Die ursprüngliche 2016 NIS-Richtlinie konzentrierte sich in erster Linie auf die Festlegung von Kernmaßnahmen für die Cybersicherheit zum Schutz einiger wichtiger miteinander verbundener EU-Dienste. Der Schwerpunkt lag auf Infrastrukturen, die als wesentlich angesehen wurden (wie Energie, Wasser, Verkehr, Gesundheitswesen und Banken) und unter die grundlegenden Schutzmaßnahmen der Richtlinie fielen.
Die NIS2-Richtlinie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie, indem sie zusätzliche Sektoren und Einrichtungen einbezieht. Sie gilt für Betreiber wesentlicher Dienste (OES) in Sektoren wie Energie, Verkehr, Banken und Finanzmarktinfrastruktur, Gesundheitswesen, Wasserversorgung und digitale Infrastruktur (wie Online-Marktplätze, Cloud Computing und Suchmaschinen) sowie für die Organisationen, die OES unterstützen.
Organisationen, die unter NIS2 fallen, müssen die Richtlinien bis zum 17. Oktober 2024 erfüllen. Es liegt im ureigensten Interesse der Unternehmen, diese Frist einzuhalten: Die NIS2 enthält nicht nur wirksame Empfehlungen für die Cybersicherheit, sondern sieht auch Geldbußen von bis zu 2% des weltweiten Umsatzes für Unternehmen vor, die in bestimmten Situationen gegen die Richtlinien verstoßen.
Die NIS2-Richtlinien legen zwar eindeutig fest, wer die Richtlinien befolgen muss und welche Strafen bei Nichteinhaltung drohen, aber es wird nicht definiert, wie sich Organisationen vorbereiten sollten. Sehen wir uns also die NIS2-Richtlinien und die bewährten Praktiken an, die Unternehmen anwenden sollten, um die Richtlinien einzuhalten und sich vor neuen Bedrohungen zu schützen.
Um die Organisationen, die einbezogen werden müssen, besser zu definieren, wurden zwei grundlegende Kriterien festgelegt: Sektor und Größe. Was den Sektor betrifft, so werden in den Anhängen 1 und 2 der NIS2 die Sektoren "hochkritisch" (auch als wesentliche Einrichtungen bezeichnet) und "kritisch" (auch als wichtige Einrichtungen bezeichnet) definiert. Es gibt elf hochkritische Sektoren, vor allem solche, die mit dem täglichen Betrieb der Wirtschaft eines Landes verbunden sind, wie Energie, Verkehr, Banken, Wasserversorgung, Gesundheitswesen, digitale Infrastruktur, Regierung und Raumfahrt. Kritische Sektoren werden mit Schlüsseldiensten in Verbindung gebracht, die die Wirtschaft eines Landes unterstützen, z. B. die Herstellung und der Vertrieb von Lebensmitteln, Chemikalien und Waren, die Abfallwirtschaft, digitale Anbieter wie Internetdienstleister und die Forschung.
Um die Größe zu berücksichtigen, kategorisiert NIS2 die Organisationen entweder als groß oder mittelgroß. Große Organisationen sind solche mit mehr als 250 Mitarbeitern und einem Umsatz von mindestens 50 Millionen Euro. Mittlere Organisationen sind solche mit weniger als 250 Mitarbeitern und einem Jahresumsatz von höchstens 50 Mio. EUR.
Im Hinblick auf die Zusammenarbeit sieht die NIS2 auch eine Struktur für die Meldung von Vorfällen vor. Dazu gehört die Einrichtung von Komponenten wie der zuständigen Behörde, der zentralen Anlaufstelle und des CSIRT (Computer Security Incident Response Team). Artikel 23 legt fest, was zu melden ist und welche Fristen einzuhalten sind.
Die Durchsetzung hängt davon ab, ob die Unternehmen die empfohlenen Maßnahmen zum Management von Cybersicherheitsrisiken und die Anforderungen an die Berichterstattung einhalten. Die Geldbußen für die Nichteinhaltung der Vorschriften können für "hochkritische" Unternehmen bis zu 10 Mio. EUR (oder bis zu 2% des weltweiten Umsatzes) und für "kritische" Unternehmen bis zu 7 Mio. EUR betragen.
Bis zum 17. Oktober 2024 müssen die Mitgliedsstaaten die notwendigen Maßnahmen zur Einhaltung der NIS2-Richtlinie erlassen und veröffentlichen. Aber was bedeutet das genau für die betroffenen Unternehmen?
Die NIS2 umreißt die wichtigsten Maßnahmen, die Sektoren und Organisationen mit digitaler Infrastruktur in der gesamten EU umsetzen müssen. Dazu gehören unter anderem die Verwendung von Multi-Faktor-Authentifizierung (MFA), Zugangskontrollrichtlinien und Asset-Management, grundlegende Cyberhygiene und Schulungen.
NIS2 definiert nicht, wiediese Maßnahmen zu erfüllen sind. Stattdessen wird auf andere Standards wie ISO, CIS, NIST oder IEC sowie auf die Zero-Trust-Grundsätze als Richtlinien verwiesen, die Organisationen befolgen sollten, um die Anforderungen zu erfüllen.
Diese Standards räumen der Identitätssicherheit Vorrang ein - zum Beispiel die ISO27002 Der Standard für Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre bietet nützliche Anleitungen zur Verbesserung der Zugangskontrolle, des Identitätsmanagements, der sicheren Authentifizierung und anderer Fähigkeiten, die mit NIS2 übereinstimmen. NIS2 empfiehlt auch NIST's sieben Grundsätze des Nullvertrauens, die ebenfalls die Kontrolle der Identitätssicherheit betonen.
Wenn die betroffenen Unternehmen diese beiden Ansätze befolgen, verfügen sie über eine gründliche Methodik, um die NIS2-Konformität zu erreichen und sich vor den häufigsten und schädlichsten Cyberangriffen zu schützen.
Ein altes Sprichwort besagt, dass Organisationen niemals eine gute Krise verschwenden sollten, und das ist bei NIS2 der Fall. Sie zwingt Organisationen dazu, alle Aspekte ihrer Sicherheitsprotokolle zu bewerten und sich auf die Zero-Trust-Grundsätze und relevanten Standards zu konzentrieren, die für ihr Unternehmen gelten. Dabei sollten Unternehmen NIS2 nicht als eine Kästchen-ÜbungWenn sie sich die Zeit nehmen, ihre Cybersicherheitslage zu bewerten, sollten sie in die Fähigkeiten investieren, die sie vor den häufigsten und folgenschwersten Angriffen schützen.
In den meisten Fällen ist das die Identität. Der 2023 Verizon Data Breach Investigations Report stellte fest, dass die "drei Hauptwege, über die sich Angreifer Zugang zu einem Unternehmen verschaffen, gestohlene Zugangsdaten, Phishing und die Ausnutzung von Schwachstellen sind". Darüber hinaus wurde die Verwendung gestohlener Zugangsdaten im letzten Jahr zum beliebtesten Einfallstor für Sicherheitsverletzungen. 49% aller Sicherheitsverletzungen betrafen Zugangsdaten, so der Bericht.
Es ist nicht nur so, dass die Identität der Bereich ist, der bei den meisten Angriffen kompromittiert wird, sondern auch, dass identitätsbezogene Angriffe die Unternehmen am meisten kosten. Der Cost of a Data Breach Report 2023 von IBM fand heraus, dass der häufigste erste Angriffsvektor Phishing war; es war auch einer der teuersten, der Unternehmen durchschnittlich $4,76 Millionen kostete.
Obwohl alle Sicherheitsbereiche wichtig sind, spielt die Identität, insbesondere in der hybriden Arbeitsumgebung, eine Schlüsselrolle bei der Sicherung Ihres Unternehmens. Unternehmen sollten einen auf Identitäten spezialisierten Sicherheitspartner mit der Durchführung einer NIS2-Bewertung beauftragen und die beste Mischung aus automatisierter Identitätserkennung, Authentifizierung, Zugriffsmanagement sowie Governance- und Lebenszykluslösungen empfehlen, damit Sie alle in der NIS2-Richtlinie festgelegten Ressourcen, Identitäten und Umgebungen schützen können.
Organisationen werden feststellen, dass eine einheitliche Identitätsplattform der einfachste Weg ist, um eine vollständige und umfassende End-to-End-Überprüfung und eine Reihe von Lösungen zu gewährleisten, die über alle NIS2-Anforderungen hinausgehen und skalierbar sind, um zukünftige Anforderungen zu erfüllen, wenn sich die Geschäfts- und Sicherheitsanforderungen weiterentwickeln.
Um mehr zu erfahren, kontaktieren Sie RSA, um Ihre NIS2-Identitätssicherheitsbewertung zu starten.
