Aktuelles, Branche - geschrieben von dp am Samstag, Mai 11, 2024 11:38 - noch keine Kommentare
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden
Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster
[datensicherheit.de, 11.05.2024] Auch Peter Sandkuijl, „VP Sales Engineering EMEA“ bei Check Point Software„Die NIS-2 der Europäischen Union bringt eine Reihe von Cyber-Sicherheitsanforderungen mit, die für eine größere Anzahl von Betreibern Kritischer Infrastrukturen gelten. Sie erfordert die Umsetzung geeigneter Maßnahmen zur Absicherung ihrer Netzwerke und Informationssysteme. Alle 27 EU-Mitgliedsstaaten müssen diese neuen Verpflichtungen in ihre nationalen Gesetze aufnehmen und sie bis Oktober 2024 in Kraft setzen.
Peter Sandkuijl: NIS-2 könnte in einigen Branchen tiefgreifende Auswirkungen u.a. auf die Unternehmenskultur, die Budgets und die Arbeitseinstellung von Mitarbeitern haben…
Aufgrund unzureichender Cyber-Sicherheitsmaßnahmen Geschädigte können rechtliche Schritte einleiten
Unternehmen, die unter die NIS-2 fallen, diese aber nicht einhalten, müssen nun ganz offensichtlich mit einer Reihe rechtlicher Konsequenzen rechnen: „Unter diese Verwaltungsstrafen fallen Geldbußen und andere Strafen, die denen der DSGVO ähneln.“ Darüber hinaus könne die Nichteinhaltung der Vorschriften dazu führen, dass Kunden oder andere Parteien, die aufgrund unzureichender Cyber-Sicherheitsmaßnahmen geschädigt wurden, eigene rechtliche Schritte einleiten.
Sandkuijl betont: „Um sicherzustellen, dass diese Strafandrohungen ernst genommen werden, ist in der Richtlinie eindeutig festgelegt, dass die Einhaltung der Vorschriften nachzuweisen und fehlendes Bewusstsein keine Entschuldigung ist.“ Letzteres werde vom IT-Manager über den „CISO“, den „DPO“ bis hin zum Vorstand wohl für entsprechendes Bewusstsein sorgen, „so dass sie entsprechende Maßnahmen ergreifen“. Die potenziellen Geldstrafen könnten darüber hinaus auch eine persönliche Haftung für „CEOs“ bedeuten – „was eine Premiere in der Cyber-Sicherheit darstellt“.
Von NIS-2 betroffene Organisationen benötigen zwingend eine Cyber-Sicherheitsstrategie
Sandkuijl ist überzeugt, dass die persönliche Haftung, Geldstrafen und die Verpflichtung, den Behörden jeden einzelnen Vorfall innerhalb von 24 Stunden zu melden, Auslöser für Verhaltensänderungen sein werden. Der Einfluss von externen Parteien auf die Dienstleistungen eines Unternehmens werde dazu führen, dass die gesamte Lieferkette unter die Lupe genommen werden müsse. „CEOs“ und andere Führungskräfte müssten eine Strategie für Dritte entwickeln, welche einen großen Einfluss auf Unternehmen weltweit haben werde – nicht nur auf Unternehmen in der EU.
Es gebe zwei Arten von NIS-2 betroffener Organisationen: „Diejenigen, die über eine Cyber-Sicherheitsstrategie verfügen, die die ,Business Continuity’ und die damit verbundenen Risiken berücksichtigt, werden nur wenig zusätzliche Arbeit haben.“ Auf der anderen Seite gebe es jedoch noch immer Organisationen ohne eine Cyber-Sicherheitsstrategie: „Sie haben möglicherweise noch einiges an Arbeit vor sich.“ Diese müssten ihre Cyber-Sicherheitslage bewerten und eine Risikoanalyse durchführen. Darüber hinaus müssten sie in „Security Awareness“-Trainings auf allen Ebenen investieren und technische Maßnahmen umsetzen. „All dies muss geschehen, bevor das Gesetz in Kraft tritt“, betont Sandkuijl.
NIS-2 beschreibt angemessenes Cyber-Schutzniveau – und lässt Raum für Auslegung
Er führt aus: „Das Problem ist, dass es sich um eine Leitlinie handelt, die weder eine Checkliste noch eine Reihe von Mindestanforderungen enthält. Sie beschreibt ein angemessenes Schutzniveau, das natürlich ausgelegt werden kann.“ Am besten sei es, zunächst die aktuelle Situation zu analysieren, einen Fahrplan mit klaren Zielen und Zeitvorgaben zu erstellen und dann loszulegen.
Dies werde sich auf die gesamte Organisation auswirken und könne in einigen Branchen tiefgreifende Auswirkungen auf die Unternehmenskultur, die Budgets, die Arbeitseinstellung von Mitarbeitern und vieles mehr haben. Zu den technischen Mindestanforderungen gehörten Firewall- und Intrusion-Prevention-Technologien, Endgeräteschutz, Mehrfaktor-Authentifizierungen, Datenverschlüsselung und Zugriffsbeschränkung sowie weitere bewährte Verfahren.
Weitere Informationen zum Thema:
CHECK POINT
What is the NIS2 Directive?
datensicherheit.de, 02.05.2024
NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit / Ari Albertini sieht Umsetzung der NIS-2-Richtlinie als notwendige, aber derzeit noch nicht hinreichende Maßnahme an
datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie
datensicherheit.de, 16.04.2024
NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos / Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben
Aktuelles, Experten, Studien - Nov 14, 2024 19:29 - noch keine Kommentare
Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
weitere Beiträge in Experten
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
Aktuelles, Branche, Studien - Nov 14, 2024 19:20 - noch keine Kommentare
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
weitere Beiträge in Branche
- Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe
- Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen
- Ymir: Kaspersky warnt vor neuentdeckter Ransomware
- Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
- JFrog-Analyse zur Gefährdung Maschinellen Lernens: Kritische Schwachstellen in ML-Frameworks entdeckt
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren