Ivanti Blog: Beiträge von

5 Gründe, warum die Vorbereitung auf die NIS2-Richtlinie jetzt beginnen sollte, Teil zwei: Die Umsetzung braucht Zeit

Mon, 28 Aug 2023 17:43:02 Z

In einem früheren Blog-Beitrag habe ich die zwei Hauptbereiche für die Prüfung erörtert, bevor die aktualisierte Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) der Europäischen Union im Oktober 2024 ratifiziertes Recht wird. Konkret würden diese Audits:

Ihre Lücken bezüglich der Anforderungen der NIS2-Richtlinie identifizieren.

Ihre aktuellen Sicherheitsmängel in der Lieferkette überprüfen

Jetzt, da wir diese Sicherheitslücken entdeckt haben, müssen wir sie beheben – bevor die Zeit im Oktober 2024 abläuft.

In diesem Beitrag zeige ich Ihnen, wie Sie Ihre größten Sicherheitsschwächen noch vor Ablauf der NIS2-Richtlinie beheben können, indem Sie diese drei Schlüsselbereiche angehen:

Informieren Sie das Management über Ihre Cybersicherheitslücken
Setzen Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt um
Finden Sie Zeit für die Schulung aller Ihrer Mitarbeitenden

1. Informieren Sie das Management über Ihre Lücken – und erhalten Sie ein Budget, um sie zu beheben.

Die NIS2-Richtlinie erlegt Organisationen, die in ihren Anwendungsbereich fallen, erhebliche Verpflichtungen auf, die erhebliche Kosten und Ressourcen nach sich ziehen können. Die Richtlinie sieht auch hohe Geldstrafen und Sanktionen für die Nichteinhaltung vor, die bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes einer Organisation betragen können (Artikel 34).

Darüber hinaus kann die neue Richtlinie in bestimmten Situationen die Haftung von Unternehmen auf ihre einzelnen Vertreter ausweiten. Außerdem können Personen in Führungspositionen unter bestimmten Voraussetzungen vorübergehend suspendiert werden (Artikel 32-5b).

Daher ist die Befolgung der NIS2-Richtlinie eine rechtliche Notwendigkeit und eine strategische Priorität.

Um die Vorschriften einzuhalten, müssen Sie folgendes tun:

Informieren Sie Ihr Management über die Auswirkungen und Vorteile und überzeugen Sie es davon, ausreichend Budget und Ressourcen für die Umsetzung der Compliance bereitzustellen.
Präsentieren Sie einen klaren Business Case, der die Risiken der Nichteinhaltung, die Chancen der Einhaltung und die Rentabilität der Investition darlegt.
Zeigen Sie, wie die Einhaltung von Vorschriften den Ruf, die Vertrauenswürdigkeit, die Wettbewerbsfähigkeit und die Widerstandsfähigkeit Ihres Unternehmens verbessern wird.

Das Management zu informieren und ein Budget zu erhalten, ist eine schwierige Aufgabe, die eine überzeugende und evidenzbasierte Argumentation erfordert, die den Wert der Cybersicherheit für Ihr Unternehmen aufzeigt.

Je früher Sie mit diesem Prozess beginnen, desto mehr Zeit haben Sie, sich die Zustimmung und Unterstützung des Managements zu sichern.

Mögliche Geschäftsvorteile für die Einhaltung von NIS2

Einige mögliche Vorteile, die Sie in Ihrem Business Case hervorheben können, sind:

Senkung der Betriebskosten durch das Verhindern oder Minimieren von Verlusten durch Cyberangriffe, wie Ausfallzeiten, Datenschutzverletzungen, Lösegeldzahlungen, Gerichtsverfahren usw.
Steigerung des Umsatzes durch die Gewinnung oder Bindung von Kunden, die Wert auf Sicherheit, Datenschutz, Qualität und so weiter legen.
Effizienzsteigerung durch Rationalisierung von Prozessen, Verbesserung der Leistung, Reduzierung von Fehlern usw.
Innovation durch die Einführung neuer Technologien, die Entwicklung neuer Produkte oder Dienstleistungen, die Schaffung neuer Märkte und mehr.
Befolgung anderer Cybersicherheitsvorschriften oder -standards jenseits von NIS2 – wie DSGVO/GDPR, ISO 27001, PCI DSS und andere – da globale Rahmenwerke oft eine große Überschneidung mit den Compliance-Anforderungen von NIS2 aufweisen.

Mögliche Informationsquellen für die Begründung Ihres Business Case zur Einhaltung von NIS2

Einige Quellen, die Sie zur Unterstützung Ihres Business Case verwenden können, sind:

Statistiken oder Fakten die die Häufigkeit, die Auswirkungen oder die Kosten von Cyberangriffen in Ihrem Sektor oder Ihrer Region zeigen.
Fallstudien oder Beispiele, die zeigen, wie andere Organisationen von der Einhaltung der NIS2-Richtlinie oder ähnlicher Vorschriften profitiert haben. Der Bericht Enisa NIS Investments 2022 zeigt beispielsweise, dass für 62 % der Organisationen, die die ältere NIS-Richtlinie umgesetzt haben, solche Implementierungen bei der Erkennung von Sicherheitsvorfällen hilfreich waren; für 21 % waren die Implementierungen bei der Wiederherstellung von Sicherheitsvorfällen hilfreich.
Empfehlungen oder Feedback von Kunden, Partnern, Aufsichtsbehörden oder Experten, die die Einhaltung der NIS2-Richtlinie oder ähnlicher Vorschriften befürworten oder empfehlen.
Benchmarks oder Indikatoren, die Ihre aktuelle oder geplante Cybersicherheitsleistung oder Ihren Fortschritt im Vergleich zur NIS2-Richtlinie oder zu Ihren Wettbewerbern aufzeigen.
Ivanti’s 2023 Cyberstrategy Tool Kit for Internal Buy-In ist ebenfalls eine großartige Ressource, welche die nötige Zeit und die Kosten erklärt und beschreibt, wie eine Lösung hilft, sich gegen bestimmte Arten von Cyberangriffen zu verteidigen, und wie man auf häufige Einwände reagiert und sie überwindet.

Allgemeine geschäftliche Vorteile der Einhaltung der NIS2-Richtlinie

Einige der Vorteile der Einhaltung der NIS2-Richtlinie sind:

Senkung der Betriebskosten durch das Verhindern oder Minimieren von Verlusten durch Cyberangriffe, wie Ausfallzeiten, Datenschutzverletzungen, Lösegeldzahlungen, Gerichtsverfahren usw. Nach einem Bericht von IBM beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 auf 4,82 Millionen US-Dollar für Unternehmen mit kritischen Infrastrukturen, und die durchschnittliche Zeit zur Identifizierung und Eindämmung einer Verletzung betrug 277 Tage. Wenn Sie Maßnahmen ergreifen, um die NIS2-Richtlinie einzuhalten, wird die durchschnittliche Zeit, die für die Identifizierung und Eindämmung eines Verstoßes benötigt wird, viel kürzer sein, und die Kosten des Angriffs werden geringer sein.
Steigerung des Umsatzes durch die Gewinnung oder Bindung von Kunden, die Wert auf Sicherheit, Datenschutz, Qualität und ähnliche Faktoren legen. Laut einer Umfrage von PwC geben 87 % der Verbraucher an, dass sie ihre Geschäfte woanders tätigen würden, wenn sie den Datenpraktiken eines Unternehmens nicht trauen, und 71 % der Verbraucher sagen, dass sie die Produkte oder Dienstleistungen eines Unternehmens nicht mehr nutzen würden, wenn sie herausfinden, dass es ihre Daten ohne ihre Zustimmung weitergibt, was bei einem Datenleck passieren könnte.
Effizienzsteigerung durch Rationalisierung von Prozessen, Verbesserung der Leistung, Verringerung von Fehlern und so weiter. Accenture hat herausgefunden, dass Unternehmen, die fortschrittliche Sicherheitstechnologien einsetzen, die Kosten für Cyberkriminalität um bis zu 48 % senken können.
Erfüllung anderer Vorschriften oder Standards, die Cybersicherheit erfordern, wie DSGVO/GDPR, ISO 27001, PCI DSS oder andere. Cisco weist darauf hin, dass 97 % der Unternehmen, die DSGVO/GDPR befolgen, Vorteile sehen, wie z. B. Wettbewerbsvorteile, betriebliche Effizienz und geringere Verzögerungen im Vertrieb. Ähnliche Ergebnisse sind wahrscheinlich durch die Einhaltung von NIS2 zu erzielen.

Was die Budgetierung anbelangt, so heißt es im Richtlinienvorschlag der Europäischen Kommission (Anhang 7 – 1.4.3), dass Unternehmen, die in den Anwendungsbereich des NIS2-Rahmens fallen, in den ersten Jahren nach der Einführung des NIS2-Rahmens schätzungsweise maximal 22 % ihrer derzeitigen IKT-Sicherheitsausgaben erhöhen müssten.

In dem Vorschlag wird jedoch auch erwähnt, dass diese durchschnittliche Erhöhung der IKT-Sicherheitsausgaben zu einem proportionalen Nutzen solcher Investitionen führen würde, insbesondere aufgrund einer beträchtlichen Reduzierung der Kosten von Cybersicherheitsvorfällen.

2. Neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen

Nachdem Sie die Lücken erforscht und ein Budget erstellt haben, ist es an der Zeit, diese Lücken zu schließen. Die NIS2-Richtlinie verpflichtet Unternehmen, geeignete organisatorische und technische Maßnahmen zu ergreifen, um ihre Cybersicherheitsrisiken zu verwalten und ein hohes Maß an Sicherheit in ihren Netzwerken und Informationssystemen zu gewährleisten.

Zu diesen Maßen gehören:

Annahme von Richtlinien und Verfahren für das Risikomanagement, die Reaktion auf Vorfälle, die Geschäftskontinuität, den Datenschutz und so weiter.
Einrichtung von Rollen und Verantwortlichkeiten für die Verwaltung, Überwachung, Koordinierung und andere Bereiche der Cybersicherheit.
Angebot von Schulungen und Sensibilisierungsprogrammen für Mitarbeitende, Management, Kunden, etc.
Implementierung grundlegender Cyber-Hygiene wie Verschlüsselung, Authentifizierung (MFA), Firewalls, Antivirensoftware, Patches, Zero Trust-Zugang und so weiter.
Durchführung regelmäßiger Tests, Überwachung, Audits und anderer Maßnahmen.

Die Umsetzung dieser organisatorischen und technischen Maßnahmen ist keine einmalige oder statische Aufgabe. Sie erfordert die Einrichtung eines kontinuierlichen und dynamischen Prozesses, der sich an veränderte Bedrohungen, Technologien, Vorschriften und Geschäftsanforderungen anpasst.

Für diesen Prozess gilt also derselbe Rat wie für die anderen Punkte, die wir bereits behandelt haben: Je früher Sie damit beginnen, desto mehr Zeit haben Sie, um die notwendigen Maßnahmen umzusetzen und deren Effektivität und Effizienz sicherzustellen.

Ich würde Ihnen raten, mindestens im Januar 2024 mit der Umsetzung zu beginnen, damit Sie noch vor den Sommerferien fertig sind.

Nächste Schritte für die Umsetzung der NIS2-Richtlinie

Einige mögliche Schritte, die Sie zur Umsetzung organisatorischer und technischer Maßnahmen unternehmen können, sind:

Entwicklung und Implementierungeines risikobasierten Managementprozesses, der Ihre Ziele, den Umfang, die Rollen, die Verantwortlichkeiten, die Ressourcen, die Zeitpläne und die Messgrößen für die Verwaltung Ihrer Cybersicherheitsrisiken definiert.
Implementierung einer Sicherheitsrichtlinie, die Ihre Prinzipien, Richtlinien, Standards und Verfahren zur Gewährleistung der Sicherheit Ihres Netzwerks und Ihrer Informationssysteme festlegt.
Durchführen von Risikobewertungen, um Ihre Assets, Bedrohungen, Sicherheitslücken, Auswirkungen und Wahrscheinlichkeiten von Cyberangriffen zu identifizieren und Ihre Maßnahmen auf der Grundlage Ihrer Risikobereitschaft und -toleranz zu priorisieren.
Implementierung von Sicherheitskontrollen, die Ihr Netzwerk und Ihre Informationssysteme vor unbefugtem Zugriff, Verwendung, Offenlegung, Veränderung oder Zerstörung schützen. Diese Kontrollen lassen sich in drei Kategorien einteilen: präventiv (z.B. Verschlüsselung), investigativ (z.B. Monitoring) und korrigierend (z.B. Backups).
Implementierung eines Plans zur Reaktion auf Vorfälle, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für eine effektive und effiziente Reaktion auf Cybervorfälle definiert.
Implementierung eines Business Continuity Plans, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für die Aufrechterhaltung oder Wiederherstellung Ihrer kritischen Geschäftsprozesse während einer cyberbedingten Störung oder Katastrophe definiert.
Implementierung eines Überprüfungs- und Verbesserungsplans, der Ihre Prozesse, Rollen, Verantwortlichkeiten, Ressourcen, Tools und Kommunikationskanäle für die regelmäßige Bewertung, Berichterstattung und Verbesserung Ihrer Cybersicherheitsmaßnahmen definiert.
Implementierung der technischen Kontrollen für die Asset-Verwaltung und grundlegende Cyber-Hygiene.

Der Verweis der Richtlinie auf die ‚grundlegende Cyberhygiene‘ ist in Artikel 21 etwas vage, daher werden wir in einem anderen Blogbeitrag darauf eingehen. Denken Sie zunächst an grundlegende Sicherheitsmaßnahmen wie z.B.:

MFA
Schnelles Patchen von Betriebssystem und Anwendungen
Absicherung von Netzwerkverbindungen in öffentlichen Netzwerken.
Verschlüsselung aller Laufwerke (insbesondere Wechsellaufwerke).
Verwaltung von Privilegien und Schulung aller Mitarbeitenden.
Abonnieren von Kanälen, die Sie über die neuesten Patches und Prioritäten informieren, wie z.B. die Patch Tuesday Webinare von Ivanti.

3. Reparieren Sie das schwächste Glied in der Kette: Nehmen Sie sich die Zeit, alle Mitarbeitenden zu schulen

Die NIS2-Richtlinie erkennt an, dass menschliche Faktoren für die Cybersicherheit von entscheidender Bedeutung sind und dass Mitarbeiter oft das schwächste Glied – sowie die erste Verteidigungslinie – bei der Verhinderung oder Aufdeckung von Cyberangriffen sind.

Die Richtlinie verpflichtet Organisationen, angemessene Schulungs- und Sensibilisierungsprogramme für ihre Mitarbeitenden, Nutzer digitaler Dienste und andere Stakeholder zu Fragen der Cybersicherheit bereitzustellen.

Die Schulung aller Ihrer Mitarbeitenden ist keine punktuelle oder optionale Aufgabe. Es erfordert ein regelmäßiges und umfassendes Programm, das Themen beinhaltet wie z.B.:

Grundlegende Konzepte und Terminologie der Cybersicherheit.
Übliche Cyberbedrohungen und Angriffsvektoren.
Bewährte Praktiken und Tipps für Cyberhygiene.
Cybersecurity-Richtlinien und -Verfahren, die für Endbenutzer relevant und vereinfacht sind.
Die Rolle und Verantwortung jedes Benutzers für die Cybersicherheit seines Unternehmens.
Wie man Vorfälle meldet und auf sie reagiert.

Es ist wichtig zu beachten, dass diese Schulung von allen im Unternehmen absolviert werden sollte, nicht nur von IT-Mitarbeitern. Auch das Management sollte diese Schulung absolvieren.

Eine im Auftrag von Ivanti durchgeführte Umfrage zeigt, dass viele Mitarbeitende nicht einmal von den obligatorischen Cybersicherheitsschulungen wissen. Nur 27 % von ihnen fühlen sich „sehr gut vorbereitet“, um Bedrohungen wie Malware und Phishing am Arbeitsplatz zu erkennen und zu melden. 6 % von ihnen fühlen sich „sehr gut vorbereitet“, um Bedrohungen wie Malware und Phishing bei der Arbeit zu erkennen und zu melden.

In Enisas Bericht über NIS-Investitionen 2022 erwähnt Enisa, dass 40 % der befragten OES (Betreiber essentieller Dienste) kein Sicherheitsprogramm für Nicht-IT-Mitarbeiter haben.

Es ist wichtig, zu überwachen, wer noch nicht geschult wurde und entsprechend zu handeln. Die Schulung aller Ihrer Mitarbeitenden ist nicht nur für die Einhaltung der Vorschriften von Vorteil, sondern auch für Produktivität, Qualität, Innovation und Kundenzufriedenheit.

Die besten NIS2-Ratschläge, die wir geben können

Die NIS2-Richtlinie ist eine bedeutende Gesetzgebung, die darauf abzielt, die Cybersicherheit in kritischen Sektoren in der EU zu verbessern. Sie erlegt den Organisationen, die in ihren Geltungsbereich fallen, erhebliche Verpflichtungen auf und sieht bei Nichteinhaltung hohe Geldstrafen und Sanktionen vor.

Die Befolgung der NIS2-Richtlinie ist eine komplexe Aufgabe. Sie erfordert einen proaktiven und umfassenden Ansatz, der mehrere Schritte, Stakeholder und Ressourcen umfasst.

Je früher Sie mit den Vorbereitungen beginnen, desto besser werden Sie vorbereitet sein, wenn sie im Oktober 2024 in Kraft tritt.

Der beste Rat, den wir Ihnen geben können? Warten Sie nicht bis dahin: Beginnen Sie jetzt mit der Vorbereitung auf die NIS2-Richtlinie!

5 Gründe, warum die Vorbereitung auf die NIS2-Richtlinie jetzt beginnen sollte, Teil eins: Audits brauchen Zeit

Mon, 28 Aug 2023 17:14:55 Z

Sie haben wahrscheinlich von der aktualisierten Richtlinie der Europäischen Union zur Netz- und Informationssicherheit (NIS2) gehört. Diese Richtlinie wird im Oktober 2024 in aktives Recht umgesetzt. Sie sollten darauf vorbereitet sein, denn es drohen hohe Geldstrafen und Sanktionen bei Nichteinhaltung.

Aber Sie denken vielleicht, dass Oktober 2024 noch weit weg ist, oder?

Doch wie können Sie wissen, ob Sie genügend Zeit haben, sich vorzubereiten, wenn Sie nicht wissen, wie gut Sie die geplanten Vorschriften derzeit einhalten?

Zwischen jetzt und Oktober 2024 müssen Sie also Ihren aktuellen Cybersicherheitsstatus überprüfen. Konkret:

Identifizieren Sie Lücken bei der Erfüllung der Anforderungen der NIS2-Richtlinie, und zwar ab sofort
Überprüfen Sie Ihre aktuellen Sicherheitsmängel in der Lieferkette

Im zweiten Teil dieser Serie gehe ich auf die drei Bereiche ein, die Sie angehen müssen, um die Lücken zu schließen, die Ihre Audits aufdecken – einschließlich folgenden Dingen:

Wie Sie das Management über Ihre Cybersicherheitslücken informieren.
Wie Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen.
Wie Sie Zeit finden, um alle Ihre Mitarbeitenden zu schulen.

1. Identifizieren Sie Lücken bei der Erfüllung der Anforderungen der NIS2-Richtlinie, und zwar ab sofort

Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit, die rechtliche Maßnahmen zur Steigerung des allgemeinen Niveaus der Cybersicherheit in der EU vorsieht. Sie modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und der sich entwickelnden Bedrohungslandschaft im Bereich der Cybersicherheit Schritt zu halten.

Die Richtlinie dehnt den Geltungsbereich der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen aus und verbessert die Widerstandsfähigkeit und Reaktionsfähigkeit öffentlicher und privater Einrichtungen, der zuständigen Behörden und der gesamten EU.

Die NIS2-Richtlinie skizziert verstärkte Maßnahmen zur Abwehr von Cyberangriffen, um Sicherheitslücken zu minimieren und die Cyberverteidigung zu verbessern.

Um die NIS2-Richtlinie einzuhalten, müssen Sie folgendes leisten:

Bewerten Sie Ihre Cybersicherheitslage und identifizieren Sie alle Lücken oder Schwächen, die Sie Cyberrisiken aussetzen könnten.
Gleichen Sie Ihre bestehenden Richtlinien, Verfahren und Kontrollen mit den Anforderungen der Richtlinie ab und sehen Sie, wo Sie sie verbessern oder aktualisieren müssen.
Bewerten Sie Ihre Fähigkeiten zur Reaktion auf Vorfälle und Ihre Berichterstattungsmechanismen und stellen Sie sicher, dass diese mit den Standards der Richtlinie übereinstimmen.

Ein großes Problem mit der NIS2 ist, dass sie Ihnen sagt, was Sie tun sollen, aber nicht, wie Sie es tun sollen. Glücklicherweise gibt es mehrere Frameworks, die Ihnen beim Wie helfen können, darunter:

In Belgien hat die CCB ein Cyberfundamentals Framework geschaffen, das auf mehreren Frameworks basiert und Hinweise darauf enthält, wie sich die verschiedenen Teile der Frameworks auf die GDPR und NIS2 beziehen.

Nach der Auswahl des Frameworks müssen Sie Lücken in Bezug auf das gewählte Framework und die Anforderungen der Richtlinie identifizieren. Die Identifizierung von Lücken ist keine einfache oder schnelle Aufgabe. Sie erfordert eine gründliche und systematische Analyse des Reifegrads und der Bereitschaft Ihres Unternehmens in Sachen Cybersicherheit.

Sie müssen nicht nur Ihre Strategie und Richtlinien im Bereich Cybersicherheit überprüfen, sondern auch eine Risikoanalyse durchführen, um die kritischsten Assets und die von ihnen ausgehenden Cybersicherheitsrisiken zu ermitteln. Dann sollten Sie Sicherheitskontrollen in Betracht ziehen, um den Risikowert dieser wichtigen Assets zu senken.

Je früher Sie mit diesem Prozess beginnen, desto mehr Zeit haben Sie, um das Budget zu erhalten, das Sie benötigen, um alle Probleme zu lösen und alle notwendigen Änderungen umzusetzen.

Mögliche NIS2-Umgebungslücken

Einige mögliche Lücken, auf die Sie in Ihrer Umgebung stoßen könnten, sind:

Fehlen einer umfassenden Cybersicherheitsstrategie oder -politik, die alle Aspekte des Risikomanagements, der Reaktion auf Vorfälle, der Geschäftskontinuität, des Datenschutzes usw. abdeckt.
Fehlen eines speziellen Cybersecurity-Teams oder einer Funktion, das/die alle Cybersecurity-Aktivitäten und -Initiativen im gesamten Unternehmen beaufsichtigt, koordiniert und überwacht.
Mangel an angemessenen Sicherheitskontrollen oder -maßnahmen zum Schutz Ihres Netzwerks und Ihrer Informationssysteme vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Veränderung oder Zerstörung.
Fehlende regelmäßige Tests oder Audits Ihrer Sicherheitskontrollen oder -maßnahmen, um deren Effektivität und Übereinstimmung mit den Anforderungen der Richtlinie sicherzustellen.
Mangel an angemessenen Schulungen oder Sensibilisierungsprogrammen für Ihre Mitarbeiter, das Management, andere Mitarbeitende oder andere Stakeholder zu Fragen der Cybersicherheit und bewährten Verfahren.
Mangel an klaren Kommunikations- oder Meldekanälen für die Benachrichtigung der zuständigen Behörden oder Parteien über alle Vorfälle oder Verstöße, die Ihre Dienste betreffen.

Mögliche Sicherheitslösungen für Ihre Umgebung zur Einhaltung von NIS2

Um diese Sicherheitslücken zu erkennen und zu beheben, können Sie:

Gap-Analyse-Frameworks oder -Modelle durchführen, die Ihnen helfen, Ihren aktuellen Zustand mit dem gewünschten Zustand zu vergleichen und Bereiche mit Verbesserungsbedarf zu identifizieren.
Cybersecurity-Reifegradmodelle oder -Standards implementieren, die Ihnen helfen, Ihr Leistungsniveau und Ihren Fortschritt im Bereich Cybersecurity zu messen.
Eine Risikobewertung durchführen, um Ihre Assets, Bedrohungen, Sicherheitslücken, Auswirkungen und Wahrscheinlichkeiten von Cyberangriffen zu ermitteln.
Externe Audits oder Bewertungen beauftragen, die Ihnen helfen, Ihren Compliance-Status zu überprüfen und Schwachstellen oder Mängel zu identifizieren.

2. Überprüfen Sie die aktuellen Sicherheitsmängel in der Lieferkette mit genügend Zeit, um die Maßnahmen mit den Lieferanten zu koordinieren.

Die NIS2-Richtlinie führt auch neue Bestimmungen zur Sicherheit der Lieferkette ein (Kapitel 0, Punkt 54, 56) und berücksichtigt damit, dass Cyber-Bedrohungen auch von Drittanbietern oder Subunternehmern ausgehen können.

Die Richtlinie verlangt von Unternehmen, dass sie sicherstellen, dass ihre Lieferanten angemessene Sicherheitsstandards und -praktiken einhalten (Artikel 21-2d) und ihre Leistung und Einhaltung regelmäßig überwachen (Artikel 21-3).

Dies hat seinen Grund. Angriffe auf die Lieferkette sind auf dem Vormarsch:

In einer BlackBerry-Umfrage mit über 1500 IT-Entscheidungsträgern im Jahr 2022 gaben vier Fünftel der Befragten an, dass sie innerhalb eines Jahres von einem Angriff oder einer Sicherheitslücke in ihrer Lieferkette erfahren haben. Siebenundsiebzig Prozent gaben an, dass sie versteckte Teilnehmer in ihrer Software-Lieferkette aufgedeckt haben, die ihnen vorher nicht bekannt waren.

Untersuchungen von Accenture zeigen außerdem, dass 40 % der Sicherheitsverletzungen indirekt sind und über die Lieferkette erfolgen.

Daher ist die Sicherung Ihrer Lieferkette essentiell, um die Kontinuität Ihres Unternehmens, Ihre Widerstandsfähigkeit, Ihren Ruf und Ihr Vertrauen zu gewährleisten.

Aber in Ivantis Press Reset: A 2023 Cybersecurity Status Report haben wir herausgefunden, dass nur 42 % der über 1.300 befragten Führungskräfte und Sicherheitsexperten angaben, dass sie auf den Schutz vor Bedrohungen in der Lieferkette vorbereitet sind, obwohl 46 % dies als eine Bedrohung ersten Ranges bezeichnen.

Bedrohungen der Lieferkette kommen nicht nur durch Angriffe auf Lösungsanbieter wie Okta, Kaseya oder SolarWinds, sondern auch durch Partner, die entweder direkt mit Ihrer IT-Infrastruktur verbunden sind oder sich in diese einloggen können.

Und vergessen Sie nicht die Angriffe auf Ihre Ressourcenlieferanten, die diese lahmlegen könnten, so dass sie bestimmte Ressourcen, die Sie für Ihre eigenen Operationen benötigen, nicht mehr liefern können. Sie müssen darauf vorbereitet sein und über Ersatzanbieter verfügen, die diese Ressourcen liefern können, wenn Ihr Hauptlieferant aufgrund eines Cyberangriffs oder aus anderen Gründen ausfällt.

Die Sicherheit der Lieferkette ist ein komplexes und anspruchsvolles Thema, das zahlreiche Akteure, Abhängigkeiten und Verbindungen umfasst - und nicht von heute auf morgen erreicht werden kann.

Sie müssen:

Klare und transparente Kommunikationskanäle mit Ihren Lieferanten schaffen und Ihre Erwartungen und Verpflichtungen bezüglich der Cybersicherheit definieren.
Regelmäßige Audits und Bewertungen der Sicherheitspraktiken Ihrer Lieferanten durchführen und sich vergewissern, dass diese die Anforderungen der Richtlinie erfüllen.
Notfallpläne und Backup-Lösungen für den Fall einer Unterbrechung oder Beeinträchtigung Ihrer Lieferkette etablieren.

Außerdem müssen Sie so bald wie möglich mit Ihren Lieferanten ins Gespräch kommen und mit ihnen zusammenarbeiten, um sicherzustellen, dass Ihre Lieferkette sicher und widerstandsfähig ist.

Herausforderungen für die Sicherheit der Lieferkette bei NIS2

Einige mögliche Herausforderungen, denen Sie bei der Sicherung Ihrer Lieferkette begegnen können, sind:

Mangelnde Sichtbarkeit oder Transparenz in Bezug auf die Sicherheitspraktiken, Richtlinien oder Vorfälle Ihrer Lieferanten.
Mangelnde Sichtbarkeit oder Transparenz in Bezug auf die Sicherheitspraktiken, Richtlinien oder Probleme bei Ihren Lieferanten.
Mangelnde Konsistenz oder Angleichung von Sicherheitsstandards, Anforderungen oder Erwartungen innerhalb Ihrer Lieferkette.
Mangel an Ressourcen oder Fähigkeiten, um die Sicherheitsleistung oder -einhaltung Ihrer Lieferanten zu überwachen, zu prüfen oder zu verifizieren.
Fehlen von Notfallplänen oder Backup-Lösungen, um Unterbrechungen oder Beeinträchtigungen Ihrer Lieferkette abzumildern oder zu beheben.
Mangel an Informationen darüber, was Sie von den Sicherheitspraktiken Ihres Lieferanten erwarten.

Lösungen für die Sicherheit der Lieferkette bei NIS2

Um diese Herausforderungen in der Lieferkette zu meistern, können folgendes tun:

Schließen Sie klare Verträge oder Vereinbarungen mit Ihren Lieferanten ab, die deren Sicherheitsverpflichtungen, Verantwortlichkeiten und Haftungen festlegen.
Entwickeln Sie gemeinsame Sicherheitskriterien, Richtlinien oder Rahmenwerke, die für alle Lieferanten in Ihrer Lieferkette gelten und mit den Anforderungen der Richtlinie übereinstimmen.
Implementieren Sie Sicherheitskontrollen, -maßnahmen oder -tools, die es Ihnen ermöglichen, die Sicherheitsaktivitäten, Vorfälle oder den Compliance-Status Ihrer Lieferanten zu verfolgen, zu überwachen oder zu überprüfen.
Schaffen Sie gemeinsame Sicherheitsteams, Ausschüsse oder Foren, die den Informationsaustausch, die Zusammenarbeit und die Koordination zwischen Ihren Lieferanten oder zwischen Ihnen und Ihren Lieferanten erleichtern.
Bauen Sie Vertrauen und gegenseitiges Verständnis mit Ihren Lieferanten durch regelmäßige Kommunikation, Feedback und Anerkennung auf.

Wenn die Prüfungen der NIS2-Richtlinie abgeschlossen sind, was nun?

Nachdem Sie nun festgestellt haben, wo Sie in Bezug auf die NIS2-Richtlinie stehen, ist es an der Zeit, wichtige Änderungen vorzunehmen, um die Einhaltung bis Oktober 2024 sicherzustellen. Ich bin mir sicher, dass Sie für die Beseitigung der Lücken, die Sie bei Ihren Audits festgestellt haben, alle Zeit brauchen werden, die Sie haben – und noch etwas mehr! – bevor die Vorschriften in Ihrem Land offiziell umgesetzt werden.

Aber wie können Sie diese Lücken systematisch und zeitnah schließen? Wir besprechen die drei Bereiche der Sicherheitsänderungen, die Sie für NIS2 benötigen, in unserem nächsten Blog-Beitrag, in dem wir untersuchen:

Wie Sie das Management über Ihre Cybersicherheitslücken informieren.
Wie Sie neue organisatorische und technische Sicherheitsmaßnahmen korrekt umsetzen.
Wie Sie Zeit finden, um alle Ihre Mitarbeitenden zu schulen.