Lösungsübersicht | NIS 2-Richtlinie - Q&A
In diesem spannenden CyberTalk-Interview mit dem Check Point VP of Engineering für EMEA, Peter Sandkuijl, wird die NIS 2-Richtlinie erklärt und erläutert, was Kunden in der EU über bewährte Praktiken der Cybersicherheit wissen müssen.

NIS 2 – Fragen & Antworten
In diesem spannenden CyberTalk-Interview mit dem Check Point VP of
Engineering für EMEA, Peter Sandkuijl, wird die NIS 2-Richtlinie erklärt
und erläutert, was Kunden in der EU über bewährte Praktiken der
Cybersicherheit wissen müssen.
Was ist die NIS-2-Richtlinie und welche Organisationen sind von ihr betroffen? Peter: Die NIS-2-Richtlinie ist eine Reihe von Cybersicherheitsrichtlinien und -anforderungen,
die von der Europäischen Union (EU) festgelegt wurden. Es wird die neue Grundlage für die
Cybersicherheitsverpflichtungen von Organisationen in vielen Sektoren, die als kritisch für die
Wirtschaft gelten, einschließlich der Anbieter digitaler Dienste und der Betreiber essentieller
Dienste. Sie verlangt die Umsetzung geeigneter Maßnahmen zur Sicherung ihrer Netzwerke
und Informationssysteme. Alle 27 EU-Mitgliedstaaten müssen diese neuen Verpflichtungen bis
September 2024 in ihre nationalen Gesetze aufnehmen.
Welche Maßnahmen wird die EU ergreifen, um die Anforderungen der NIS-2-Richtlinie
durchzusetzen? Peter: Wenn eine Organisation die Anforderungen der Richtlinie nicht einhält, kann sie mit einer
Reihe von rechtlichen Konsequenzen konfrontiert werden, darunter Geldbußen und andere
Strafen. Darüber hinaus kann die Nichteinhaltung dazu führen, dass Kunden oder andere
Parteien, die durch unzureichende Cybersicherheitsmaßnahmen geschädigt werden, rechtliche
Schritte einleiten. Um sicherzustellen, dass dies ernst genommen wird, ist in der Richtlinie klar
festgelegt, dass die Einhaltung der Vorschriften nachgewiesen werden muss und dass
fehlendes Bewusstsein keine Entschuldigung ist. Letzteres wird alle Beteiligten, von IT-
Managern über CISOs bis hin zum Vorstand, dazu bringen, sich der Problematik bewusst zu
werden und entsprechende Maßnahmen zu ergreifen. Die Geldstrafen, die verhängt werden
können, können eine persönliche Haftung nach sich ziehen.
Was ist "Schritt 1" für Organisationen, um sich auf das Erscheinen dieser neuen
Gesetzgebung vorzubereiten? Peter: Das Bewusstsein und eine programmatische Überprüfung des aktuellen Zustands sind
der Schlüssel. Die Denkweise muss nach außen und nicht nach innen gerichtet sein. Irgend-
wann sind Organisationen so wichtig für die Wirtschaft geworden, dass sie nicht mehr durch
Unwissenheit oder Untätigkeit entschuldigt werden können, wenn es zu Störungen kommt.
NIS 2 – Fragen & Antworten
Wie müssen die meisten Unternehmen ihre bestehenden Prozesse anpassen, um die
neuen Anforderungen zu erfüllen? Peter: Unternehmen, die über eine Cybersicherheitspolitik verfügen, die die
Geschäftskontinuität und die damit verbundenen Risiken berücksichtigt, haben nur wenig
zusätzliche Arbeit. Unternehmen, die dies nicht tun, haben möglicherweise noch einiges an
Arbeit vor sich. Bewertung und Risikoanalyse, Schulung des Sicherheitsbewusstseins auf allen
Ebenen und Umsetzung technischer Maßnahmen - all dies muss möglicherweise geschehen,
bevor das Gesetz in Kraft tritt.
Wie wird die NIS-2-Richtlinie den C-Levels neue Verantwortlichkeiten im Bereich der
Cybersicherheit übertragen? Peter: C-Levels gibt es in allen Formen und mit sehr unterschiedlichen Hintergründen. Einige
von ihnen haben Cybersicherheit in der Vergangenheit als reine IT-Angelegenheit betrachtet.
Die NIS-2-Richtlinie wird sie dazu veranlassen, besser zu verstehen, dass die fortschreitende
digitale Transformation, die Massenspeicherung privater Daten und die wirtschaftliche
Bedeutung, die ihre Organisation hat, ein Risiko für die Gesellschaft darstellen können und dass
sie daher als Person eine Verantwortung tragen. Die persönliche Haftung, potenzielle
rechtliche Schritte, Bußgelder und die Verpflichtung, jedes Problem innerhalb von 24 Stunden
an die Behörden zu melden, werden eine wesentliche Motivation für Verhaltensänderungen
sein. Die Tatsache, dass externe Parteien potenziell Einfluss auf die Dienstleistungen eines
Unternehmens nehmen können, wird dazu führen, dass die gesamte Lieferkette unter die Lupe
genommen werden muss. Dies bedeutet, dass die Führungsebenen eine Strategie für Dritte
entwickeln müssen, die einen großen Auswirkungen auf Unternehmen weltweit haben wird,
nicht nur auf Unternehmen in der EU.
Wie können IT-Teams die technischen und betrieblichen Prozesse verbessern, um den
Auflagen gerecht zu werden? Gibt es neue Technologien, die sie integrieren sollten? Peter: Die NIS 2 ist eine Richtlinie, die weder eine Checkliste noch Mindestanforderungen
enthält. Sie beschreibt einen "angemessenen Schutz", der natürlich offen für Interpretationen
ist. Als Mindestanforderung können wir jedoch davon ausgehen, dass das Fehlen von Firewall-
und Intrusion-Prevention-Technologien im Netzwerk, ein ausreichender Schutz der Endgeräte,
die Implementierung von Mehrfaktor-Authentifizierung, Datenverschlüsselung und
Zugangsbeschränkung sowie andere bewährte Techniken zu einem schwierigen Gespräch
führen werden, sollte etwas passieren.
Haben Sie weitere Erkenntnisse über bewährte Sicherheitspraktiken, die Unternehmen
dabei helfen können, sich auf die bevorstehenden NIS-2-Anforderungen vorzubereiten,
und die gleichzeitig die Sicherheit erhöhen und das Risiko verringern können? Peter: Es gibt keine Patentlösung, keine Checkliste und schon gar keine schnelle Lösung. Die
Tatsache, dass dies nun in der gesamten EU gleichzeitig umgesetzt wird, ist ein Zeichen dafür,
dass die Branche und die Wirtschaft reifer werden und die Unternehmen entsprechend handeln
müssen. Es gibt eine Verantwortung, und sie verdient es, wahrgenommen zu werden. Der beste
Weg nach vorn besteht darin, zunächst die aktuelle Situation zu analysieren, einen Fahrplan mit
klaren Zielen und Zeitvorgaben zu erstellen und damit zu beginnen. Dies wird sich auf die
gesamte Organisation auswirken und kann in einigen Branchen tiefgreifende Auswirkungen auf
NIS 2 – Fragen & Antworten
die interne Unternehmenskultur, die Festlegung des Budgets, die Einstellung von Mitarbeitern
und mehr haben.
Wo müssen Unternehmen mit Schwierigkeiten bei der Einhaltung der NIS 2 rechnen
und wo können sie Unterstützung finden? Peter: Da es sich hierbei um einen Prozess und nicht um ein Produkt handelt, können Unter-
nehmen mit einem weniger ausgereiften Konzept für die Cybersicherheit Schwierigkeiten
haben, innerhalb eines angemessenen Zeitrahmens einen passenden Reifegrad zu erreichen.
Wie helfen Unternehmen wie Check Point den Führungskräften in Unternehmen, sich
auf die NIS-2-Richtlinie und die damit verbundenen Änderungen vorzubereiten? Peter: Unternehmen wie Check Point haben eine Menge Erfahrung im Umgang mit Risiken und
deren Prävention. So wie sich der Markt und die Bedrohungslandschaft entwickeln, so
entwickelt sich auch die Technologie und die Unternehmen, die sie nutzen. Es ist jedoch wichtig
zu erwähnen, dass nicht alles mit Technologie gelöst werden kann. Verfahren und Technologien
sind gleichermaßen wichtig. Das bedeutet, dass die Unternehmen verlangen sollten, zuerst
informiert zu werden und nicht nach einer schnellen Lösung zu suchen. Das
Sicherheitsbewusstsein und dokumentierte und getestete Prozesse sind ebenso wichtig.
Anbieter von Cybersicherheitslösungen müssen eine wichtige Rolle als Berater spielen und sich
auf den Kundennutzen und die Kundeninteressen konzentrieren, bevor sie eigene kommerzielle
Ziele verfolgen.
Gibt es noch etwas, das Sie den Lesern mitteilen möchten? Peter: Als langjähriger Sicherheitsenthusiast und Vorbeter freue ich mich, dass die
Cybersicherheit aus der IT-Ecke herausgeholt wird und dass Unternehmen für die
Aufbewahrung privater Daten und die Erbringung von Dienstleistungen für die Wirtschaft zur
Verantwortung gezogen werden. Ich hoffe, dass die Menschen das Gute daran erkennen und
sich nicht an einer Flut von Marketingmaterial und FUD satt sehen. Ich möchte jeden
ermutigen, sich über das Thema zu informieren und frühzeitig mit dem Prozess zu beginnen.
Cybersicherheitsübungen werden so üblich werden wie Brandschutzübungen.
Peter Sandkuijl, VP Sales Engineering, EMEA
Peter ist ein erfahrener Sicherheitsexperte mit über 25 Jahren Erfahrung. Zu seinen
früheren Positionen bei Check Point gehörten technischer Produktmanager, Technical
Manager Benelux, SE Manager Northern Europe, EMEA SE High-End Solutions und
Head of Network Security solutions, EMEA. Er wohnt in den Niederlanden.
Weitere Informationen zu NIS 2 finden Sie unter "Will the EU's new cyber security law change the game?" , veröffentlicht auf Cyber Talk, Cyber Security News and Insights for Executives.
© 2024 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.
https://www.cybertalk.org/2023/05/05/will-the-eus-new-cyber-security-law-change-the-game/ https://www.cybertalk.org/2023/05/05/will-the-eus-new-cyber-security-law-change-the-game/