Lösungsübersicht | NIS 2-Richtlinie - Q&A

Lösungsübersicht | NIS 2-Richtlinie - Q&A

In diesem spannenden CyberTalk-Interview mit dem Check Point VP of Engineering für EMEA, Peter Sandkuijl, wird die NIS 2-Richtlinie erklärt und erläutert, was Kunden in der EU über bewährte Praktiken der Cybersicherheit wissen müssen.

Lösungsübersicht | NIS 2-Richtlinie - Q&A

NIS 2 – Fragen & Antworten

In diesem spannenden CyberTalk-Interview mit dem Check Point VP of

Engineering für EMEA, Peter Sandkuijl, wird die NIS 2-Richtlinie erklärt

und erläutert, was Kunden in der EU über bewährte Praktiken der

Cybersicherheit wissen müssen.

Was ist die NIS-2-Richtlinie und welche Organisationen sind von ihr betroffen? Peter: Die NIS-2-Richtlinie ist eine Reihe von Cybersicherheitsrichtlinien und -anforderungen,

die von der Europäischen Union (EU) festgelegt wurden. Es wird die neue Grundlage für die

Cybersicherheitsverpflichtungen von Organisationen in vielen Sektoren, die als kritisch für die

Wirtschaft gelten, einschließlich der Anbieter digitaler Dienste und der Betreiber essentieller

Dienste. Sie verlangt die Umsetzung geeigneter Maßnahmen zur Sicherung ihrer Netzwerke

und Informationssysteme. Alle 27 EU-Mitgliedstaaten müssen diese neuen Verpflichtungen bis

September 2024 in ihre nationalen Gesetze aufnehmen.

Welche Maßnahmen wird die EU ergreifen, um die Anforderungen der NIS-2-Richtlinie

durchzusetzen? Peter: Wenn eine Organisation die Anforderungen der Richtlinie nicht einhält, kann sie mit einer

Reihe von rechtlichen Konsequenzen konfrontiert werden, darunter Geldbußen und andere

Strafen. Darüber hinaus kann die Nichteinhaltung dazu führen, dass Kunden oder andere

Parteien, die durch unzureichende Cybersicherheitsmaßnahmen geschädigt werden, rechtliche

Schritte einleiten. Um sicherzustellen, dass dies ernst genommen wird, ist in der Richtlinie klar

festgelegt, dass die Einhaltung der Vorschriften nachgewiesen werden muss und dass

fehlendes Bewusstsein keine Entschuldigung ist. Letzteres wird alle Beteiligten, von IT-

Managern über CISOs bis hin zum Vorstand, dazu bringen, sich der Problematik bewusst zu

werden und entsprechende Maßnahmen zu ergreifen. Die Geldstrafen, die verhängt werden

können, können eine persönliche Haftung nach sich ziehen.

Was ist "Schritt 1" für Organisationen, um sich auf das Erscheinen dieser neuen

Gesetzgebung vorzubereiten? Peter: Das Bewusstsein und eine programmatische Überprüfung des aktuellen Zustands sind

der Schlüssel. Die Denkweise muss nach außen und nicht nach innen gerichtet sein. Irgend-

wann sind Organisationen so wichtig für die Wirtschaft geworden, dass sie nicht mehr durch

Unwissenheit oder Untätigkeit entschuldigt werden können, wenn es zu Störungen kommt.

NIS 2 – Fragen & Antworten

Wie müssen die meisten Unternehmen ihre bestehenden Prozesse anpassen, um die

neuen Anforderungen zu erfüllen? Peter: Unternehmen, die über eine Cybersicherheitspolitik verfügen, die die

Geschäftskontinuität und die damit verbundenen Risiken berücksichtigt, haben nur wenig

zusätzliche Arbeit. Unternehmen, die dies nicht tun, haben möglicherweise noch einiges an

Arbeit vor sich. Bewertung und Risikoanalyse, Schulung des Sicherheitsbewusstseins auf allen

Ebenen und Umsetzung technischer Maßnahmen - all dies muss möglicherweise geschehen,

bevor das Gesetz in Kraft tritt.

Wie wird die NIS-2-Richtlinie den C-Levels neue Verantwortlichkeiten im Bereich der

Cybersicherheit übertragen? Peter: C-Levels gibt es in allen Formen und mit sehr unterschiedlichen Hintergründen. Einige

von ihnen haben Cybersicherheit in der Vergangenheit als reine IT-Angelegenheit betrachtet.

Die NIS-2-Richtlinie wird sie dazu veranlassen, besser zu verstehen, dass die fortschreitende

digitale Transformation, die Massenspeicherung privater Daten und die wirtschaftliche

Bedeutung, die ihre Organisation hat, ein Risiko für die Gesellschaft darstellen können und dass

sie daher als Person eine Verantwortung tragen. Die persönliche Haftung, potenzielle

rechtliche Schritte, Bußgelder und die Verpflichtung, jedes Problem innerhalb von 24 Stunden

an die Behörden zu melden, werden eine wesentliche Motivation für Verhaltensänderungen

sein. Die Tatsache, dass externe Parteien potenziell Einfluss auf die Dienstleistungen eines

Unternehmens nehmen können, wird dazu führen, dass die gesamte Lieferkette unter die Lupe

genommen werden muss. Dies bedeutet, dass die Führungsebenen eine Strategie für Dritte

entwickeln müssen, die einen großen Auswirkungen auf Unternehmen weltweit haben wird,

nicht nur auf Unternehmen in der EU.

Wie können IT-Teams die technischen und betrieblichen Prozesse verbessern, um den

Auflagen gerecht zu werden? Gibt es neue Technologien, die sie integrieren sollten? Peter: Die NIS 2 ist eine Richtlinie, die weder eine Checkliste noch Mindestanforderungen

enthält. Sie beschreibt einen "angemessenen Schutz", der natürlich offen für Interpretationen

ist. Als Mindestanforderung können wir jedoch davon ausgehen, dass das Fehlen von Firewall-

und Intrusion-Prevention-Technologien im Netzwerk, ein ausreichender Schutz der Endgeräte,

die Implementierung von Mehrfaktor-Authentifizierung, Datenverschlüsselung und

Zugangsbeschränkung sowie andere bewährte Techniken zu einem schwierigen Gespräch

führen werden, sollte etwas passieren.

Haben Sie weitere Erkenntnisse über bewährte Sicherheitspraktiken, die Unternehmen

dabei helfen können, sich auf die bevorstehenden NIS-2-Anforderungen vorzubereiten,

und die gleichzeitig die Sicherheit erhöhen und das Risiko verringern können? Peter: Es gibt keine Patentlösung, keine Checkliste und schon gar keine schnelle Lösung. Die

Tatsache, dass dies nun in der gesamten EU gleichzeitig umgesetzt wird, ist ein Zeichen dafür,

dass die Branche und die Wirtschaft reifer werden und die Unternehmen entsprechend handeln

müssen. Es gibt eine Verantwortung, und sie verdient es, wahrgenommen zu werden. Der beste

Weg nach vorn besteht darin, zunächst die aktuelle Situation zu analysieren, einen Fahrplan mit

klaren Zielen und Zeitvorgaben zu erstellen und damit zu beginnen. Dies wird sich auf die

gesamte Organisation auswirken und kann in einigen Branchen tiefgreifende Auswirkungen auf

NIS 2 – Fragen & Antworten

die interne Unternehmenskultur, die Festlegung des Budgets, die Einstellung von Mitarbeitern

und mehr haben.

Wo müssen Unternehmen mit Schwierigkeiten bei der Einhaltung der NIS 2 rechnen

und wo können sie Unterstützung finden? Peter: Da es sich hierbei um einen Prozess und nicht um ein Produkt handelt, können Unter-

nehmen mit einem weniger ausgereiften Konzept für die Cybersicherheit Schwierigkeiten

haben, innerhalb eines angemessenen Zeitrahmens einen passenden Reifegrad zu erreichen.

Wie helfen Unternehmen wie Check Point den Führungskräften in Unternehmen, sich

auf die NIS-2-Richtlinie und die damit verbundenen Änderungen vorzubereiten? Peter: Unternehmen wie Check Point haben eine Menge Erfahrung im Umgang mit Risiken und

deren Prävention. So wie sich der Markt und die Bedrohungslandschaft entwickeln, so

entwickelt sich auch die Technologie und die Unternehmen, die sie nutzen. Es ist jedoch wichtig

zu erwähnen, dass nicht alles mit Technologie gelöst werden kann. Verfahren und Technologien

sind gleichermaßen wichtig. Das bedeutet, dass die Unternehmen verlangen sollten, zuerst

informiert zu werden und nicht nach einer schnellen Lösung zu suchen. Das

Sicherheitsbewusstsein und dokumentierte und getestete Prozesse sind ebenso wichtig.

Anbieter von Cybersicherheitslösungen müssen eine wichtige Rolle als Berater spielen und sich

auf den Kundennutzen und die Kundeninteressen konzentrieren, bevor sie eigene kommerzielle

Ziele verfolgen.

Gibt es noch etwas, das Sie den Lesern mitteilen möchten? Peter: Als langjähriger Sicherheitsenthusiast und Vorbeter freue ich mich, dass die

Cybersicherheit aus der IT-Ecke herausgeholt wird und dass Unternehmen für die

Aufbewahrung privater Daten und die Erbringung von Dienstleistungen für die Wirtschaft zur

Verantwortung gezogen werden. Ich hoffe, dass die Menschen das Gute daran erkennen und

sich nicht an einer Flut von Marketingmaterial und FUD satt sehen. Ich möchte jeden

ermutigen, sich über das Thema zu informieren und frühzeitig mit dem Prozess zu beginnen.

Cybersicherheitsübungen werden so üblich werden wie Brandschutzübungen.

Peter Sandkuijl, VP Sales Engineering, EMEA

Peter ist ein erfahrener Sicherheitsexperte mit über 25 Jahren Erfahrung. Zu seinen

früheren Positionen bei Check Point gehörten technischer Produktmanager, Technical

Manager Benelux, SE Manager Northern Europe, EMEA SE High-End Solutions und

Head of Network Security solutions, EMEA. Er wohnt in den Niederlanden.

Weitere Informationen zu NIS 2 finden Sie unter "Will the EU's new cyber security law change the game?" , veröffentlicht auf Cyber Talk, Cyber Security News and Insights for Executives.

© 2024 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.

https://www.cybertalk.org/2023/05/05/will-the-eus-new-cyber-security-law-change-the-game/ https://www.cybertalk.org/2023/05/05/will-the-eus-new-cyber-security-law-change-the-game/


Item Type: pdf