Lösungsübersicht | NIS 2 für Führungskräfte

NIS2 DIE NEUEN EUROPÄISCHEN COMPLIANCE-ANFORDERUNGEN EINFACH UND VERSTÄNDLICH ERKLÄRT
FÜR FÜHRUNGSKRÄFTE
NIS2
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 2
Marco Eggerling, LL.M, Global CISO, Check Point Software „Die NIS2 Direktive wird die Wahrnehmung von regulato- rischer Compliance in den europäischen Mitgliedsstaaten nachhaltig positiv beeinflussen und die Notwendigkeit für robuste Sicherheitsprogramme in den Fokus der Ge- schäftsführung rücken. Auch wird die Zusammenarbeit zwischen der Rechtsabteilung und der Informationssicher- heit gestärkt und die Rolle des CISO deutlich von jener des DPO separiert. Das Ziel von NIS2 ist es u.a. den Reifegrad der Informationssicherheit aller involvierter Unternehmen zu steigern, somit ist es auch die Aufgabe des CISO mehr in die Rolle des Beraters der Geschäfts- führung zu wachsen.“
Peter Sandkuijl, VP EMEA Engineering, Check Point Software
„Die NIS2 ist eine Richtlinie, die weder eine Checkliste noch eine Reihe von Mindestanforderungen enthält. Sie
beschreibt einen angemessenen Schutz, der natürlich offen für Interpretationen ist. Als Mindestanforderung kön-
nen wir jedoch davon ausgehen, dass Firewall- und Intrusion-Prevention-Technologien im Netzwerk, ein
ausreichender Schutz der Endgeräte, die Implementierung von Mehrfaktor-Authentifizierung, Datenverschlüsselung
und Zugangsbeschränkung sowie andere bewährte Verfahren dazugehören.“
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 3
Am 14. Dezember 2022 wurde eine neue Cybersicherheitsrichtlinie – Netzwerk- und Informationssicherheits Richtlinie 2 (NIS2) – vom Parlament und dem Rat der Europäischen Union verabschiedet. In Reaktion auf die seit Jahren zunehmende Cyberbedrohungslage soll die neue Richtlinie – Nachfolger des 2016 verabschiedeten NIS1 – die Cybersicherheitsmaßnahmen von Unternehmen und Einrichtungen mit Systemrelevanz erhöhen und vereinheitlichen und so die Cyber- risikolage der europäischen Wirtschaftslandschaft minimieren.
Mehr als 160.000 Unternehmen und Einrichtungen aus 27 EU-Mitglieds- staaten müssen, bis zum 17. Oktober 2024, Maßnahmen zur Einhaltung der NIS2-Richtlinie ergreifen, die Mitgliedsstaaten ihre Vorgaben in nationales Recht überführen und konkretisieren. In Deutschland liegt ein erster Entwurf für ein NIS2-Umsetzungs- und Cybersicherheitsstär- kungsgesetz (NIS2UmsuCG) bereits vor. Hierbei handelt es sich um ein Änderungsgesetz, das unter anderem das BSI-Gesetz verändern wird. Daneben wird das KRITIS-Dachgesetz ab 2024 die EU RCE umsetzen, auch hier liegt bereits ein Entwurf vor. Beide Initiativen sollen die Resi- lienz für KRITIS erhöhen.
Am 18. Oktober 2024 soll das NIS2UmsuCG in Kraft treten. Vier Jahre, bis Ende 2028, haben betroffene Unternehmen dann Zeit, die neuen Vorgaben zu implementieren und das erste Audit vorzulegen. Davor schon werden die neuen Verordnungen aber greifen. Kommt es zu einem erfolgreichen Cyberangriff, müssen die in NIS2 vorgesehenen Berichte umgesetzt werden.
Die von Parlament und Rat der Europäischen Union verabschiedeten Vorgaben bleiben unspezifisch. Ein konkretes Set an Minimalvorgaben sucht man im NIS2-Gesetzestext vergebens. Sie sind erst im Oktober, mit der Umsetzung durch die beauftragten nationalen Stellen, zu er- warten.
Der Versuch, sich ein umfassendes Bild von den Vorgaben zu machen und alle erforderlichen Maßnahmen einzuleiten, wird so wesentlich erschwert. Schon Informationssicherheitsexperten stoßen hier an ihre Grenzen. Noch mehr jedoch leiden die Führungskräfte von Einrichtungen und Unternehmen unter der unklaren Ausgangslage, betrifft sie doch die IT- und die Cyberwelt. Und das ist ein echtes Problem. Denn mit NIS2 werden sie erstmals persönlich für Misserfolge ihrer Cybersicherheit zur Verantwortung gezogen werden.
NIS2 Eine Richtlinie mit Spielraum
https://protect.checkpoint.com/v2/___https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2557___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OmNiZGQ6YjQ4Y2UzZDFmNjM5NWM1YWNhZjEyODg4ZWNlYTUwYjc1YTRkYmY4ODg0YzMzNTgzMGU1YWU2ZTg2YmMzYTYzODpwOlQ https://protect.checkpoint.com/v2/___https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/KRITIS-DachG.html___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjM2YTM6ZDZiNGI2OTk1MDVhODhiMGI1ZWU5YmYwNDRjYzllMmI0OGQyMzFlODJlYmMxY2VmYzgwMmJiNjRmY2Y4MzdmZTpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 4
Unternehmensstrafen für IT-Sicherheitsverstöße gibt es in Europa bereits seit der Einführung der DSGVO 2015. Seitdem wurden sie immer weiter verschärft, so dass bei schweren Verstößen mit bis zu 10 Millio- nen Euro oder 2 Prozent des weltweiten Jahresumsatzes gerechnet wer- den muss. NIS2 geht einen Schritt weiter. Zusätzlich werden – bei einem nachgewiesenen Fehlverhalten – die Führungskräfte eines Unterneh- mens, in NIS2 als „Leitungsorgane“ bezeichnet, in Haftung genommen.
NIS2 sieht vor, dass die Geschäftsführung die Risikomanagement-Maß- nahmen für Cybersicherheit billigt und die Umsetzung in ihrer Einrich- tung oder ihrem Unternehmen überwacht. Sie muss sicherstellen, dass im Fall eines erfolgreichen Angriffs betroffenen Partnern, Zulieferern und Kunden sowie den zuständigen nationalen Behörden Meldung ge- macht wird.
Um diesen Aufgaben gerecht zu werden, soll sie regelmäßig an Cyber- sicherheitsschulungen teilnehmen, die sie in die Lage versetzt, Cyber- risiken und Cybersicherheitsmaßnahmen zu erkennen und zu bewerten. Kommt sie dem nachgewiesenermaßen nicht nach, kann sie – per- sönlich – für die Vernachlässigung ihrer Sorgfaltspflicht haftbar gemacht werden.
Wie hoch die Strafe dann ausfällt, wie sie konkret auszusehen hat, kann jeder EU-Mitgliedsstaat für sich entscheiden. Doch gibt NIS2 vor, dass die Strafe „wirksam, verhältnismäßig und abschreckend“ zu sein hat. Ex- plizit erwähnt wird, dass die Geschäftsführung von der Wahrnehmung ihrer Leitungsaufgaben entbunden werden kann, bis die NIS2-Mängel ihrer Einrichtung beseitigt sind.
Aus diesem Grund ist es absolut erforderlich, dass auch die Geschäfts- führung – und damit auch Nicht-Informationssicherheitsexperten – sich mit NIS2 vertraut macht, grundlegend versteht, um was es geht und begreift, wie weit die neuen Vorgaben reichen. Schließlich ist sie es, die ab Oktober dieses Jahres bei einem nachgewiesenen Fehlverhalten zur Verantwortung gezogen werden wird.
Die erste Cyber- sicherheitsrichtlinie, die auch Führungs- kräfte in Haftung nimmt
NIS2 für Führungskräfte
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 5
Die NIS2 wird also umfassende Änderungen für die betroffenen Unter- nehmen bringen. Vielfach stellt sich jedoch die Frage, wie eine Umset- zung gelingt, um die IT-Sicherheit zu erhöhen und die Anforderungen nicht nur aus Compliance-Sicht abzuhaken. Die folgende Schritt-für- Schritt Anleitung soll anhand eines Hauses Aufschluss darüber geben, wie sich Daten und IT-Infrastruktur im Sinne der NIS2 absichern lassen. Letztlich gilt es für Führungskräfte einen Sicherheitsvorfall zu verhin- dern. Dies lässt sich mit physischen Sicherheitsmaßnahmen zur Abwehr von Einbrechern vergleichen.
Um das Risiko eines erfolgreichen Einbruchs zu reduzieren (und die Kosten der Hausratversicherung zu senken), müssen Grundstück und Gebäude in ausreichendem Maße und nachweislich vor dem Zutritt un- berechtigter Dritter geschützt sowie Grundstücksgrenzen abgesichert werden.
Ebenso verhält es sich mit der IT-Infrastruktur und den Daten von Ein- richtungen und Unternehmen, die von NIS2 betroffen sind. Auch diese müssen, um das Risiko eines erfolgreichen Cyberangriffs zu reduzie- ren, geschützt werden. Deshalb wird im folgenden die Absicherung des Hauses als Metapher für die Absicherung der IT-Infrastruktur genutzt. Um die NIS2-Vorgaben voll zu erfüllen, muss dieser Schutz umfassend, effektiv, kontinuierlich und nachweisbar sein. Für welche Cybersicher- heitsbereiche NIS2-Konformität nachgewiesen werden muss, darüber gibt im NIS2-Rechtstext das Kapitel IV Auskunft.
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 6
Insgesamt setzt sich der NIS2-Rechtstext aus 10 Kapiteln mit 46 Artikeln und 3 Anhängen zusammen. Die meisten dieser Kapitel betreffen Verpflichtungen der europäischen Mitgliedsstaaten. Anders Kapitel IV. Hier werden in Artikel 21 die von betroffenen Unter- nehmen und Einrichtungen auf ihre NIS2-Konformität zu überprüfenden Bereiche dargelegt.
Konkrete Maßnahmen werden dabei nicht genannt. In der Vorgabe heißt es lediglich: Unternehmen müssen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, die dem Stand der Technik und den geltenden Normen entsprechen“.
Die Bereiche, auf die diese Vorgabe Anwendung finden soll, umfassen:
1. Konzepte für die Risikoanalyse und Sicherheit, 2. Bewältigung von Sicherheitsvorfällen, 3. Aufrechterhaltung des Betriebs, 4. Sicherheit der Lieferkette, 5. Sicherheit bei Erwerb, Entwicklung und Wartung
von Netz- und Informationssystemen, 6. Bewertung der Wirksamkeit von Maßnahmen, 7. grundlegende Cyberhygieneverfahren und Cyber-
sicherheitsschulungen, 8. Konzepte und Verfahren für Kryptografie und Ver-
schlüsselung, 9. Sicherheit des Personals, Zugriffskontrolle und
Asset Management und 10. Authentifizierung und Kommunikation.
Kapitel IV, Artikel 21, Absatz 2 – der Sicherheitsbereichskatalog, auf den es ankommt
Informationssicherheitsexperten genügen diese Angaben, um zu verstehen, welche IT-Sicherheits- bereiche betroffen sind und welche Maßnahmen an den entsprechenden Stellen mit hoher Wahrscheinlichkeit zu implementieren sind. Nicht-Informationssicher- heitsexperten werden mit den Vorgaben jedoch nur wenig anzufangen wissen.
Visualisieren wir diese Vorgaben deshalb nun einmal im Kontext eines Objektschutzes für ein Haus samt Grund- stück und gehen die einzelnen Vorgaben dann Schritt für Schritt durch. Dieser Ansatz wurde gewählt, um zu verdeutlichen, dass eine nachträgliche Erkennung von Sicherheitsvorfällen wenig zielführend ist. Die Kos- ten für einen solchen liegen nach dem Cost of a Data Breach Report von IBM im Durchschnitt bei über vier Millionen Euro. Obwohl die Strafverfolgungsorgane in den vergangenen Jahren einige Erfolge wie bei Emotet und Anderen vermelden konnten, bleibt die Erfolgsrate gering. Deshalb empfiehlt sich nicht nur beim Thema Cybersicherheit ein präventiver Ansatz zur Verhinde- rung eines Einbruchs in die IT-Systeme wie auch in das Haus selbst:
2021 IT-Sicherheitsgesetz 2
2022Entwurf Cyber Resilience Act (CRA)
2023 NIS2 CER Richtlinie
AB OKTOBER 2024IT-Sicherheitsgesetz 3.0 (Umsetzung NIS2 Richtlinie)
2025 Umsetzung European Cyber Resilience Act (CRA)
https://protect.checkpoint.com/v2/___https://www.ibm.com/reports/data-breach___.YzJlOmNwYWxsOmM6bzplYTY3NmVlODllZWY2NGJjYTk1ZjlkYWI5MTdlOGJhZjo2OjIwOTU6ZmNlYjMwZDM5ZDViNDNmMDRlODVhMjJhOWFiNWI3YzQyOTcxYzY3YTU5ZWQyMTA2N2E3MTlhZmY3YWQ0NmQwMzpwOlQ https://protect.checkpoint.com/v2/___https://www.ibm.com/reports/data-breach___.YzJlOmNwYWxsOmM6bzplYTY3NmVlODllZWY2NGJjYTk1ZjlkYWI5MTdlOGJhZjo2OjIwOTU6ZmNlYjMwZDM5ZDViNDNmMDRlODVhMjJhOWFiNWI3YzQyOTcxYzY3YTU5ZWQyMTA2N2E3MTlhZmY3YWQ0NmQwMzpwOlQ https://protect.checkpoint.com/v2/___https://www.europol.europa.eu/media-press/newsroom/news/world’s-most-dangerous-malware-emotet-disrupted-through-global-action___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjU0MzU6NGY2MWIzMDUwMWQyYjMwYTE1ZjBhYTllZGZkYWUyYjIxNDk0ODVlYzQ2YjRiN2Q2YzcwYzg5M2NmYTJjOTkwNTpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 7
BEWOHNER, BESUCHER- UND HAUSRATSLISTE
Sicherheit des Personals, Zugriffskontrolle und Asset Management.
ZUFAHRTSWEGE Sicherheit der Lieferkette.
HAUSTÜR, FENSTER, BRIEFKASTEN & HAUSSPRECHANLAGE Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Infor-
mationssystemen, Authentifizierung und Kommunikation.
NIS2-UMSETZUNG SCHRITT FÜR SCHRITT
WACHMANN Bewältigung von
Sicherheitsvorfällen.
OBJEKTÜBERWACHUNG Konzepte für die Risiko- analyse und Sicherheit.
HAUSRATVERSICHERUNG Aufrechterhaltung
des Betriebs.
OBJEKTSCHUTZ
ALARMANLAGE & VIDEOÜBERWACHUNG
Bewertung der Wirksamkeit von Maßnahmen.
BEWOHNERSCHULUNG Grundlegende Cyber- hygieneverfahren und
Cybersicherheitsschulungen.
SCHLÖSSER Konzepte und Verfahren
für Kryptografie und Verschlüsselung.
OBJEKTSCHUTZ
OBJEKTSCHUTZ
Fazit: Schritt für Schritt-Anleitung für die Implementierung der technischen und organisatorischen Maßnahmen für NIS2.
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 8
Um Ihr Haus und Grundstück vollständig abzusichern, müssen Sie es zunächst einmal umfassend in den Blick nehmen. Sie müssen sämtliche Assets und Infrastruk- turen, sämtliche Sicherungsmaßnahmen, Sicherheitslü- cken und -risiken absichern.. Hierzu bestellen Sie
Sicherheitsexperten, die eine professionelle Bestandsaufnahme vor- nehmen, darauf basierend Risiken einschätzen und dann eine Analyse vorlegen auf deren Basis dann eine umfassende Sicherheitsplanung, die alle Bereiche Ihres Hauses, Ihres Gartens, Ihres gesamten Grundstücks, abdeckt.
Ebenso verhält es sich, wenn Sie Ihre Daten umfassend absichern wol- len. Auch hier kommen Sie an einer umfassenden Bestandsaufnahme Ihrer IT-Infrastruktur, einer Definition und Analyse sämtlicher Risiken nicht herum, wollen Sie eine effektive Planung zur Implementierung einer NIS2-konformen Sicherheitslandschaft vornehmen.
1. OBJEKT- ÜBERWACHUNG Konzepte für die Risiko- analyse und Sicherheit
To-do: Beauftragen Sie Beratungsspezialisten mit einer Gap- sowie einer Risikoanalyse Ihrer gesamten IT-Landschaft auf Basis von ISO 27001. Nutzen Sie die so gewonnenen Daten dann als Basis für eine NIS2-konforme Sicherheitsplanung Ihrer gesamten IT-Infrastruktur und Datenlandschaft.
OBJEKTSCHUTZ
https://protect.checkpoint.com/v2/___https://www.checkpoint.com/services/infinity-global/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OmJkN2I6NDM5MjRjMGFiMjZmNDM2N2Q4Yzc3YTI3MjQ5YjUzYjg2NGZkYTJkODJkOWNjOTMwYjg5ODAzMGMwYTcwZDg3ZTpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 9
Als nächstes muss eine Wachmannschaft angestellt werden. Diese muss das abzusichernde Objekt regelmä- ßig besichtigen, und im Fall eines Vorfalls Maßnahmen ergreifen, um sie abzustellen. Finden sich Hinweise auf einen Sicherheitsvorfall, muss dieser untersucht, muss
das Objekt auf mögliche Schäden überprüft, müssen Maßnahmen zur Abstellung des Sicherheitsvorfalls eingeleitet werden.
Dasselbe Prinzip gilt auch für eine IT-Infrastruktur. Statt einem Wach- mann operieren hier Informationssicherheitsexperten. Deren Hand- lungen im Fall einer Krise müssen schon im Vorfeld geplant und vorbereitet werden. Entdeckte Vorfälle müssen analysiert und aus- gewertet, geeignete Sicherungsmaßnahmen getroffen werden. Ein Bericht muss erstellt und an betroffene Partner, Zulieferer und Kunden sowie an die verantwortliche zentrale Dienstelle des jeweiligen Staates gesandt werden.
2. WACHMANN Bewältigung von Sicherheitsvorfällen
To-do: Beauftragen Sie Informationssicherheitsexperten mit Penetrationstests. Lassen Sie Ihre Incident Response-Bereit- schaft bewerten. Außerdem sollte ein dokumentiertes Verfahren für Zwischen- oder Ausfälle vorhanden sein, das für die Prüfungs- standards gilt. Im Zweifel empfiehlt sich das Engagement von Dienstleistern, um die Aufgaben als Managed Service einzukaufen anstelle ein eigenes Security Operation Center (SOC) aufzubauen.
Managed Security Services (IDC): Cybersicherheit ist nicht länger nur das Spielfeld von CIOs oder CISOs. Der Vorstand und der Rest der Geschäftsleitung müssen in der Lage sein, darauf zu vertrau- en, dass ihre Cybersicherheitsstruktur gegen die Arten von Cyber- angriffen, die gegen sie gerichtet sind, resilient genug ist. Die alte Strategie, mehr technische Tools und mehr Geld für den Schutz des Unternehmens auszugeben, sind nutzlos, wenn die geschul- ten Fachkräfte, die die unzähligen Tools konfigurieren, abstimmen und überwachen, nicht vorhanden oder unbezahlbar sind. Anbie- ter von Managed Security Services springen in die Lücke, indem sie eine bessere Sicherheit zu einem niedrigeren Preis zu ermög- lichen.
OBJEKTSCHUTZ
https://protect.checkpoint.com/v2/___https://igs.checkpoint.com/services/37___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjQ3YTY6MDQ5Y2NiMmE5MzE0ZmEzYTFiYTdjYTM1NzE1NWIzMzBhYjVjYjg4MTAzMGNhYmU5ODRiZjVkM2FmNDUxZmU2YzpwOlQ https://protect.checkpoint.com/v2/___https://igs.checkpoint.com/services/37___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjQ3YTY6MDQ5Y2NiMmE5MzE0ZmEzYTFiYTdjYTM1NzE1NWIzMzBhYjVjYjg4MTAzMGNhYmU5ODRiZjVkM2FmNDUxZmU2YzpwOlQ https://protect.checkpoint.com/v2/___https://igs.checkpoint.com/services/37___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjQ3YTY6MDQ5Y2NiMmE5MzE0ZmEzYTFiYTdjYTM1NzE1NWIzMzBhYjVjYjg4MTAzMGNhYmU5ODRiZjVkM2FmNDUxZmU2YzpwOlQ https://protect.checkpoint.com/v2/___https://www.checkpoint.com/de/services/infinity-global/soc-readiness-and-transformation/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OmI1MTI6OGE5ZTEyODI0YWQ5OTliZTcxYzkyMDcyZmJkMzdkMjVlMjZlMzE2Nzc0NjVlNTM5YjdkMTM5Zjc5YjE5YWQ0YzpwOlQ https://protect.checkpoint.com/v2/___https://www.idc.com/getdoc.jsp?containerId=DR2023_T5_CR___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OmYyYzE6NzNmNDMxZDUxZjE0YjlhMGEyYTE4NWU5MmU4NjI0MjM5ZTlmMDliODczZTVhMjdiYWIyODc1ZmYwYTQ2MWFmYjpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 10
Für den Fall, dass doch einmal ein Einbruch gelingt, muss vorgesorgt werden. Bewohner sollten nur so kurz wie möglich vom Einbruch, vom Diebstahl ihrer Güter, betroffen sein. Im Fall eines Hauses wird dies über den Abschluss einer Hausratversicherung bewerkstelligt.
Auch die IT-Infrastruktur muss, im Fall eines erfolgreichen Angriffs, möglichst schnell wiederhergestellt sein. Dies erfolgt über Backup Management, Disaster Recovery- und Krisenmanagement.
3. HAUSRAT- VERSICHERUNG Aufrechterhaltung des Betriebs: Backup, Disaster Recovery, Business Continuity Management
To-do: Beauftragen Sie Informationssicherheitsexperten mit einer Prüfung und Analyse ihrer Bereitschaft im Krisenfall. Rüsten Sie Ihre IT-Landschaft für den Fall eines erfolgreichen Angriffs zu- sätzlich auf. Minimieren Sie den Schaden durch die Umsetzung einer Zero Trust Architektur.
https://protect.checkpoint.com/v2/___https://www.checkpoint.com/services/infinity-global/breach-readiness-assessment/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjczZmE6YjU3NDU5MmM3N2Y1Y2M4YWI2ZjEyMWE1MjQzNzBiZTA3NzNmZWU0NDljODhmNTk3OTRmYmFlMmQwNzg3NDdlMTpwOlQ https://protect.checkpoint.com/v2/___https://www.checkpoint.com/cyber-hub/network-security/what-is-zero-trust/what-is-a-zero-trust-architecture/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjcyM2M6MTNkMmU1ODczM2E5ZDRkNTM0ZDU3NjM4NDhmYmNiNmE3YjQ5OTZmMWE2M2M0NTg5OTI4MWU3Zjk1MjE4MWU4NjpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 11
Ihr Haus wird beliefert. Waren werden abgeholt. Externe erbringen Dienstleistungen auf Ihrem Grund- stück. Damit es hierbei nicht zu einem Sicherheitsvorfall kommt, sollten Sie Ihre Lieferanten und Dienstleister vorsichtig auswählen. Auch eingekaufte Produkte sollten vorher überprüft werden, damit Sie sich kein Trojanisches Pferd ins Haus stellen.
Mit NIS2 müssen Unternehmen nun auch ihre Supply Chains – sowohl die physischen als auch die digitalen – umfassend vor potenziellen Angreifern absichern. Das bedeutet, dass sämtliche Lieferketten, die in das Unternehmen oder die Einrichtung hinein und aus ihm hinausgehen, auf mögliche Schwachstellen untersucht, die entsprechenden Bereiche zusätzlich abgesichert werden müssen.
4. ZUFAHRTSWEGE Sicherheit der Lieferkette
To-do: Beauftragen Sie Informationssicherheitsexperten mit der Bestandsaufnahme und Analyse sämtlicher Supply Chains, die Ihre Einrichtung betreffen. Verschaffen Sie sich einen Über- blick über sämtliche Risiken und lassen Sie sie zusätzliche Maßnahmen implementieren, um diese zu minimieren.
https://protect.checkpoint.com/v2/___https://www.checkpoint.com/services/infinity-global/supply-chain-risk-assessment/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2Ojg1ZTI6ZTAzOTc1YjVlNjA2OGZjYTE3OTcwMTFmYTM2OWUyMTZiM2MwMDg0OWNjNzdmNjExOTY1MWMzNTk1ZmE2Y2U1MjpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 12
Um Ihr Haus vor Einbrechern zu schützen, gilt es die Haustür und den Briefkasten mit einem sicheren Schloss und stabilen Schlüsseln sowie Fenster mit Sicherheitsglas in der gewünschten Stärke auszu- statten. Darüber hinaus müssen Sie auch die Kommuni- kation innerhalb des Hauses sowie zwischen Haus und Außenwelt effektiv absichern. Außenstehende sollen
sich nicht unerlaubt Zugang zu oder gar Zugriff auf die Kommunikation verschaffen können.
Dasselbe gilt für den Zugriff auf die Daten Ihrer IT-Infrastruktur. Zugän- ge und Zugriffe müssen über moderne Authentifizierungsverfahren ab- gesichert werden. Außerdem muss sichergestellt sein, dass Außenste- hende sich nicht unerlaubt Zugriff auf die Kommunikation verschaffen, Daten ergänzen oder abschöpfen können. Hierzu muss die Text-, Audio- und Video-Kommunikation, müssen die Notfallkommunikationssysteme vor Fremdzugriffen abgesichert werden.
5. & 10. HAUSTÜR, FENSTER, BRIEF- KASTEN, TELFONE, UND HAUSSPRECH- ANLAGE Sicherheit bei Erwerb, Ent- wicklung und Wartung von Netz- und Informationssys- temen & Authentifizierung und Kommunikation: Fire- walls, Netzwerksicherheit
To-do: Segmentieren Sie die Netzwerke in unterschiedliche Bereiche mit verschiedenen Sicherheitsstufen. Setzen Sie Next Generation Firewalls ein, um den Zugriff auf Ihren Server zu kontrollieren und nur berechtigten Verkehr durchzulassen. Implementieren Sie Intrusion Prevention Systems (IPS) zum Erkennen und Verhindern von unerwünschtem Eindringen und einen rollenbasierten Zugang nach dem Least-Privilege-Prinzip. Stellen Sie außerdem sicher, dass alle APIs, die von Ihrem Server verwendet werden, authentifiziert, autorisiert und verschlüsselt sind, um Datenlecks zu vermeiden. Richten Sie zudem ein modernes Identity und Access Management (IAM)-System ein. Lassen Sie sie eine Multifaktor-Authentifizierung einrichten und setzen Sie auf Zero Trust, wenn es um Zugriffsrechte geht. Weitere wichtige Technologie-Konzepte wie SASE, CNAPP und XDR sollten ebenfalls umgesetzt werden.
https://protect.checkpoint.com/v2/___https://www.checkpoint.com/quantum/next-generation-firewall/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjRkMzE6MTA0YzdmOTMyYzI0ZGMzYmRjYTcxZTRjNmU2MTVjMjk0ZjFjOTJjYzMxMDIxNTIwY2IwMzE4ZWExNzgyNDZhNTpwOlQ https://protect.checkpoint.com/v2/___https://www.checkpoint.com/quantum/next-generation-firewall/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjRkMzE6MTA0YzdmOTMyYzI0ZGMzYmRjYTcxZTRjNmU2MTVjMjk0ZjFjOTJjYzMxMDIxNTIwY2IwMzE4ZWExNzgyNDZhNTpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 13
Um nun am und im Haus für Sicherheit zu sorgen, muss eine Alarmanlage installiert werden. Ihre Sensoren, Blinklichter und Alarmmelder stellen sicher, dass verdächtige Bewegungen im Haus schnell wahr- genommen und Gegenmaßnahmen ergriffen werden können.
Ebenso wie das Haus, seine Zimmer und Flure, seine Ein- und Ausgänge mit einer Alarmanlage abgesichert werden müssen, müssen auch die Netzwerke und Informationssysteme der IT-Infrastruktur umfassend ab- gesichert werden. Unterschiedliche Sicherheits-Tools und -Plattformen stehen hierfür zur Verfügung.
6. ALARMANLAGE UND VIDEOÜBER- WACHUNG Bewertung der Wirksamkeit von Maßnahmen: Sicherheit in Netzwerken und Informa- tionssystemen
To-do: Beauftragen Sie Informationssicherheitsexperten mit der Auswahl, Implementierung und Wartung der für NIS2 erforderlichen Sicherheitssysteme und leiten Sie eine kontinuier- liche Berichterstattung ein. Richten Sie Überwachungssysteme ein, um ungewöhnliche Aktivitäten in Echtzeit zu erkennen und darauf zu reagieren. Eine zentrale Sicherheitsplattform mit Automatisierungsmöglichkeiten wie ML und KI unterstützt bei der Absicherung der Netzwerke und Systeme.
https://protect.checkpoint.com/v2/___https://www.checkpoint.com/infinity/xdr-xpr/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OmE2MTY6ZGYyZjA0MjdkYzZjNDcwOGNlMGVmNTBiNDczZTllZTYwYmVhZWM4YjNjNTkzM2RhMmU2ZmQwOWVhYzk5YzlkYzpwOlQ https://protect.checkpoint.com/v2/___https:/www.checkpoint.com/de/infinity/___.YzJlOmNwYWxsOmM6bzphYjg0ZjY2ZTBiMWZhYmQ4YjAxOTE1NDY4ODQ3N2E1Mzo2OmFlOWE6ZWQyYjZhMzgzNWM5YTA4ZDE4NzljZmY3MzM2MTdlODZiNzlkODZmNzFjYzMyYzMzNzcxYWNjMmMwZjI4MmU5MTpwOkY
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 14
Schließlich müssen auch die Bewohner des Hauses mit der Bedrohungslage des Anwesens vertraut gemacht werden. Sie können vielleicht nicht die einzelnen Sicher- heitstools bedienen und sich mit der gesamten Sicher- heitslage vertraut machen, sie können aber so geschult
werden, dass ihnen verdächtigtes Verhalten auffällt und sie auf grundle- gende Fallen, die ihnen Angreifer stellen, nicht hereinfallen.
Dasselbe gilt auch für NIS2. Grundlegende Cyberhygiene-Maßnahmen und Cybersicherheitstrainings zur Anhebung des Sicherheitsbewusst- seins helfen, Belegschaften fit für den Ernstfall zu machen und schon im Vorfeld – präventiv – tätig zu werden.
7. BEWOHNER- SCHULUNG Grundlegende Cyber- hygieneverfahren und Cybersicherheits- schulungen
To-do: Beauftragen Sie Schulungsexperten damit, regelmäßige IT-Sicherheitsschulungen und -Trainings für Ihre Informations- sicherheitsteams sowie Trainings zur Anhebung des Sicher- heitsbewusstseins Ihrer gesamten Belegschaft durchzuführen. Diese Schulungen sollten sowohl regelmäßig erfolgen als auch abwechslungsreich gestaltet und mit entsprechenden Metriken auf Effizienz überprüft werden. Nur so wird es Ihnen gelingen, im Kontext von NIS2 erfolgreich wissensbasierte Entscheidungen zu fällen.
DIPLOM
https://protect.checkpoint.com/v2/___https://www.checkpoint.com/mind/smartawareness/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjE5ZGM6NThlYzY0YTE5MmEwZDJlZGUwOWVhMmQ3ZGYxN2M0MDZmODg5ZTJhOTE1NmY0ZGNhZDEyMzQ2MjQzNjRkNTU5ZTpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 15
Um die Zugänge zum Grundstück und Haus, um Ihren Besitz im Haus vor unberechtigtem Zugang und Zugriff zu schützen, bringen Sie unterschiedliche Schlösser an. Ohne passenden Schlüssel kann kein Unberechtigter
diese öffnen. Um die Sicherheit zu erhöhen, bewahren Sie die Schlüssel an einem sicheren Ort, fern von den Zugriffsmöglichkeiten eines unbe- rechtigten Dritten auf.
Dasselbe Prinzip gilt auch für Ihre Daten, der Zugang zu ihnen sollte nur auf der Basis von „need to know“ erfolgen. Um sie sicher zu speichern, zu verarbeiten und auszutauschen – ohne, dass unberechtigte Dritte sich unerlaubt Zugang oder Zugriff verschaffen können – müssen diese verschlüsselt werden. Hierbei kommen kryptographische Verfahren zum Einsatz.
8. SCHLÖSSER Konzepte und Verfahren für Kryptografie und Verschlüsselung
To-do: Beauftragen Sie Informationssicherheitsexperten mit der Implementierung der erforderlichen Technologien, Prozeduren und Richtlinien, um sicherzustellen, dass Ihre Daten stets verschlüsselt sind. Denken Sie auch an quantensichere Verschlüsselungsmethoden, um auf die Gefahren von morgen vorbereitet zu sein.
https://protect.checkpoint.com/v2/___https://www.checkpoint.com/services/infinity-global/nis2-readiness-assessment/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjBlNmI6NTVkNGE1MDVjMTcwMzI1MTk3ZDZjODkzMDU2ZmZlMGVjM2Y1MTg0MDVlNGNlOThiZGI4NzlmYzQ5NjZhZGUwYzpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 16
Um sicherzustellen, dass nur Berechtigte Grundstück und Haus betreten können, dass sämtlicher Hausrat auf dem Grundstück verbleibt, ist es erforderlich, Listen an- zufertigen, in denen Bewohner, legitime Besucher und Hausrat verzeichnet sind. Auch diese müssen vom
unerlaubten Zugriff durch Dritte geschützt werden. Verwahren Sie die wichtigsten Wertgegenstände und Dokumente in einem Safe.
Dasselbe gilt für Daten aus der Personalabteilung, die Zugriffskontroll- richtlinien und das Asset Management. Auch sie müssen zusätzlich abgesichert werden, bilden sie doch den Grundstock für ein effektives Identity- und Access Management.
9. BEWOHNER, BESUCHER - UND HAUSRATLISTE Sicherheit von HR- Prozessen, Zugriffs- kontrollrichtlinien, Asset Management
To-do: Beauftragen Sie Informationssicherheitsexperten mit der Absicherung der für ein funktionierendes IAM-System erforder- lichen Identitätsdaten. Berücksichtigen Sie dabei, dass auch Assets mittlerweile über digitale Identitäten verfügen. Bewahren Sie sensible Daten verschlüsselt und in sicheren, isolierten Speicherbereichen auf, um die Auswirkungen eines möglichen Datenlecks zu minimieren.
https://protect.checkpoint.com/v2/___https://www.checkpoint.com/de/cyber-hub/cloud-security/what-is-identity-and-access-management-iam/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjgxYWU6M2M1NmFmYWZiNDA4NmU1NDcyZGQzNGM4MmM1Y2YwNWM1N2M4Y2Y2MjY1ZWEwODY0M2E4YzRkODQ2OTE1NjU1ODpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 17
Mit der EU-Sicherheitsrichtlinie NIS2 werden Cybersicherheitsmaßnahmen in ganz Europa ein einheitlicher Rah- men gegeben. Bislang orientieren sich Informationssicherheitsexperten vor allem an internationalen Standards wie der NIST, CIS Controls, ISO 27001 und anderen. Cyberrisiken sollen so spürbar reduziert werden. Damit dieser Plan gelingen kann, ist es unabdingbar, dass sich neben den Informationssicherheitskräften auch die Führungskräfte der betroffenen Unternehmen und Einrichtungen in die Implementierung und Aufrechterhaltung der NIS2-Compliance ihrer IT-Systeme aktiv einbringen.
Als Führungskräfte müssen Sie:
1. Sensibilisierung: sich grundlegend mit der Materie der Cybersicherheit vertraut machen, so dass Sie in engem Aus- tausch mit ihren Informationssicherheitsexperten stehen, von diesen informiert werden und ihnen fundierte Weisungen erteilen können.
2. Personal: sich eine agile Informationssicherheitsabteilung aufbauen, mit dem sich die erhöhten Anforderungen von NIS2 bewerkstelligen lassen. Dabei wird es unerlässlich sein, neben dem Chief Information Security Officer (CISO) für die Datensicherheit auch einen Data Protection Officer (DPO) einzusetzen. Es sollte tunlichst darauf geachtet werden, nicht einer Person beide Posten zu übertragen, sondern die Aufgaben sinnvoll untereinander aufzuteilen.
3. Audit: sicherstellen, dass die einzelnen Bereiche einer kritischen Prüfung und Analyse hinsichtlich der Risikolage unterzogen, an NIS2 angepasst und NIS2-konform auditiert werden.
4. Incident Response: sicherstellen, dass Vorkehrungen für den Fall eines erfolgreichen Cyberangriffs auf das Unternehmen oder die Einrichtung getroffen werden. Partner, Zulieferer und Kunden, sowie die entsprechenden nationalen Behörden, werden dann schnellstmöglich informiert werden müssen. Die Zeitvorgaben für die Mel- dung von Vorfällen umfassen eine Frühwarnung, die innerhalb von 24 Stunden nach Kenntniserlangung über den Vorfall an die Behörde erfolgen muss, eine bereits detailliertere und formellere Meldung innerhalb von 72 Stun- den und einen Abschlussbericht, einen Monat nach Einreichung der Meldung.
Nur, wenn Geschäftsführung und Informationssicherheitsfachleute an einem Strang ziehen, kann die Umstellung der Cybersicherheit auf NIS2 gelingen. Es handelt sich hier nicht um ein simples Projekt, nicht um eine Aufgabe von we- nigen Wochen oder Monaten. NIS2 ist eine kontinuierliche, langfristige Aufgabe. Ab 2028 werden Unternehmen jedes Jahr die NIS2-Konformität ihrer IT-Infrastruktur nachweisen müssen. Sie werden belegen müssen, dass sie „geeig- nete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ ergriffen haben, „die dem Stand der Technik und den geltenden Normen entsprechen“.
NIS2 – Wie Führungskräfte jetzt vorgehen sollten
https://protect.checkpoint.com/v2/___https://www.nist.gov/cyberframework___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OmY4MTI6MTFiOGU1ZTFmMmI0NGI0NDZhNjgxZmJlYzliZjk2MTUxY2E4NjM2ZDlkMjAyYTJiNWQ4NTZhNjlkOTY4NDAxYzpwOlQ https://protect.checkpoint.com/v2/___https://www.cisecurity.org/controls___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjRlY2E6ZWExZjY3NzNhMWE4ZjdmMGJjNTQxZjZiZjhiM2NjNDA5N2FhNTc0MjMyZjZmZDZmN2I4MGU1NjRhYWJmNjcxMzpwOlQ https://protect.checkpoint.com/v2/___https://www.iso.org/standard/27001___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjYwMTU6OTM3NTA2ZmNkN2ExMTgwNzU4NmUyMGM0NGRiMWVjNTQwODFkYmUyY2FmNDM3MmFjMTc2MmYzMDJjYzRiMzk4MzpwOlQ
NIS2 FÜR FÜHRUNGSKRÄFTE Seite 18
Sie benötigen Hilfe bei der Umstellung auf NIS2? Kontaktieren Sie unser Expertenteam. Sie überprüfen die bestehenden Sicherheitsmaßnahmen Ihrer IT-Infrastruktur im Hinblick auf deren NIS2-Compliance und unterstützen, um die passenden – NIS2-konformen – organisatorischen wie technischen Lösungen zu finden und umzusetzen.
OBJEKTSCHUTZ
OBJEKTSCHUTZ
© 1994-2024 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.
Weitere Ressourcen zum Vertiefen und Nachlesen: • NIS2 Readiness Assessment • Check Point Security Consulting • Infinity Global Services • Strategische Bereitschaft: Effektive Vorbereitung auf die NIS2-Konformität • Check Point erläutert was NIS2 für Unternehmen bedeutet
Werden Sie aktiv und kommen Sie mit uns ins Gespräch: nis2@checkpoint.com
https://protect.checkpoint.com/v2/___https://www.cybertalk.org/2023/01/18/keeping-up-with-compliance-your-guide-to-understanding-the-eus-nis-2-directive/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OmUzOGQ6ZTNjZTFkYzNhODVjMmNjYzJmMGJkODBlNDdhNzc5OTMxM2ZjOWYzY2M5NWQxZDkzOTQ0OTg3YzA3YzdlMjA3YzpwOlQ https://protect.checkpoint.com/v2/___https://www.checkpoint.com/de/services/infinity-global/nis2-readiness-assessment/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjYyZjE6N2MzYzQxYTczZGUyOTY5NDNhMWQ4ZDllNGNiNzZjZGVlMWI0Mzg4NTdkMDgwZGFhMzM3YjgyZGY3OTJmN2Y0ZjpwOlQ https://protect.checkpoint.com/v2/___https://www.checkpoint.com/de/support-services/security-consulting/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OmRhYzg6YWQ4ZjRhMDhjZjgzMjU4MmIwZjczMDFiZDM3MjQ1NmQyMDgyMjBiOWIxYTE2YjNhMmNlMGFmOGU3YmE1MzRkMTpwOlQ https://protect.checkpoint.com/v2/___https://www.checkpoint.com/de/services/infinity-global/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OmQ2MTY6MzYxMjU3NDdlMjhlYzE5N2MwZDliZDhiMTEwOGVkZTU3ODViYjhhNmMxMjg5NzdjMmQzYWFlNzcwN2I0NmRjZTpwOlQ https://protect.checkpoint.com/v2/___https://www.infopoint-security.de/check-point-erlaeutert-was-nis2-fuer-unternehmen-bedeutet/a33265/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjMwYzg6NDczOGM2YWQ3ZmU2YzM1ZTlhNmZkMGVmMzFmN2FhNzc4YTZhY2JkZmRjMmRkNGNlMmEwZWFmNTA4M2ZmYmMzNTpwOlQ https://protect.checkpoint.com/v2/___https://www.cybertalk.org/2023/10/23/strategic-readiness-effectively-preparing-for-nis2-compliance/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OmU0Yzk6MWRmZTgwNzhlMDQ1NmZkZTg3MDg4ZWYxYjM1MzdjYzUyZGQ4Njc2MDIzYTU2YzljNGQ1YzcyMzZhMzVhNjRmNDpwOlQ https://protect.checkpoint.com/v2/___https://pages.checkpoint.com/rs/750-DQH-528/images/NIS2_Directive_QandA_DE.pdf___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjkwNmU6MTIwNGUzMzU2NGFiNzNmOTM3OWNjYTA4MThlNTk5NDRjM2ViMWQyNGMzYjQzMzU1Nzc3YzZhZWUwM2RiYjI1MjpwOlQ https://protect.checkpoint.com/v2/___https://www.infopoint-security.de/check-point-erlaeutert-was-nis2-fuer-unternehmen-bedeutet/a33265/___.YzJlOmNwYWxsOmM6bzphZDhlZDEyYzIzMDdjODc4ZWVlNDBhZDZmYTgzNjY3ODo2OjMwYzg6NDczOGM2YWQ3ZmU2YzM1ZTlhNmZkMGVmMzFmN2FhNzc4YTZhY2JkZmRjMmRkNGNlMmEwZWFmNTA4M2ZmYmMzNTpwOlQ mailto:nis2%40checkpoint.com?subject=