NIS2: Ein ganz neues Schlaglicht auf die Cybersicherheit

Neue EU-Richtlinie bedeutet, dass viel mehr Unternehmen mehr Sicherheit, Transparenz und Kontrolle benötigen

Die überarbeitete Richtlinie zur Netz- und Informationssicherheit (NIS) stellt strenge neue Anforderungen und wird dazu führen, dass viel mehr EU-Unternehmen die Cybersicherheit ernst nehmen. 

In weniger als einem Jahr wird es dank NIS2 (so der Name der neuen Richtlinie) für eine Vielzahl von Organisationen zur gesetzlichen Anforderung, interne Systeme umfassend zu sichern und sicherzustellen, dass externe Schnittstellen nicht anfällig für Angriffe und Datendiebstahl sind. 

Großer Wert wird auf Risikomanagement, Berichterstattung und Wiederherstellung gelegt. Bei Nichteinhaltung können die Geldbußen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen. 

Doch derartige Bußgelder könnten nur die Spitze eines viel größeren finanziellen Eisbergs sein.

Da NIS2 für einen weitaus größeren Kreis von Unternehmen gilt als sein Vorgänger, werden die Auswirkungen auf die gesamten Lieferketten spürbar sein. Cybersicherheit wird bei Beschaffungsprozessen eine hohe Priorität erhalten und könnte darüber entscheiden, welche Unternehmen neue Aufträge erhalten.

Leider verfügen die meisten Organisationen nicht über die internen Kompetenzen, um die zahlreichen Anforderungen der neuen Richtlinie zu erfüllen, insbesondere da ihre Systeme zunehmend mehrere Cloud-Umgebungen umfassen und viele Mitarbeiter weiterhin von zu Hause aus arbeiten. 

NIS2 macht volle Transparenz zum Muss

NIS2 gilt für alle Unternehmen mit mehr als 50 Beschäftigten und einem Jahresumsatz von über 10 Millionen Euro und erstreckt sich auf die Branchen Telekommunikation, Lebensmittel, Abfallwirtschaft, digitale Plattformen, öffentliche Einrichtungen und Lieferdienste. Darüber hinaus wird es erhebliche Auswirkungen auf die wesentlichen Dienstleistungen haben, die durch das ursprüngliche NIS abgedeckt sind, wie etwa Energie, Gesundheitsversorgung, Bankwesen und Verkehr.

Da NIS2 von den EU-Mitgliedsstaaten umgesetzt wird, müssen betroffene Unternehmen sicherstellen, dass alle externen Schnittstellen geschützt sind, einschließlich der Anwendungen, die für die Interaktion mit Kunden und Lieferanten verwendet werden. 

Kommt es zu einem Verstoß, müssen sie innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls einen Frühwarnbericht einreichen. Anschließend müssen sie innerhalb von 72 Stunden eine erste Einschätzung und innerhalb eines Monats einen Abschlussbericht vorlegen. 

Folglich ist es für Unternehmen von entscheidender Bedeutung, vollständige Transparenz über das Geschehen in ihren digitalen Abläufen und ihren digitalen Schnittstellen mit Kunden, Partnern und Lieferanten zu haben. 

In einer idealen Welt sollte eine Regulierung eigentlich nicht notwendig sein: Die meisten Geschäftsbeziehungen finden heute online statt, sodass Unternehmensführer bereits jetzt eine solche Transparenz fordern sollten. 

Dennoch verfügen viele kleinere Unternehmen, die in den Anwendungsbereich der neuen Richtlinie fallen, nicht unbedingt über ein Sicherheitsoperationszentrum und die entsprechenden Berichtstools, die zur Einhaltung der Vorschriften erforderlich sind. Darüber hinaus verfügen sie wahrscheinlich nicht über die erforderlichen Fähigkeiten und Ressourcen, um diese Tools selbst zu entwickeln und zu konstruieren.   

Es versteht sich von selbst, dass der Druck groß ist, leicht umzusetzende Mechanismen einzusetzen, um den NIS2-Verpflichtungen nachzukommen. Und zwar ohne die Erfahrung ihrer Kunden und Partner zu beeinträchtigen. 

Insbesondere benötigen sie eine zentrale Konsole, über die sie ihr gesamtes Anwendungsportfolio verwalten können. Cloudbasierte Anwendungssicherheits- und Anwendungsbereitstellungsangebote wie F5 Distributed Cloud Services können diesen Bedarf decken.

Auch für größere Organisationen ist es kein Zuckerschlecken. Eine der größten Herausforderungen, die sich aus dem verstärkten regulatorischen Fokus auf die Sicherheit ergeben, ist die zusätzliche Komplexität, sowohl die Sicherung als auch die Überwachung einer digitalen Infrastruktur zu erfordern, die sich zunehmend über mehrere Clouds und unternehmenseigene Rechenzentren erstreckt.

Heutzutage führen viele Anwendungen und die dazugehörigen Microservices in mehreren Umgebungen aus. Während das Front-End einer App möglicherweise in einer öffentlichen Cloud ausgeführt wird, könnte sich das Back-End in einem internen Rechenzentrum befinden. Gleichzeitig melden sich Mitarbeiter zunehmend von vielen verschiedenen Standorten aus bei Systemen und Apps an, beispielsweise von zu Hause oder von Coworking-Spaces aus.  

Um diese zunehmend komplexe digitale Landschaft auf NIS2-freundliche Weise zu sichern, benötigen viele Unternehmen einen verwalteten Dienst, der mehrere unterschiedliche Cloud-, Computer- und Netzwerkumgebungen abdeckt. Auch hier gilt: Wir bei F5 verfügen über dieses Fachwissen. 

Auch wenn die Uhr immer lauter tickt, bleibt noch Zeit zum Handeln.

Die EU-Mitgliedsstaaten müssen die neue Richtlinie bis zum 18. Oktober 2024 in nationales Recht umsetzen. Alle betroffenen Organisationen müssen also jetzt schnell dafür sorgen, dass ihre Sicherheits- und Überwachungsfunktionen robust genug sind, um Bußgelder und – noch wichtiger – den Reputationsschaden zu vermeiden, der mit Compliance-Verstößen einhergeht. 

Glücklicherweise steht die Technologie, die sie brauchen, um in diesem neuen regulatorischen Umfeld erfolgreich zu sein, bereits zur Verfügung. 

Wir werden in einem zukünftigen Blogbeitrag näher darauf eingehen und untersuchen, wie F5 seinen Kunden bereits jetzt bei der Einhaltung von NIS2 hilft. Bleiben Sie dran!