Aktuelles, Interviews - geschrieben von cp am Montag, Juni 5, 2023 10:51 - ein Kommentar
NIS2 – Neue Richtlinie für Cybersicherheit
Was kommt auf Unternehmen zu kommt
[datensicherheit.de, 05.06.2023] Die NIS2-Richtlinie stellt innerhalb der Europäischen Union neue Anforderungen an das Management der Cybersicherheit. Öffentliche Einrichtungen und private Unternehmen sind verpflichtet, die Bestimmungen regelkonform umzusetzen. Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX, nimmt im Gespräch mit Herausgeber und Chefredakteur von datensicherheit.de (ds), Carsten J. Pinnow, aus Expertensicht zu wichtigen Fragen rund um NIS2 Stellung.
ds: Herr Rabben, was genau verstehen wir unter der NIS2-Richtlinie?
Rabben: Die im Dezember 2022 veröffentlichte NIS2-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016. Ziel der Europäischen Union war es damals, „Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ zu initiieren. NIS2 geht nun deutlich darüber hinaus und erweitert das Regelwerk. Die Notwendigkeit hierfür sah die EU in dem stark zunehmenden Bedrohungspotenzial durch Cyberkriminelle. NIS2 soll dazu beitragen, im gesamten europäischen Raum ein Maximum an IT-Sicherheit zu gewährleisten. Darüber hinaus dient die neue Richtlinie dazu, die nationalen Maßnahmenpakete der EU-Mitgliedstaaten auf ein einheitliches Fundament zu stellen. Diese sind verpflichtet, NIS2 innerhalb von etwa 20 Monaten in nationales Recht zu überführen.
ds: Worin unterscheiden sich die beiden Richtlinien im Wesentlichen?
Stefan Rabben: Der Regelungsbereich der NIS-Richtlinie umfasste neben konventionellen IT-Systemen und Netzwerken auch die Kritischen Infrastrukturen (KRITIS). NIS2 erweitert nun den ursprünglichen Anwendungsbereich: Das Regelwerk gilt für sogenannte wesentliche und wichtige Einrichtungen sowie für Institutionen der öffentlichen Verwaltung. Diese sind in der Pflicht, alle sicherheitsrelevanten Vorfälle in ihren IT-Systemen unverzüglich zu melden. Zudem müssen sie diverse Kontrollverfahren der nationalen Aufsichtsbehörden zulassen.
ds: Welche Sanktionen drohen bei Nichteinhaltung?
Stefan Rabben: Wird die Richtlinie missachtet, können die Behörden empfindliche Bußgelder anordnen. Halten die betroffenen Einrichtungen und Unternehmen die Anforderungen von NIS2 nicht konsequent ein, müssen die EU-Mitgliedsstaaten ihre Sanktionen gegenüber der NIS-Richtlinie sogar noch verschärfen. So können gegen wesentliche Einrichtungen Bußgelder von bis zu zehn Millionen Euro oder in Höhe von zwei Prozent des weltweiten Umsatzes erlassen werden.
ds: Worauf müssen Unternehmen bei der Umsetzung der neuen Richtlinie achten?
Stefan Rabben: Die NIS2-Richtlinie bringt für die jeweiligen Einrichtungen beträchtlichen organisatorischen Aufwand mit sich, was die Anpassung ihrer IT-Infrastrukturen betrifft. Um die erforderlichen Sicherheitsmaßnahmen zu realisieren und die entsprechenden Risiken einzudämmen, müssen die Akteure die typischen Gefahren neuer Technologien und IT-Praktiken im Detail kennen. Daher ist eine regelmäßige Risikobewertung und Einschätzung von Cybergefahren durchzuführen. Wesentliche und wichtige Einrichtungen sind darüber hinaus zur Umsetzung vorbeugender Maßnahmen zur Abwehr von Angriffen auf die IT-Sicherheit verpflichtet. Hierfür benötigen sie ausgefeilte technische Lösungen, welche die entsprechenden Anforderungen gezielt adressieren.
ds: Welche Maßnahmen unterstützen hierbei konkret? Und wie lassen sie sich technisch realisieren?
Stefan Rabben: Eine zentrale Rolle in diesem Kontext spielt ein durchdachtes Identitäts- und Berechtigungsmanagement. Dies hilft betroffenen Einrichtungen dabei, effektive Maßnahmen zur Prävention und Erkennung von Cybergefahren zu ergreifen und dadurch ein Maximum an Compliance-Sicherheit zu gewährleisten. Essenziell ist hierbei die Implementierung eines dreistufigen Sicherheitsverfahrens aus Identifizierung, Authentifizierung und Autorisierung. Dies stellt sicher, dass ausschließlich legitimierte Personen auf sensitive Applikationen und kritische Daten zugreifen können. Eine weitere Anforderung von NIS2 betrifft die umfassende Gewährung von Zugangsrechten zu privilegierten Konten. Eine praktikable Lösung hierfür bilden Tools für die privilegierte Zugangskontrolle (Privileged Access Management, PAM) wie etwa der PAM4ALL-Ansatz von WALLIX. Dieser erlaubt IT-Administratoren ein zentrales Management sämtlicher User und Systeme. Dies stellt sicher, dass ausschließlich legitimierten Anwendern zur richtigen Zeit der Zugang zu vertraulichen Ressourcen gewährt wird. Organisationen profitieren dadurch von einem optimalen Schutz ihrer Daten vor Cyberangriffen.
Weitere Informationen zum Thema:
datensicherheit.de, 08.12.2022
NIS2: Neue EU-Vorschriften zur Stärkung der Cyber-Sicherheit und Widerstandsfähigkeit
ein Kommentar
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU - datensicherheit.de
Kommentieren
Aktuelles, Experten - Nov 4, 2024 17:21 - noch keine Kommentare
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
weitere Beiträge in Experten
- Cyber-Schwachstellen von Alarmierungsbehörden und Außenministerien aufgedeckt
- Festnahmen in Hessen und Rheinland-Pfalz: BKA meldet erneuten Schlag gegen Underground Economy im Internet
- Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
Branche, Aktuelles - Nov 1, 2024 20:32 - noch keine Kommentare
Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
weitere Beiträge in Branche
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
- Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen
- Kaspersky-Entdeckung: Spyware-Verbreitung über Telegram
- it-sa Expo&Congress 2024 schloss mit starkem Andrang: 25.830 Fachbesucher und 897 Aussteller
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
[…] datensicherheit.de, 05.06.2023 NIS2 – Neue Richtlinie für Cybersicherheit […]