Alle Artikel anzeigen
Illustration einer Person, die durch eine geöffnete Tür in eine futuristische Welt geht

IT Security

NIS2: Ignoranz kann teuer enden

16. Januar 2024, Avatar of Andreas KlareAndreas Klare

Zuletzt haben wir hier in unserem Blog den Hintergrund der neuen Gesetzgebung NIS2 beleuchtet. Nun gilt es zu klären, welche Aufgaben sich daraus für die Unternehmen ergeben: Für wen hat NIS2 künftig konkrete Konsequenzen? Und wie kann UEM dabei helfen, einen Teil der Vorschriften umzusetzen?

Kurz & knapp

  • Ungenügende Absicherung der IT-Systeme ist ein offenes Scheunentor für Hackerangriffe.
  • Die Aktualisierung relevanter Geschäftsprozesse ist von entscheidender Bedeutung.
  • NIS2 ist eine echte Herausforderung, aber die Nicht-Umsetzung der Vorgaben wird in Zukunft sehr teuer.
  • Gerade in Zeiten des Fachkräftemangels ist UEM ein wichtiger Baustein zur Sicherung kritischer Infrastrukturen.

Welche Organisationen mit Sitz in der EU unter den Geltungsbereich der neuen NIS2-Direktive fallen, habe ich zuletzt im Blogartikel „NIS2: Für KRITIS-Unternehmen wird es jetzt KRITISCH“ schon beleuchtet. Aber auch zu meiner Star-Wars-Artikelreihe lässt sich der Bogen schlagen. Sagen wir mal so: Die Gebäudetechnik des Todessterns würde definitiv die neue NIS2-Richtlinie fallen. Mehr dazu verrate ich hier. Heute beschäftigen wir uns aber konkreter damit, was Unternehmen tun müssen und wen die Umsetzung konkret betrifft.

Klar ist: Alle betroffenen Unternehmen sind im Rahmen von NIS2 verpflichtet, ihre Aktivitäten in den Bereichen Risikoanalyse, Informationssicherheit, Maßnahmenbewertung und -umsetzung, Incident Response Management, Krisenmanagement und Schulungen auszubauen. 

Herausforderung der eigenen Ressourcen: Prozesse aktualisieren 

Ein zentraler Aspekt ist im weitesten Sinne die Cybersecurity. Gerade in Zeiten des Fachkräftemangels ist die NIS2-Umsetzung für viele Unternehmen eine echte Herausforderung, wenn nun noch mehr Manpower für Unternehmenssicherheit notwendig wird.

Unter bisherigen Gesetzgebungen war KRITIS (Unternehmen kritischer Infrastrukturen) die maßgebliche Kategorie. NIS2 unterscheidet künftig zwischen Betreibern von kritischen Anlagen (KRITIS), wichtigen und besonders wichtigen Einrichtungen. Konkret heißt NIS2 für sie: Sie müssen ihre technischen und organisatorischen Sicherheitsmaßnahmen im Bereich Vorfallsmanagement sowie ihre Business Continuity Pläne auf den neuesten Stand bringen. Außerdem sind sie zu regelmäßigen Risikobewertungen verpflichtet, um alle potenziellen Einfallstore zusätzlich abzusichern. Nur hier nochmal das Stichwort: Todesstern.

Betroffene Unternehmen haben wirksame Konzepte zur Risikoanalyse vorzulegen und darin auch zu bewerten, wie wirksam welche Maßnahmen sind. Hinzu kommen regelmäßige Schulungen im Bereich Cybersicherheit. Nicht zu vergessen: die Sicherheit von Lieferketten, Asset Management und sogar Personalsicherheit fallen unter NIS2.

Dabei – und das ist für betroffene Unternehmen wichtig – orientieren sich die erforderlichen Sicherheitsmaßnahmen nicht an den investierten Kosten für Cybersicherheit, sondern vor allem an den möglichen Auswirkungen. So müssen sich betroffene Unternehmen zum Beispiel bei der Agentur der Europäischen Union für Cybersicherheit (ENISA) registrieren und Sicherheitsvorfälle in der Regel in mehreren Stufen melden

  • Erstmeldung innerhalb von 24 Stunden
  • Aktualisierung dieser Erstmeldung innerhalb von 72 Stunden
  • Abschlussmeldung an das BSI innerhalb eines Monats

Geldbußen drohen: Mit NIS2 wird Cybersicherheit zur Chefsache

Mit NIS2 liegt die Gesamtverantwortung für Cybersicherheit und die Verhinderung von Sicherheitsvorfällen in KRITS-Unternehmen künftig beim obersten Management. Erfüllen Unternehmen die neuen Vorgaben nicht, können sie mit empfindlichen Geldbußen belegt werden. Unterm Strich heißt das: Die Verantwortung für NIS2-Compliance liegt künftig beim Management, CISOs und den Security-Abteilungen. Die tatsächliche Umsetzung im technischen Bereich fällt im Arbeitsalltag jedoch weiterhin vielfach in den Aufgabenbereich von IT-Fachkräften.

NIS2-Richtlinie: Warum Unternehmen jetzt handeln müssen

Für Unternehmen wird es jetzt also wirklich kritisch und sie müssen dringend Sicherheitsmaßnahmen ergreifen, um sich besser vor Bedrohungen zu schützen. Gleichzeitig gilt es dabei, bestehende Budget- und vor allem Personalgrenzen zu berücksichtigen. Dabei lohnt sich relativ schnell, in Abwehr- und Wiederherstellungsmaßnahmen zu investieren.

Denn Fakt ist: Die Einhaltung von NIS2-Anforderungen ist insgesamt für Unternehmen sinnvoll, denn dadurch verringert sich das Risiko von Cyberangriffen erheblich. Nicht zuletzt profitieren Unternehmen dadurch auch von einer besseren Effizienz und Produktivität.

Ein ganzer Werkzeugkasten, um Einfallstore effizient zu schließen

Die NIS2-Umsetzung bedeutet für viele Unternehmen im ersten Schritt zunächst viele technische und organisatorische Maßnahmen. Darüber hinaus gibt es kein einziges Tool, das dafür sorgt, alle NIS2-Anforderungen in Gänze zu erfüllen. Vielmehr sind in den meisten Unternehmen eine Palette an IT-Security-Lösungen im Einsatz, schon bevor NIS2 überhaupt im Raum stand. Die meisten von ihnen tragen nun auch zur NIS2-Compliance bei.

Zu ihnen zählen neben Network Access Control, Monitoring und anderen beispielsweise auch Client Management bzw. UEM-Lösungen, also Unified Endpoint Management. Mit ihnen verwalten und überwachen IT-Admins sämtliche Endpoints im Unternehmen automatisiert: Das fängt bei einer umfassenden Inventarisierung der Hard- und Softwareinformationen an. Dabei gilt es, keine Endpoint-Typen zu vernachlässigen und Steuerungen und Netzwerkgeräte ebenso konsequent einzubeziehen wie Windows-Rechner oder Mobilgeräte. Diese Form des Asset Managements bildet für einige NIS2-Anforderungen die nötige Grundlage, z.B. im Bereich Transparenz, Risikoanalyse und allgemeine Informationssicherheit.

Effektive Incident Prevention durch Schwachstellen- und Update Management

Spricht NIS2 von Cyberhygiene und Incident Prevention, fallen darunter natürlich Schwachstellen- und Update Management. Mit einer UEM-Lösung lassen sich jederzeit Patches und Hotfixes unternehmensweit per Richtlinie auf alle von einer Sicherheitslücke betroffenen Geräte der IT und/oder OT spielen. Mithilfe der kontinuierlichen Überwachung wissen die IT-Teams einfach stets den genauen Zustand (BIOS/UEFI, OS, Anwendungen, Konfiguration, Rechte, etc.) eines jeden Devices, ohne dabei umständlich jedes Gerät einzeln kontrollieren zu müssen. Auch Bedrohungen, die der Defender anzeigt, sind wertvolle Daten. Nur wer transparente Informationen über Schwachstellen hat, kann sie beseitigen und verhindern, dass sie wieder auftreten.

Und so selbstverständlich es vielleicht klingen mag: konsequentes Update Management ist ein zentraler Baustein für verlässliche IT-Sicherheit. Das heißt: Software und Betriebssysteme möglichst in der neuesten Version zu installieren und neuestem Stand zu halten. So ist auf jedem Rechner nur das drauf, was nötig und vertrauensvoll ist.

Sicherheitsmaßnahmen wie eine Festplattenverschlüsselung (Defense Control), Allow- bzw. Blocklisting von Software und ein Ticketsystem für eine schnelle Reaktionsfähigkeit runden ein UEM ab. Eine echte Entlastung für zuständige Fachkräfte, einen Teil der NIS2-Anforderungen zu erfüllen.

Automatisiertes Schwachstellenmanagement

Schwachstellen in kritischen Infrastrukturen sind mehr als nur lokale Herausforderungen. Wie automatisiertes Schwachstellenmanagement auch Ihrem Unternehmen bei der Adressierung der Sicherheitslücken helfen kann, erfahren Sie in unserem kostenlosen Whitepaper.

Zum Schwachstellen-Whitepaper

Alle Artikel anzeigen

Mehr lesen?

Einträge 1 bis 3 von 3

baramundi software GmbH
 Forschungsallee 3
86159 Augsburg, Deutschland

+49 821 5 67 08 - 0
info(at)baramundi.com

Newsletter

Jetzt kostenlosen Newsletter abonnieren und up-to-date bleiben!

Zur Anmeldung
Website durchstöbern
Impressum | Datenschutz | AGB | Gender-Hinweis
© 2024 baramundi software GmbH. All rights reserved.

Wie können wir Ihnen helfen?

+49 821 5 67 08 - 380

info(at)baramundi.com

30-Tage Testversion Newsletteranmeldung