Bis zum 17. Oktober 2024 haben die Mitgliedstaaten der EU noch Zeit, die reformierte Gesetzgebung zur Netz- und Informationssicherheit NIS2 umzusetzen. Verabschiedet wurde die EU- Richtline 2016/1148 des Europäischen Parlaments und des Rates bereits am 6. Juli 2016. In diesem Blogbeitrag beantworten wir die wichtigsten Fragen zu NIS2, damit Sie Ihr Unternehmen auf den bevorstehenden Stichtag vorbereiten können.
Was ist die NIS2-Richtlinie?
Als Meilenstein der europäischen Cybersicherheitsgesetzgebung sieht die Richtlinie über Netz- und Informationssicherheit (NIS2) rechtliche Maßnahmen zur Verbesserung des allgemeinen Cybersicherheitsniveaus in der Europäischen Union (EU) vor. Sie legt strenge Maßnahmen zur Gewährleistung einer hohen Cybersicherheit fest, die Unternehmen und Organisationen einhalten müssen.
Für wen gilt NIS2?
Die EU-Direktive richtet sich an Unternehmen, die von den Mitgliedstaaten als „Betreiber wesentlicher Dienste“ eingestuft werden. Die meisten Organisationen, die unter die schärferen Vorgaben von NIS2 fallen, betreiben kritische nationale Infrastrukturen (CNI), Netzwerke für Operational Technology (OT) und industrielle Systeme.
Die NIS2-Vorschriften gelten jedoch nicht nur für „wesentliche und wichtige Einrichtungen“, sondern auch für Verstöße in deren Lieferkette. Das bedeutet, dass sich Subunternehmer und Lieferanten ebenfalls an den NIS2-Anforderungen orientieren müssen — wo auch immer sie ansässig sind.
Unterschiede zwischen NIS und NIS2
NIS2 aktualisiert und verschärft die ursprünglich 2016 eingeführten EU-Cybersicherheitsvorschriften, um den bestehenden Rechtsrahmen zu modernisieren und die steigende Digitalisierung und daraus resultierende Bedrohungen für die Cybersicherheit zu berücksichtigen. Die wichtigsten Unterschiede im Überblick:
- Weitere Industriesektoren — der Geltungsbereich der Cybersicherheitsvorschriften hat sich auf neue Sektoren und Einrichtungen ausgeweitet, insbesondere auf die verarbeitende Industrie und andere OT-Branchen. Auch die Kritikalität und Größe eines Unternehmens werden berücksichtigt.
- Neue Anforderungen an die Berichterstattung und Krisenreaktion — NIS2 erfordert eine Verbesserung der Kapazitäten zur Reaktion auf Sicherheitsvorfälle, inklusive verstärkter Meldepflichten, präziserer Meldeprozesse und Zeitpläne.
- Erweiterte Sicherheitsanforderungen und -kontrollen — Sicherheitsanforderungen werden insgesamt verschärft, wobei der Schwerpunkt auf einer gezielten Behandlung und Offenlegung von Schwachstellen sowie auf Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement-Sicherheitsmaßnahmen liegt. Das Maßnahmenpaket sieht ferner eine grundlegende IT-Hygiene und Cybersicherheitsschulungen sowie den effektiven Einsatz von Kryptografie, Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management vor.
- Höhere Strafen — NIS2 führt höhere Strafen für Compliance-Verstöße ein. Die Bußgelder variieren je nach Status des Unternehmens:
- Die Geldbußen für Anbieter „wesentlicher“ Dienste können bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen (je nachdem, welcher Betrag höher ist).
- Für „wichtige“ Einrichtungen liegt das maximale Bußgeld bei sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
- Erhöhte Haftung — Führungskräfte, die für Risk Governance einer IT-Infrastruktur verantwortlich sind, können für Sicherheitsverstöße persönlich haftbar gemacht und ihres Postens enthoben werden.
Wann tritt NIS2 in Kraft?
Die Frist für die Mitgliedstaaten zur Umsetzung der NIS2-Richtlinie in geltendes, nationales Recht läuft am 17. Oktober 2024 ab. Unternehmen müssen die aktualisierten Anforderungen der EU-Direktive vor diesem Datum vollständig erfüllen, da sie sonst mit schwerwiegenden Konsequenzen rechnen müssen, einschließlich Geldstrafen und Reputationsschäden.
Warum liegt ein Schwerpunkt von NIS2 auf Operational Technology (OT)?
Die OT-Sicherheit ist aufgrund der jüngsten Flut von hochkarätigen Angriffen viel wichtiger geworden. Sie ist auch in den Fokus zunehmender Compliance-Frameworks gerückt. In puncto Sicherheit holt die OT gegenüber der IT auf. In IT-Netzwerken wurden die meisten Sicherheitsgrundlagen eingeführt, aber in der OT werden Kontrollen wie Änderungsmanagement, Zugriffskontrolle und Schwachstellenmanagement immer noch nicht angewendet.
Was sind die Herausforderungen bei der Verwaltung und Sicherung von OT-Umgebungen?
Erstens kommt es auf den Schwerpunkt einer OT-Umgebung an. Handelt es sich bei den Umgebungen um Produktionsanlagen oder Fabriken, ist Verfügbarkeit das oberste Gebot. Jeder Produktionsausfall kostet. Bei kritischen nationalen Infrastrukturen (CNI) ist die Verfügbarkeit noch wichtiger, da sich jede Ausfallzeit nachteilig auf ganze Sparten auswirken kann. Falls Sie der Meinung sind, dass die IT datenzentrierter ist und daher die Integrität mehr im Fokus steht, sollten Sie bedenken, dass sich Daten zwar sichern lassen, aber ein Ausfall der Gas- oder Ölförderung deutlich schwerer wiegt…
Zweitens verfügen OT-Umgebungen über veraltete und mitunter nicht mehr unterstützte Geräte. Aktualisierungszyklen könnten Jahrzehnte betragen und nicht wie in der IT üblich drei bis sechs Jahre. Das gefährdet den Betrieb technischer Systeme, die nie gegen neue Cyberbedrohungen gehärtet wurden.
Drittens setzen viele Unternehmen die gleichen Authentifizierungs- und Sicherheitsdienste in der IT-Welt und ihrer OT-Umgebung ein. Ein anschauliches Beispiel ist die Verwendung von Active Directory, um die Kontenauthentifizierung und -autorisierung für OT-Benutzer zu verwalten. IT- und OT-Umgebungen sollten jedoch getrennt werden, um die Auswirkungen einer Sicherheitsverletzung begrenzen zu können.
Was sind die nächsten Schritte aus Unternehmenssicht?
Dies hängt vom Governance, Risk & Compliance (GRC)-Team eines Unternehmens ab. Verantwortliche müssen die neuen Anforderungen studieren und prüfen, ob ihre bestehenden Kontrollen ausreichen oder ob es Nachholbedarf gibt. Sie müssen auch bedenken, dass unabhängige Prüfer sicherstellen werden, dass alle Kontrollen vorhanden sind und den Anforderungen entsprechen. Falls nicht, werden sie Pläne und strafbewehrte Fristen durchsetzen, um die Einhaltung zu gewährleisten.
NIS2 fördert „die Verwendung europäischer und internationaler Normen und technischer Spezifikationen, die für die Sicherheit von Netz- und Informationssystemen relevant sind“, wie z. B. ISO27001. Die grundlegenden Anforderungen wie Endpunktsicherheit oder Antivirenschutz sollten über NIS oder andere Sicherheits-Frameworks bereits abgedeckt sein. Den größten Nachholbedarf gibt es erfahrungsgemäß bei der Abwehr von Phishing-Angriffen, bei der Durchsetzung einer Least-Privilege-Strategie und beim Identitätsmanagement insgesamt.
Was sind die Herausforderungen bei der Einbindung von Drittanbietern in Ihrer Sicherheitsstrategie?
Drittanbieter und IT-Dienstleister können das schwächste Glied einer Cyberabwehrkette sein. Jedes Unternehmen verlässt sich beim Betrieb geschäftlicher Dienste auf externe Anbieter, aber die Unternehmenssicherheit insgesamt ist nur so gut wie die Sicherheit des anfälligsten Drittanbieters. Beispiel Target: Als einer der größten Einzelhändler der USA war das Unternehmen 2013 von einem mittlerweile gut dokumentierten Cyberangriff betroffen. Beim Hack der Einzelhandelskette verschafften sich die Angreifer unbefugten Zugang zum HLK-System (Heizungs-, Lüftungs- und Klimatechnik). Von dort aus gab es zu den Target-Filialen einen VPN-Zugang, der eigentlich nur der Überwachung und Wartung von Klimaanlagen diente. Auf diese Weise erhielten die Bedrohungsakteure Zugriff auf die Finanzsysteme der Kette, raubten über 40 Millionen Kreditkartendaten und verursachten einen Schaden von 420 Millionen US-Dollar.
Mit den Aktualisierungen in NIS2 ist die Einbeziehung von Drittanbietern in Ihre Sicherheitsstrategie jetzt von zentraler Bedeutung. Unternehmen müssen Lieferanten einen Mindestreifegrad für die Cybersicherheit auferlegen und sind für die Prüfung der Lieferantensicherheit verantwortlich.
Was sind die technologischen Herausforderungen beim Vendor Privileged Access Management (VPAM)?
Die Kontrolle des Zugriffs von Drittanbietern auf interne Systeme ist für die Sicherheit der Lieferkette ein entscheidender Faktor. Viele Remote-Access-Technologien, die aktuell von Unternehmen eingesetzt werden, sind jedoch veraltet und bieten nicht die notwendigen Kontrollmöglichkeiten für einen sicheren Fernzugriff. Der Blick in eine beliebige CVE-Datenbank zeigt, wie anfällig VPNs beispielsweise für Schwachstellen sind. Die britische Devisengesellschaft Travelex versäumte 2020 das rechtzeitige Patchen des VPNs und wurde über CVE -2019-11510 gehackt. Der Angriff kostete das Unternehmen 2,3 Millionen US-Dollar an Lösegeld, den die Hacker einforderten. Folge: Das Unternehmen musste letztendlich Insolvenz anmelden.
Die Bedeutung von Vendor Privileged Access Management (VPAM) zeigt auch der Fall Toyota im Februar 2022, als der Automobilriese seine 14 Fabriken in Japan schließen musste — ein geschätzter Schaden von 375 Millionen US-Dollar. Grund war damals eine Cyberattacke auf den Zulieferer Kojima Industries — einem kleinen, außerhalb Japans wenig bekannten Unternehmen, das Getränkehalter, USB-Buchsen und Türtaschen für den Autoinnenraum herstellt. Seine vergleichsweise kleine Rolle in der Automobillieferkette wirkte sich jedoch auf die gesamte Produktionslinie von Toyota aus. Der Vorfall zeigt deutlich, wie stark solche Infrastrukturen im digitalen Zeitalter gefährdet sind.
Wie kann die Verwaltung von Drittanbietern optimiert werden?
Die Verwaltung von Drittanbietern ist eine Kombination aus Richtlinien, Verfahren und Technologie. Die Bereitstellung eines der Elemente ohne die anderen ist wenig sinnvoll.
Die Verwaltung der Benutzer von Lieferanten kann herausfordernd sein: Wo legen Sie ihre Konten an? Woher wissen Sie, ob jemand, der das Unternehmen verlassen hat, seine Zugangsdaten an seinen Nachfolger weitergegeben hat, oder sogar an mehrere Personen, die nun auf Ihre Infrastruktur zugreifen? Moderne Lösungen ermöglichen es Anbietern, ihre eigenen Fernzugriffskonten zu verwalten und die notwendigen Kontrollen einzurichten.
Lösungen für den Zugriff von Administratoren und Drittanbietern sollten einen clientlosen Zugriff mit flexiblen Authentifizierungsmethoden, Genehmigungsworkflows, zeitlich begrenzten Zugriffsfenstern sowie Transparenz und Auditing bieten. Letzteres ist nicht nur aus Sicherheitsgründen wichtig, sondern auch, um sicherzustellen, dass sich die Anbieter an die vereinbarten Verträge und Prozesse halten. Darüber hinaus wäre eine Integration mit Änderungsverfahren und die Verwendung der Änderungsnummer als zusätzliche Überprüfung sinnvoll.
Rechtliche Risiken und Kosten — warum lohnt sich NIS2-Konformität?
Vertrauen ist gut, aber Kontrolle ist besser. Die realen Chancen, dass alles glatt läuft, werden meistens überschätzt, während andererseits die Wahrscheinlichkeit unterschätzt wird, dass es zu negativen Folgen kommen kann. Es wirkt sich fatal für Unternehmen aus, wenn die Unternehmensleitung davon ausgeht, niemals ins Visier von Bedrohungsakteuren geraten zu können.
Der Ransomware-Angriff auf Colonial Pipeline im Jahr 2021 kostete das Unternehmen insgesamt 4,4 Milliarden US-Dollar, um die Bedrohungsakteure von Darkside auszuzahlen. Außerdem gab es eine sechstägige Unterbrechung der Treibstoffversorgung, die Flughäfen und Tankstellen so stark beeinträchtigte, dass der Notstand ausgerufen wurde. Das Interessante an diesem Angriff ist, dass er die OT-Ausrüstung gar nicht direkt betraf. Die Abrechnungssysteme des Unternehmens wurden abgeschaltet, aber da das Ausmaß des Verstoßes unbekannt war, wurde die Produktion vorsorglich ebenfalls heruntergefahren.
Gutes Risikomanagement besteht darin, Risiken so weit wie möglich zu minimieren. Behördliche Strafgelder sind dabei nur ein Teil der Kosten. Die Attacke betraf zwar nur die USA, aber sie ist ein anschauliches Beispiel dafür, dass eine Sicherheitsverletzung zu finanziellen Aufwendungen für Zahlungen an Hacker führen kann. Vergleichbar teuer kann sich auch der Reputationsschaden auf betroffene Organisationen auswirken. Zusätzlich zu den Finanz- und Reputationsrisiken können Führungskräfte, die für Governance, Risk & Compliance (GRC) verantwortlich sind, aufgrund von NIS2 sanktioniert und möglicherweise aus ihren Positionen entfernt werden — in Zeiten von Fachkräftemangel ein nicht zu unterschätzendes Risiko.
Die nächsten Schritte
BeyondTrusts innovative Lösungen sind speziell auf die Herausforderungen beim Schutz von kritischen Infrastrukturen und OT-Umgebungen zugeschnitten und unterstützen Unternehmen bei der Absicherung digitaler Identitäten. Kontaktieren Sie uns direkt, um mehr zu erfahren, und laden Sie hier unser Whitepaper zum richtigen Umgang mit der NIS2-Richtlinie herunter.
Mari Still, Marketing Manager, EMEA
As a Marketing Manager at BeyondTrust, Mari Still uses her extensive years of experience in sales and marketing, gained in various different industries, to understand the customer buying journey and help provide timely and relevant information to support that process. Outside of the tech world, she lives in the vibrant city of Brighton (UK), where she enjoys the benefits of both the sea and the country. Mari is half Spanish and loves going home to visit the family, but also enjoys her hobbies of Hot Air Ballooning and volunteering at the RAF Air Cadets.