BLOG

NIS2: Ein brandneues Spotlight zum Thema Cybersicherheit

Bart Salaets Miniatur
Bart Salaets
Published September 29, 2023

Die neue EU-Richtlinie bedeutet für viele Unternehmen, dass sie mehr Sicherheit, Transparenz und Kontrolle benötigen.

Die überarbeitete Richtlinie zur Netzwerk- und Informationssicherheit (NIS) beinhaltet strenge Vorgaben und wird von vielen Unternehmen in der EU verlangen, die Cybersicherheit ernst zu nehmen.

In weniger als einem Jahr wird NIS2 (die neue Richtlinie) eine Vielzahl von Unternehmen dazu gesetzlich verpflichten, interne Systeme vollständig zu sichern und außerdem sicherzustellen, dass externe Schnittstellen nicht anfällig für Angriffe und Datendiebstahl sind.

Dabei wird großer Wert auf Risikomanagement, Berichterstattung und Wiederherstellung gelegt. Die Strafen bei Nichteinhaltung belaufen sich auf 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). 

Doch solche Geldstrafen könnten nur die Spitze einer viel größeren finanziellen Belastung sein.

Da NIS2 für eine weitaus größere Gruppe von Unternehmen gilt als ihr Vorgänger, werden sich die Auswirkungen in der Lieferkette bemerkbar machen. Cybersicherheit wird in Beschaffungsprozessen zu einem der wichtigsten Kriterien werden und könnte darüber entscheiden, welche Unternehmen neue Aufträge erhalten.

Leider verfügen die meisten Unternehmen intern nicht über die Kapazitäten, um die zahlreichen Vorgaben der neuen Richtlinie zu bewältigen, insbesondere da sich ihre Systeme zunehmend über mehrere Cloud-Umgebungen erstrecken und eine große Anzahl von Mitarbeiterinnen und Mitarbeitern weiterhin im Homeoffice arbeitet. 

NIS2 macht vollständige Transparenz zu einem Muss

NIS2 betrifft alle Unternehmen und Organisationen mit mehr als 50 Beschäftigten und einem Jahresumsatz von mehr als 10 Millionen Euro in den Bereichen Telekommunikation, Lebensmittel, Abfallwirtschaft, digitale Plattformen, öffentliche Einrichtungen und Lieferdienste. Sie wird darüber hinaus auch erhebliche Auswirkungen auf wesentliche Dienstleistungen haben, die von der ursprünglichen NIS abgedeckt werden, wie Energiewirtschaft, Gesundheitswesen, Bankwesen und Verkehr.

Da NIS2 von EU-Mitgliedstaaten implementiert wird, müssen betroffene Unternehmen sicherstellen, dass alle externen Schnittstellen geschützt sind, einschließlich jener Anwendungen, die für die Interaktion mit Kunden und Lieferanten verwendet werden. 

Kommt es zu einem Verstoß, müssen sie innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls einen Frühwarnbericht vorlegen, gefolgt von einer ersten Bewertung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. 

Daher wird es für Unternehmen unumgänglich sein, einen vollständigen Überblick darüber zu haben, was in ihren digitalen Abläufen und ihren digitalen Schnittstellen mit Kunden, Partnern und Lieferanten geschieht. 

Idealerweise sollte eine solche Maßregelung nicht wirklich notwendig sein: Schließlich finden die meisten geschäftlichen Interaktionen mittlerweile online statt, und die Verantwortlichen sollten bereits jetzt auf diese Art von Sichtbarkeit bestehen.

Dennoch werden viele kleinere Unternehmen, die in den Geltungsbereich der neuen Richtlinie fallen, nicht unbedingt über ein Sicherheitszentrum und die entsprechenden Berichtstools verfügen, die zur Einhaltung der Vorschriften erforderlich sind. Darüber hinaus ist es unwahrscheinlich, dass sie die erforderlichen Fähigkeiten und Ressourcen haben, um diese Tools intern zu entwickeln und auszubauen.

Es wird notwendig sein, einfach zu implementierende Mechanismen einzusetzen, um den NIS2-Verpflichtungen nachzukommen. Und das, ohne das Erlebnis von Kunden und Partnern zu beeinträchtigen. 

Vor allem wird hier eine zentrale Konsole nötig sein, über die Unternehmen ihr gesamtes Anwendungsportfolio verwalten können. Cloud-basierte Angebote zur Anwendungssicherheit und Anwendungsbereitstellung wie F5 Distributed Cloud Services können diesen Bedarf decken.

Auch für größere Organisationen ist all das nicht ganz einfach zu bewerkstelligen. Eine der größten Herausforderungen, die durch die verstärkte regulatorische Fokussierung auf Sicherheit entsteht, ist die zusätzliche Komplexität bezüglich der Sicherung und der Überwachung einer digitalen Infrastruktur, die sich zunehmend über mehrere Clouds und interne Rechenzentren erstreckt.

Mittlerweile werden viele Anwendungen und die dazugehörigen Microservices in mehreren Umgebungen ausgeführt. Während das Front-End einer App möglicherweise in einer öffentlichen Cloud läuft, könnte sich das Back-End in einem internen Rechenzentrum befinden. Gleichzeitig loggen sich Mitarbeiter zunehmend von vielen verschiedenen Orten aus in Systeme und Apps ein, etwa von zu Hause oder Co-Working-Spaces.

Um diese immer komplexer werdende digitale Landschaft in Einklang mit NIS2 zu sichern, benötigen viele Unternehmen einen verwalteten Dienst, der mehrere verschiedene Cloud-, Computer- und Netzwerkumgebungen abdecken kann. Wir bei F5 verfügen über dieses Fachwissen.

Auch wenn die Zeit drängt, bleibt noch Gelegenheit zum Handeln.

Die EU-Mitgliedsstaaten müssen die neue Richtlinie bis zum 18. Oktober 2024 in nationales Recht umsetzen. Es geht also darum, dass alle betroffenen Organisationen sicherstellen, dass ihre Sicherheits- und Überwachungsfähigkeiten robust genug sind, um Bußgelder und, was noch wichtiger ist, den damit verbundenen Reputationsschaden zu vermeiden, der durch Compliance-Fehler entsteht.

Die gute Nachricht ist, dass die Technologie, die sie benötigen, um in diesem neuen regulatorischen Umfeld erfolgreich zu sein, einsatzbereit ist. 

Wir werden in einem zukünftigen Blogbeitrag näher darauf eingehen und sichtbar machen, wie F5 Kunden bereits bei der Einhaltung von NIS2 unterstützt. Bleiben Sie dran!