2016 verabschiedete die EU die Richtlinie zu Sicherheit von Netzwerk- und Informationssystemen (NIS). Damit schuf sie erstmals einen einheitlichen Gesetzesrahmen, um die Zusammenarbeit der EU-Mitgliedsstaaten in puncto Cybersicherheit zu stärken. NIS wird jetzt durch NIS2 ersetzt. Für Unternehmen bedeutet das: Ab dem Inkrafttreten am 16. Januar 2023 haben die Mitgliedsländer 21 Monate Zeit, NIS2 in nationales Recht zu überführen. Mit der neuen Richtlinie geht die EU einen weiteren Schritt, um das Cyberrisikomanagement zu verbessern. Ziel ist es, den Schutz von Netzwerk- und Informationssystemen vor Cyberattacken weiter zu stärken und Richtlinien in den 27 Mitgliedsstaaten der EU etwa durch Mindestanforderungen zu vereinheitlichen. Im Zuge dessen werden die Bußgeldzahlungen, für den Fall, dass Betreiber kritischer Infrastrukturen die Vorgaben nicht erfüllen, erhöht. Zeitgleich werden die nationalen Behörden zu einer strikteren Überwachung der Einhaltung angehalten.
Neue Sektoren und neue Pflichten
Mit der NIS2 wurde die Zahl der betroffenen Sektoren gegenüber der NIS erweitert. So gibt es nun sieben kritische Essential Sectors und elf Important Entities, die sich aktuell nur teilweise mit den deutschen KRITIS-Sektoren und den UBI (Unternehmen im besonderen öffentlichen Interesse) decken. Daher sind hier bei der deutschen Gesetzgebung noch Anpassungen zu erwarten. Zu den wesentlichen Einrichtungen gehören Unternehmen aus den Bereichen Energie, Transport, Banken, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser und digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Die wichtigsten Einrichtungen umfassen Anbieter in den Bereichen Post und Kurier, Abfallwirtschaft, Chemie, Ernährung, Industrie, digitale Dienste und Forschung.
Die Anforderungen an die Cybersecurity für Betreiber von Einrichtungen kritischer Dienstleistungen in den genannten Sektoren steigen. Für den Schutz der IT und der Netzwerke sind sie unter anderem zum Einsatz von Incident Management Systemen, sicheren Authentifizierungsmassnahmen wie Multi-Faktor-Authentifizierung und Single Sign-on oder Notfall-Kommunikations-Systemen, verpflichtet. Es muss ferner sichergestellt sein, dass auf Sicherheitsvorfälle rechtzeitig reagiert wird und die erste Benachrichtigung innerhalb von 24 Stunden an die zuständigen Behörden erfolgt. Unternehmen sollten bei alldem auch beachten, dass die Geldbußen bei Verstößen gegen die in der Richtlinie definierten Pflichten und Vorgaben drastisch sind. Der Höchstbetrag im Fall von wesentlichen Einrichtungen beträgt mindestens 10 Mio. Euro oder im Falle einer juristischen Person 2 Prozent des gesamten weltweiten Umsatzes des Vorjahres. Bei wichtigen Einrichtungen beträgt die Höchststrafe mindestens 7 Mio. Euro beziehungsweise 1,4 Prozent des Umsatzes.
Unternehmen sind schlecht vorbereitet
Die NIS2 bedeutet für viele Unternehmen, dass sie ihre aktuellen Routinen zur Erkennung und Abwehr von Cyber-Angriffe auf den Prüfstand stellen und sich für die neuen Vorgaben rüsten müssen. Obwohl noch einige Zeit vergehen wird, bis sie in den europäischen Mitgliedsländern verpflichtend greifen, sind Sicherheitsverantwortliche gut beraten, bereits heute entsprechende Maßnahmen zu ergreifen. Ohnehin gilt: Cyberkriminelle sind jetzt schon hochgerüstet.
Dabei stellt sich die Sicherheitslage in vielen Unternehmen erschreckend schlecht dar, wie das Nevis Sicherheitsbarometer zeigt. Dafür hat der Customer Identity and Access Management (CIAM)-Spezialist zusammen mit den Meinungsforschungsunternehmen Civey und mo’web research im vergangenen Sommer 500 deutsche IT-Entscheider und 1.000 deutsche Konsumenten befragt. Wie bereits 2021 stellte sich erneut heraus, dass die IT-Sicherheit von Unternehmensdaten häufig ausbaufähig ist und viele IT-Entscheider in puncto Know-how nicht auf dem neusten Stand sind. So gehören zu den meistgenannten Sicherheitsmaßnahmen, vorgeschriebene Mindestlängen für Passwörter (65 Prozent) sowie die Verpflichtung zu regelmäßige Passwortänderungen (41 Prozent). Lediglich 34 Prozent nutzen bereits die Zwei-Faktor-Authentifizierung per SMS und nur 21 Prozent die sicherere biometrische Zwei-Faktor-Authentifizierung. Wie ernst die Lage ist, offenbart die Aussage von rund zehn Prozent der befragten IT-Verantwortlichen, dass sie keine Maßnahmen für erhöhte IT-Sicherheit ergreifen. Mit Cybersecurity-Standards wie FIDO, OAuth oder WebAuthn, als verlässliche Datenschutz-Leitlinien, ist zudem die Hälfte (47 Prozent) der Spezialisten nicht vertraut.
Moderne Lösungen entlasten Sicherheitsteams
Des Weiteren kommt hinzu, dass in vielen Sicherheitsteams heute der Schwerpunkt auf der Wartung genutzter Technologien liegt, um die Bedrohungserkennung zu optimieren. Maßnahmen für die automatisierte Reaktion auf Attacken kommen aus Zeitgründen zu kurz. Um dem Abhilfe zu schaffen und sich gleichzeitig sowohl für NIS2 als auch die unvermindert kritische Bedrohungssituation zu rüsten, sollten Unternehmen moderne Lösungen, die Sicherheitsrisiken minimieren, einsetzen. Systeme zur Angriffserkennung oder CIAM, mit Multi-Faktor-Authentifizierung und Single Sign-on, unterstützen sie dabei, den Vorgaben der NIS2 zu entsprechen. Außerdem versetzen sie Sicherheitsteams kosteneffizient in die Lage, ihre Kapazitäten auf die aktive Reaktion auf Cybergefahren zu fokussieren.
Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen: Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Lösungen von Nevis. Der Spezialist für Authentifizierung unterhält Standorte in der Schweiz, Deutschland, UK und Ungarn.
Nevis Security AG
Birmensdorferstrasse 94
CH8003 Zurich
Telefon: +49 (89) 8038684
http://www.nevis.net
LEWIS Communications GmbH
Telefon: +49 (89) 173019-38
E-Mail: nevis-security@teamlewis.com