In einem früheren Blog-Beitrag habe ich die zwei Hauptbereiche für die Prüfung erörtert, bevor die aktualisierte Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) der Europäischen Union im Oktober 2024 ratifiziertes Recht wird. Konkret würden diese Audits:

Ihre Lücken bezüglich der Anforderungen der NIS2-Richtlinie identifizieren.

Ihre aktuellen Sicherheitsmängel in der Lieferkette überprüfen

Jetzt, da wir diese Sicherheitslücken entdeckt haben, müssen wir sie beheben – bevor die Zeit im Oktober 2024 abläuft.

In diesem Beitrag zeige ich Ihnen, wie Sie Ihre größten Sicherheitsschwächen noch vor Ablauf der NIS2-Richtlinie beheben können, indem Sie diese drei Schlüsselbereiche angehen:

1. Informieren Sie das Management über Ihre Lücken – und erhalten Sie ein Budget, um sie zu beheben.

Die NIS2-Richtlinie erlegt Organisationen, die in ihren Anwendungsbereich fallen, erhebliche Verpflichtungen auf, die erhebliche Kosten und Ressourcen nach sich ziehen können. Die Richtlinie sieht auch hohe Geldstrafen und Sanktionen für die Nichteinhaltung vor, die bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes einer Organisation betragen können (Artikel 34).

Darüber hinaus kann die neue Richtlinie in bestimmten Situationen die Haftung von Unternehmen auf ihre einzelnen Vertreter ausweiten. Außerdem können Personen in Führungspositionen unter bestimmten Voraussetzungen vorübergehend suspendiert werden (Artikel 32-5b).

Daher ist die Befolgung der NIS2-Richtlinie eine rechtliche Notwendigkeit und eine strategische Priorität.

Um die Vorschriften einzuhalten, müssen Sie folgendes tun:

  • Informieren Sie Ihr Management über die Auswirkungen und Vorteile und überzeugen Sie es davon, ausreichend Budget und Ressourcen für die Umsetzung der Compliance bereitzustellen.
  • Präsentieren Sie einen klaren Business Case, der die Risiken der Nichteinhaltung, die Chancen der Einhaltung und die Rentabilität der Investition darlegt.
  • Zeigen Sie, wie die Einhaltung von Vorschriften den Ruf, die Vertrauenswürdigkeit, die Wettbewerbsfähigkeit und die Widerstandsfähigkeit Ihres Unternehmens verbessern wird.

Das Management zu informieren und ein Budget zu erhalten, ist eine schwierige Aufgabe, die eine überzeugende und evidenzbasierte Argumentation erfordert, die den Wert der Cybersicherheit für Ihr Unternehmen aufzeigt.

Je früher Sie mit diesem Prozess beginnen, desto mehr Zeit haben Sie, sich die Zustimmung und Unterstützung des Managements zu sichern.

Mögliche Geschäftsvorteile für die Einhaltung von NIS2

Einige mögliche Vorteile, die Sie in Ihrem Business Case hervorheben können, sind:

  • Senkung der Betriebskosten durch das Verhindern oder Minimieren von Verlusten durch Cyberangriffe, wie Ausfallzeiten, Datenschutzverletzungen, Lösegeldzahlungen, Gerichtsverfahren usw.
  • Steigerung des Umsatzes durch die Gewinnung oder Bindung von Kunden, die Wert auf Sicherheit, Datenschutz, Qualität und so weiter legen.
  • Effizienzsteigerung durch Rationalisierung von Prozessen, Verbesserung der Leistung, Reduzierung von Fehlern usw.
  • Innovation durch die Einführung neuer Technologien, die Entwicklung neuer Produkte oder Dienstleistungen, die Schaffung neuer Märkte und mehr.
  • Befolgung anderer Cybersicherheitsvorschriften oder -standards jenseits von NIS2 – wie DSGVO/GDPR, ISO 27001, PCI DSS und andere – da globale Rahmenwerke oft eine große Überschneidung mit den Compliance-Anforderungen von NIS2 aufweisen.

Mögliche Informationsquellen für die Begründung Ihres Business Case zur Einhaltung von NIS2

Einige Quellen, die Sie zur Unterstützung Ihres Business Case verwenden können, sind:

  • Statistiken oder Fakten die die Häufigkeit, die Auswirkungen oder die Kosten von Cyberangriffen in Ihrem Sektor oder Ihrer Region zeigen.
  • Fallstudien oder Beispiele, die zeigen, wie andere Organisationen von der Einhaltung der NIS2-Richtlinie oder ähnlicher Vorschriften profitiert haben. Der Bericht Enisa NIS Investments 2022 zeigt beispielsweise, dass für 62 % der Organisationen, die die ältere NIS-Richtlinie umgesetzt haben, solche Implementierungen bei der Erkennung von Sicherheitsvorfällen hilfreich waren; für 21 % waren die Implementierungen bei der Wiederherstellung von Sicherheitsvorfällen hilfreich.
  • Empfehlungen oder Feedback von Kunden, Partnern, Aufsichtsbehörden oder Experten, die die Einhaltung der NIS2-Richtlinie oder ähnlicher Vorschriften befürworten oder empfehlen.
  • Benchmarks oder Indikatoren, die Ihre aktuelle oder geplante Cybersicherheitsleistung oder Ihren Fortschritt im Vergleich zur NIS2-Richtlinie oder zu Ihren Wettbewerbern aufzeigen.
  • Ivanti’s 2023 Cyberstrategy Tool Kit for Internal Buy-In ist ebenfalls eine großartige Ressource, welche die nötige Zeit und die Kosten erklärt und beschreibt, wie eine Lösung hilft, sich gegen bestimmte Arten von Cyberangriffen zu verteidigen, und wie man auf häufige Einwände reagiert und sie überwindet.

Allgemeine geschäftliche Vorteile der Einhaltung der NIS2-Richtlinie

Einige der Vorteile der Einhaltung der NIS2-Richtlinie sind:

  • Senkung der Betriebskosten durch das Verhindern oder Minimieren von Verlusten durch Cyberangriffe, wie Ausfallzeiten, Datenschutzverletzungen, Lösegeldzahlungen, Gerichtsverfahren usw. Nach einem Bericht von IBM beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 auf 4,82 Millionen US-Dollar für Unternehmen mit kritischen Infrastrukturen, und die durchschnittliche Zeit zur Identifizierung und Eindämmung einer Verletzung betrug 277 Tage. Wenn Sie Maßnahmen ergreifen, um die NIS2-Richtlinie einzuhalten, wird die durchschnittliche Zeit, die für die Identifizierung und Eindämmung eines Verstoßes benötigt wird, viel kürzer sein, und die Kosten des Angriffs werden geringer sein.
  • Steigerung des Umsatzes durch die Gewinnung oder Bindung von Kunden, die Wert auf Sicherheit, Datenschutz, Qualität und ähnliche Faktoren legen. Laut einer Umfrage von PwC geben 87 % der Verbraucher an, dass sie ihre Geschäfte woanders tätigen würden, wenn sie den Datenpraktiken eines Unternehmens nicht trauen, und 71 % der Verbraucher sagen, dass sie die Produkte oder Dienstleistungen eines Unternehmens nicht mehr nutzen würden, wenn sie herausfinden, dass es ihre Daten ohne ihre Zustimmung weitergibt, was bei einem Datenleck passieren könnte.
  • Effizienzsteigerung durch Rationalisierung von Prozessen, Verbesserung der Leistung, Verringerung von Fehlern und so weiter. Accenture hat herausgefunden, dass Unternehmen, die fortschrittliche Sicherheitstechnologien einsetzen, die Kosten für Cyberkriminalität um bis zu 48 % senken können.
  • Erfüllung anderer Vorschriften oder Standards, die Cybersicherheit erfordern, wie DSGVO/GDPR, ISO 27001, PCI DSS oder andere. Cisco weist darauf hin, dass 97 % der Unternehmen, die DSGVO/GDPR befolgen, Vorteile sehen, wie z. B. Wettbewerbsvorteile, betriebliche Effizienz und geringere Verzögerungen im Vertrieb. Ähnliche Ergebnisse sind wahrscheinlich durch die Einhaltung von NIS2 zu erzielen.

Was die Budgetierung anbelangt, so heißt es im Richtlinienvorschlag der Europäischen Kommission (Anhang 7 – 1.4.3), dass Unternehmen, die in den Anwendungsbereich des NIS2-Rahmens fallen, in den ersten Jahren nach der Einführung des NIS2-Rahmens schätzungsweise maximal 22 % ihrer derzeitigen IKT-Sicherheitsausgaben erhöhen müssten.

In dem Vorschlag wird jedoch auch erwähnt, dass diese durchschnittliche Erhöhung der IKT-Sicherheitsausgaben zu einem proportionalen Nutzen solcher Investitionen führen würde, insbesondere aufgrund einer beträchtlichen Reduzierung der Kosten von Cybersicherheitsvorfällen.

2. Neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen

Nachdem Sie die Lücken erforscht und ein Budget erstellt haben, ist es an der Zeit, diese Lücken zu schließen. Die NIS2-Richtlinie verpflichtet Unternehmen, geeignete organisatorische und technische Maßnahmen zu ergreifen, um ihre Cybersicherheitsrisiken zu verwalten und ein hohes Maß an Sicherheit in ihren Netzwerken und Informationssystemen zu gewährleisten.

Zu diesen Maßen gehören:

  • Annahme von Richtlinien und Verfahren für das Risikomanagement, die Reaktion auf Vorfälle, die Geschäftskontinuität, den Datenschutz und so weiter.
  • Einrichtung von Rollen und Verantwortlichkeiten für die Verwaltung, Überwachung, Koordinierung und andere Bereiche der Cybersicherheit.
  • Angebot von Schulungen und Sensibilisierungsprogrammen für Mitarbeitende, Management, Kunden, etc.
  • Implementierung grundlegender Cyber-Hygiene wie Verschlüsselung, Authentifizierung (MFA), Firewalls, Antivirensoftware, Patches, Zero Trust-Zugang und so weiter.
  • Durchführung regelmäßiger Tests, Überwachung, Audits und anderer Maßnahmen.

Die Umsetzung dieser organisatorischen und technischen Maßnahmen ist keine einmalige oder statische Aufgabe. Sie erfordert die Einrichtung eines kontinuierlichen und dynamischen Prozesses, der sich an veränderte Bedrohungen, Technologien, Vorschriften und Geschäftsanforderungen anpasst.

Für diesen Prozess gilt also derselbe Rat wie für die anderen Punkte, die wir bereits behandelt haben: Je früher Sie damit beginnen, desto mehr Zeit haben Sie, um die notwendigen Maßnahmen umzusetzen und deren Effektivität und Effizienz sicherzustellen.

Ich würde Ihnen raten, mindestens im Januar 2024 mit der Umsetzung zu beginnen, damit Sie noch vor den Sommerferien fertig sind.

Nächste Schritte für die Umsetzung der NIS2-Richtlinie

Einige mögliche Schritte, die Sie zur Umsetzung organisatorischer und technischer Maßnahmen unternehmen können, sind:

  • Entwicklung und Implementierungeines risikobasierten Managementprozesses, der Ihre Ziele, den Umfang, die Rollen, die Verantwortlichkeiten, die Ressourcen, die Zeitpläne und die Messgrößen für die Verwaltung Ihrer Cybersicherheitsrisiken definiert.
  • Implementierung einer Sicherheitsrichtlinie, die Ihre Prinzipien, Richtlinien, Standards und Verfahren zur Gewährleistung der Sicherheit Ihres Netzwerks und Ihrer Informationssysteme festlegt.
  • Durchführen von Risikobewertungen, um Ihre Assets, Bedrohungen, Sicherheitslücken, Auswirkungen und Wahrscheinlichkeiten von Cyberangriffen zu identifizieren und Ihre Maßnahmen auf der Grundlage Ihrer Risikobereitschaft und -toleranz zu priorisieren.
  • Implementierung von Sicherheitskontrollen, die Ihr Netzwerk und Ihre Informationssysteme vor unbefugtem Zugriff, Verwendung, Offenlegung, Veränderung oder Zerstörung schützen. Diese Kontrollen lassen sich in drei Kategorien einteilen: präventiv (z.B. Verschlüsselung), investigativ (z.B. Monitoring) und korrigierend (z.B. Backups).
  • Implementierung eines Plans zur Reaktion auf Vorfälle, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für eine effektive und effiziente Reaktion auf Cybervorfälle definiert.
  • Implementierung eines Business Continuity Plans, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für die Aufrechterhaltung oder Wiederherstellung Ihrer kritischen Geschäftsprozesse während einer cyberbedingten Störung oder Katastrophe definiert.
  • Implementierung eines Überprüfungs- und Verbesserungsplans, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für die regelmäßige Bewertung, Berichterstattung und Verbesserung Ihrer Cybersicherheitsmaßnahmen definiert.
  • Implementierung der technischen Kontrollen für die Asset-Verwaltung und grundlegende Cyber-Hygiene.

Der Verweis der Richtlinie auf die ‚grundlegende Cyberhygiene‘ ist in Artikel 21 etwas vage, daher werden wir in einem anderen Blogbeitrag darauf eingehen. Denken Sie zunächst an grundlegende Sicherheitsmaßnahmen wie z.B.:

  • MFA
  • Schnelles Patchen von Betriebssystem und Anwendungen
  • Absicherung von Netzwerkverbindungen in öffentlichen Netzwerken.
  • Verschlüsselung aller Laufwerke (insbesondere Wechsellaufwerke).
  • Verwaltung von Privilegien und Schulung aller Mitarbeitenden.
  • Abonnieren von Kanälen, die Sie über die neuesten Patches und Prioritäten informieren, wie z.B. die Patch Tuesday Webinare von Ivanti.

3. Reparieren Sie das schwächste Glied in der Kette: Nehmen Sie sich die Zeit, alle Mitarbeitenden zu schulen

Die NIS2-Richtlinie erkennt an, dass menschliche Faktoren für die Cybersicherheit von entscheidender Bedeutung sind und dass Mitarbeiter oft das schwächste Glied – sowie die erste Verteidigungslinie – bei der Verhinderung oder Aufdeckung von Cyberangriffen sind.

Die Richtlinie verpflichtet Organisationen, angemessene Schulungs- und Sensibilisierungsprogramme für ihre Mitarbeitenden, Nutzer digitaler Dienste und andere Stakeholder zu Fragen der Cybersicherheit bereitzustellen.

Die Schulung aller Ihrer Mitarbeitenden ist keine punktuelle oder optionale Aufgabe. Es erfordert ein regelmäßiges und umfassendes Programm, das Themen beinhaltet wie z.B.:

  • Grundlegende Konzepte und Terminologie der Cybersicherheit.
  • Übliche Cyberbedrohungen und Angriffsvektoren.
  • Bewährte Praktiken und Tipps für Cyberhygiene.
  • Cybersecurity-Richtlinien und -Verfahren, die für Endbenutzer relevant und vereinfacht sind.
  • Die Rolle und Verantwortung jedes Benutzers für die Cybersicherheit seines Unternehmens.
  • Wie man Vorfälle meldet und auf sie reagiert.

Es ist wichtig zu beachten, dass diese Schulung von allen im Unternehmen absolviert werden sollte, nicht nur von IT-Mitarbeitern. Auch das Management sollte diese Schulung absolvieren.

Eine im Auftrag von Ivanti durchgeführte Umfrage zeigt, dass viele Mitarbeitende nicht einmal von den obligatorischen Cybersicherheitsschulungen wissen. Nur 27 % von ihnen fühlen sich „sehr gut vorbereitet“, um Bedrohungen wie Malware und Phishing am Arbeitsplatz zu erkennen und zu melden. 6 % von ihnen fühlen sich „sehr gut vorbereitet“, um Bedrohungen wie Malware und Phishing bei der Arbeit zu erkennen und zu melden.

In Enisas Bericht über NIS-Investitionen 2022 erwähnt Enisa, dass 40 % der befragten OES (Betreiber essentieller Dienste) kein Sicherheitsprogramm für Nicht-IT-Mitarbeiter haben.

Es ist wichtig, zu überwachen, wer noch nicht geschult wurde und entsprechend zu handeln. Die Schulung aller Ihrer Mitarbeitenden ist nicht nur für die Einhaltung der Vorschriften von Vorteil, sondern auch für Produktivität, Qualität, Innovation und Kundenzufriedenheit.

Die besten NIS2-Ratschläge, die wir geben können

Die NIS2-Richtlinie ist eine bedeutende Gesetzgebung, die darauf abzielt, die Cybersicherheit in kritischen Sektoren in der EU zu verbessern. Sie erlegt den Organisationen, die in ihren Geltungsbereich fallen, erhebliche Verpflichtungen auf und sieht bei Nichteinhaltung hohe Geldstrafen und Sanktionen vor.

Die Befolgung der NIS2-Richtlinie ist eine komplexe Aufgabe. Sie erfordert einen proaktiven und umfassenden Ansatz, der mehrere Schritte, Stakeholder und Ressourcen umfasst.

Je früher Sie mit den Vorbereitungen beginnen, desto besser werden Sie vorbereitet sein, wenn sie im Oktober 2024 in Kraft tritt.

Der beste Rat, den wir Ihnen geben können? Warten Sie nicht bis dahin: Beginnen Sie jetzt mit der Vorbereitung auf die NIS2-Richtlinie!