europa ihre Prioritäten im Bereich Sicherheit und Risikomanagement überdenken müssen, insbesondere im Hinblick auf Betriebstechnologie in kritischen Infrastrukturen. Viele Unternehmen geben an, dass sie die Risiken, denen sie ausgesetzt sind, nicht kennen, es schwierig ist, wichtige Anlagen zu schützen und sie nicht wissen, wer es auf sie abgesehen haben könnte. Vor allem häufigere und gründlichere Risikoanalysen werden es den Unternehmen ermöglichen, ihre Überwachungs- und Erkennungsmöglichkeiten zu verbessern.

Risikomanagement muss über die IT hinausgehen

Die Studie zeigt, dass die bevorstehende NIS2-Gesetzgebung eine große Herausforderung für Organisationen darstellt, die kritische Infrastrukturindustrien repräsentieren. Es wird betont, dass das Risikomanagement über die IT hinausgehen und auch die Betriebstechnologie umfassen muss. Eine bessere Sichtbarkeit aller Anlagen und Netzwerke ist von entscheidender Bedeutung, um sowohl den eigenen Schutz zu verbessern als auch die Einhaltung der wichtigsten Rechtsvorschriften sicherzustellen.

Die NIS2-Gesetzgebung weist auf das breite Spektrum an Ressourcen hin, die Unternehmen zur Verfügung stehen, um sich mit Cybersicherheitsüberlegungen auseinanderzusetzen und die Anforderungen zu erfüllen. Es wird betont, dass die Aufsicht und Durchsetzung für verschiedene Kategorien von Unternehmen differenziert werden sollten, um ein ausgewogenes Verhältnis zwischen risikobasierten Anforderungen und Verwaltungsaufwand für die Einhaltung der Vorschriften sicherzustellen. Die Einhaltung der Vorschriften ist obligatorisch, und Verstöße können zu erheblichen Geldstrafen führen.

Zur Methodik der Studie

Für die Studie wurden Interviews mit 300 IT-Sicherheitsentscheidern (DMs) in großen Organisationen (mit 500+ Mitarbeitern) in ganz Europa geführt. Den Führungskräften wurden Fragen zur Verantwortung und Strategie für die Sicherung von Systemen und Vermögenswerten über ihre IT- und Unternehmensnetze vom unabhängigen Technologiemarktforschungsspezialisten Vanson Bourne gestellt. Anhand der Antworten lässt sich laut Nozomi der aktuelle Stand der Organisationen in den Branchen mit kritischer Infrastruktur und den weiteren Weg zur Umsetzung der NIS2-Richtlinie erkennen.

Die Studie können Sie nach Angabe der Kontaktdaten hier herunterladen.ft