Information Security: Smarte Lösungen zu neuartigen Bedrohungen und erweiterter Regulatorik
()
Über dieses E-Book
In diesem Buch startet der erste Beitrag direkt mit dem Thema NIS2. Im Fokus steht eine zielgerichtete Einführung der Anforderungen für kritische Infrastrukturen, insbesondere auch für die Zielgruppe der mittelständischen Unternehmen.
Der US-Amerikanischen Gesetzgebung folgend wird die neue Gesetzgebung zu Whistleblowing mit etwas Verspätung nun auch innerhalb der EU durch entsprechende Gesetzgebung in Deutschland zur Pflicht. Dazu werden die wesentlichen Herausforderungen und passende Ansätze skizziert, wie Unternehmen sich diesbezüglich aufstellen sollten.
Über die Nutzung von Cyber Frameworks zur Strategie-Implementierung und Risikosteuerung geht es im nächsten Beitrag. Einige der wesentlichen Frameworks (NIST und SANS20/CIS) werden dazu im Rahmen von Praxisbeispielen analysiert. Der Beitrag versucht Wege aufzuzeigen, wie gerade das Thema Risiko-Management auf der Basis von NIST konsistent auch für unstrukturierte Daten umgesetzt werden kann, um bestmöglichen Schutz auf Basis von risikobasierten Ansätzen zu erzielen.
Ein Artikel zur Security in der Cloud schließt sich an. Nach einer allgemeinen Betrachtung der Anforderungen geht der Beitrag auf konkrete Best Practices und Tools für die Microsoft Azure Cloud ein, um am Ende die Frage zu erörtern: Wie sicher ist die Cloud-Security?
Relativ hohe Aufwände in den Cyber-Security-Programmen der letzten Jahre sind zurecht in Identity und Access Management geflossen. Dieses Thema wird wegen der weiteren steigenden Verwendung von unstrukturierten Daten mit Partnern, Kunden und innerhalb von 3rd Party Services weiter an Bedeutung gewinnen, da auch diese Informationen unter Kontrolle gehalten werden müssen und entsprechend risikobezogen zu managen sind. Der Beitrag zu IAM geht auf die unterschiedlichen Disziplinen ein, die für ganzheitliches IAM relevant sind und stellt einige der wichtigsten Ansätze und Tools dazu vor.
Mit der Veröffentlichung von ersten Detailanforderungen in diesem Jahr hat das Thema DORA nochmals höhere Priorität als im Jahr zuvor bekommen, zumal die Implementierung Ende 2024 abgeschlossen sein muss. Zur Sicherstellung der Widerstandsfähigkeit von Finanzinstituten und IKT-Drittdienstleistern wird dazu eine Betrachtung der wesentlichen Anforderungen und Herausforderungen diskutiert sowie entsprechende Ansätze und Vorgehensweisen zur Implementierung gegeben.
Carsten Fabig
Carsten ist Gründer, Inhaber und Berater der Vineyard Management Consulting GmbH und betreut Projekte in mittelständischen und großen Unternehmen aus den Bereichen Finanzen, Versicherungen, Industrie, IT und Telekommunikation. Als Diplom-Wirtschaftswissenschaftler der Universität Hohenheim ist Carsten seit fast 20 Jahren in Großprojekten tätig. Seine Schwerpunkte liegen in den Bereichen Transition, Controlling und Management von Komplexität, Geschäftsprozessen, Multiprojekt- und Changemanagement. Seine Kernkompetenz ist das Management von großen (Multi-)Projekten zur Implementierung und Veränderung in globalen Umgebungen. Er verfügt über Zertifikate in ITIL, CMMI, SCRUM und Six Sigma und ist außerdem vom Project Management Institute (PMI) als Project Management Professional PMP® zertifiziert. Er hat Artikel und Bücher zu den Themen Changemanagement, Balance Scorecards, Software-Lizenzmanagement, GRC, Prozesskostenrechnung, Basel II, Komplexität, Projektmanagement, IT und Transition Management veröffentlicht.
Ähnlich wie Information Security
Ähnliche E-Books
IT-Wissen für Manager: Ein kompakter Überblick zu aktuellen Technologien und Trends Bewertung: 0 von 5 Sternen0 Bewertungensichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Bewertung: 0 von 5 Sternen0 BewertungenKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Bewertung: 0 von 5 Sternen0 BewertungenIT Sicherheitsmanagement: Ihr Praxis - Leitfaden! Bewertung: 0 von 5 Sternen0 BewertungenStatus quo und Relevanz von digitalen Ökosystemen in der deutschen Versicherungswirtschaft Bewertung: 0 von 5 Sternen0 BewertungenDatenschutz Cloud-Computing: Ein Handbuch für Praktiker - Leitfaden für IT Management und Datenschutzbeauftragte Bewertung: 0 von 5 Sternen0 BewertungenAuswirkungen der Digitalisierung und neuer Technologien auf das Geschäftsmodell der Versicherungsbranche: Risiken und Chancen Bewertung: 0 von 5 Sternen0 BewertungenIT-Management: Strategie, Finanzen, Sicherheit Bewertung: 0 von 5 Sternen0 BewertungenMicroservices-Architektur: Patterns in Spring implementieren Bewertung: 0 von 5 Sternen0 BewertungenBionic Wealth: Die nächste Generation der Vermögensanlage ist inspiriert vom Leben Bewertung: 0 von 5 Sternen0 BewertungenOKR: Die Erfolgsmethode von Google einfach erklärt Bewertung: 0 von 5 Sternen0 BewertungenIT Management: Grundlagen, Organisation, Aufgaben, Outsourcing, Herausforderungen Bewertung: 0 von 5 Sternen0 BewertungenSoft Skills in der IT Bewertung: 0 von 5 Sternen0 BewertungenIT Management: Erfahrungen und Trends Bewertung: 0 von 5 Sternen0 BewertungenDigitale Transformation: Facetten erfolgreicher Veränderungen Bewertung: 0 von 5 Sternen0 BewertungenMonte-Carlo-Simulation im Risiko-Controlling: Am Beispiel eines Financial Models in Excel Bewertung: 0 von 5 Sternen0 BewertungenQualität in IT-Architekturen: Strategie und Planung Bewertung: 0 von 5 Sternen0 BewertungenScrum – kurz & gut Bewertung: 0 von 5 Sternen0 Bewertungen50 Arten, Nein zu sagen: Effektives Stakeholder-Management für Product Owner Bewertung: 0 von 5 Sternen0 BewertungenRisiken in der IT: Erkennen - Steuern - Verbessern: Ein Modell für effektives Risikomanagement in Entwicklung und Betrieb Bewertung: 0 von 5 Sternen0 BewertungenKünstliche Intelligenz Bewertung: 0 von 5 Sternen0 BewertungenGeschäftsprozesse im Projektmanagement: Best Practices der Implementierung Bewertung: 0 von 5 Sternen0 Bewertungen"Meisterhaft mit ChatGPT": "Der umfassende Leitfaden zur effektiven Nutzung von KI-gestützten Gesprächspartnern" Bewertung: 0 von 5 Sternen0 BewertungenSECURITY AWARENESS: Leitfaden zur IT-Sicherheit für Anwender Bewertung: 0 von 5 Sternen0 BewertungenMaschinen- und Anlagenbau: Interim Manager berichten aus der Praxis Bewertung: 0 von 5 Sternen0 Bewertungen30 Minuten ChatGPT Bewertung: 5 von 5 Sternen5/5Microservices: Der Hype im Realitätscheck Bewertung: 0 von 5 Sternen0 BewertungenErzielen von Wettbewerbsvorteilen durch Data Mining in Produktion und Logistik Bewertung: 0 von 5 Sternen0 BewertungenPython lernen – kurz & gut Bewertung: 0 von 5 Sternen0 BewertungenKnigge für Softwarearchitekten Bewertung: 0 von 5 Sternen0 Bewertungen
Mathematik für Sie
Mathematik verstehen Band 2: Grundlagen für das Studium naturwissenschaftlicher und technischer Fächer Bewertung: 0 von 5 Sternen0 BewertungenZahlentheorie Bewertung: 0 von 5 Sternen0 BewertungenDer Anfang der Unendlichkeit: Erklärungen, die die Welt verwandeln Bewertung: 0 von 5 Sternen0 Bewertungen...Als die Noten laufen lernten...Band 2: Kabarett-Operette-Revue-Film-Exil. Unterhaltungsmusik bis 1945 Bewertung: 0 von 5 Sternen0 BewertungenMein Übungsheft Rechnen - 1. Klasse Bewertung: 0 von 5 Sternen0 BewertungenLexikon der Symbole und Archetypen für die Traumdeutung Bewertung: 5 von 5 Sternen5/5Anglizismen und andere "Fremdwords" deutsch erklärt: Über 1000 aktuelle Begriffe Bewertung: 0 von 5 Sternen0 BewertungenQuer durch die 3. Klasse, Mathe und Deutsch - Übungsblock Bewertung: 0 von 5 Sternen0 BewertungenDie Schönheit der Zahlen: Die Ordnung der Welt durch den menschlichen Geist Bewertung: 0 von 5 Sternen0 BewertungenTextaufgaben 3. Klasse: Sachaufgaben - Übungsprogramm mit Lösungen für die 3. Klasse Bewertung: 0 von 5 Sternen0 BewertungenRechnen und Textaufgaben - Gymnasium 6. Klasse Bewertung: 0 von 5 Sternen0 BewertungenTests in Mathe - Lernzielkontrollen 2. Klasse Bewertung: 0 von 5 Sternen0 BewertungenMathe trainieren 4. Klasse Bewertung: 0 von 5 Sternen0 BewertungenWahrscheinlichkeitsrechnung und Statistik Bewertung: 0 von 5 Sternen0 BewertungenMathe trainieren 3. Klasse Bewertung: 0 von 5 Sternen0 BewertungenAufgabensammlung für die Oberstufe zur Analysis Bewertung: 0 von 5 Sternen0 BewertungenMein Übungsheft Rechnen - 2. Klasse: Mathematik: Aufgaben mit Lösungen im Zahlenraum bis 100 - wiederholen, trainieren, lernen Bewertung: 0 von 5 Sternen0 BewertungenMein Übungsheft Rechnen - 3. Klasse Bewertung: 0 von 5 Sternen0 BewertungenAngewandteres zum Mathematischen der Zahlenmagie Bewertung: 0 von 5 Sternen0 BewertungenFachbegriffe der Chemie: Definitionen, Grundwissen und Erklärungen zum Nachschlagen und Lernen in Schulen und Homeschooling Bewertung: 0 von 5 Sternen0 BewertungenRechnen und Textaufgaben - Realschule 5. Klasse Bewertung: 0 von 5 Sternen0 BewertungenQuer durch die 1. Klasse, Mathe und Deutsch - Übungsblock Bewertung: 0 von 5 Sternen0 BewertungenPraktische Betriebswirtschaftslehre für Wirtschaftsinformatik: Grundkurs Wirtschaft für Wirtschaftsinformatik an der Fachhochschule (FH) zum Bachelor Bewertung: 0 von 5 Sternen0 BewertungenTests in Mathe - Lernzielkontrollen 3. Klasse Bewertung: 0 von 5 Sternen0 BewertungenÜbungen zur Kombinatorik Bewertung: 0 von 5 Sternen0 BewertungenEinmaleins Mathematik 2./3. Klasse Bewertung: 5 von 5 Sternen5/5Kinderlieder: 100 Liedertexte der schönsten Kinderlieder Bewertung: 4 von 5 Sternen4/5Textaufgaben 2. Klasse: Sachaufgaben - Übungsprogramm mit Lösungen für die 2. Klasse Bewertung: 0 von 5 Sternen0 BewertungenMathe-Toolbox: Mathematische Notationen, Grundbegriffe und Beweismethoden Bewertung: 0 von 5 Sternen0 Bewertungen
Rezensionen für Information Security
0 Bewertungen0 Rezensionen
Buchvorschau
Information Security - Carsten Fabig
Disclaimer:
Alle Informationen in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autoren noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen.
In diesem Buch werden eingetragene Warenzeichen, Handelsnamen und Gebrauchsnamen verwendet. Auch wenn diese nicht als solche gekennzeichnet sind, gelten die entsprechenden Schutzbestimmungen.
Vineyard Management Consulting setzt sich für die Gleichbehandlung aller Geschlechter ein. Soweit in unseren Artikeln das generische Maskulin verwendet wird, geschieht dies ausschließlich aus Gründen der Vereinfachung der Lesbarkeit. Eine Wertung ist hiermit ausdrücklich nicht verbunden.
Vineyard Management Consulting GmbH
Die Vineyard Management Consulting ist eine erfahrene Managementberatung mit dem Fokus auf:
der Begleitung von Veränderungen
dem Management von Komplexität
der Optimierung von Projekten
der Vernetzung von Menschen
In zahlreichen, globalen Projekten in den Branchen Banken, Versicherungen, Telekommunikation, Automobilsektor sowie Information Technology haben wir stetig unsere Expertise und Kompetenz ausgebaut. Jeder unserer Managementberater hat erwiesene Berufs- und Projekterfahrung (mindestens 10 Jahre) und entwickelt sich kontinuierlich weiter. In der erfolgreichen Umsetzung unserer Projekte legen wir Wert auf soziales Gespür, interkulturelle Besonderheiten und wertschätzende, zielgerichtete Kommunikation.
Unsere Kernkompetenzen sind
Transformation Management umfasst in unseren Projekten die Strategiedefinition, Umsetzungsplanung und vor allem die Etablierung von nachhaltigen Veränderungen im Unternehmensumfeld
Complexity Management bedeutet für unsere Management Berater die Fähigkeit, komplexe Strukturen, Prozesse und IT-Systeme zu analysieren, zu bewerten und zu verändern (z.B. bei der Herstellung der IT-Compliance im Bereich der Information Security gem. ISO27001, SANS20, BAIT).
People Management ist für unsere Berater eine oftmals implizit in Projekten geforderte Kompetenz – die Weiterentwicklung von Menschen und Gruppen im Sinne eines werteorientierten Coachings
Projektmanagement sind für uns die wesentlichen Schlüsselkompetenzen für das nachhaltige und zielgerichtete Umsetzen von größeren Vorhaben im Unternehmen.
Dazu bedarf es sowohl langjähriger Erfahrungen und klassischer Standard-Techniken (z.B. PMI, GPMA oder Prince2) als auch der frühzeitigen Vernetzung von branchenspezifischem Wissen, Deliverables und Menschen.
Vorwort der Herausgeber
In einer Welt mit weiteren neuen globalen Krisen und neuartigen Bedrohungen gilt es mehr denn je gewappnet zu sein. Dies trifft auch in einem nie gekannten Ausmaß auf den Cyberspace zu, dessen Schutz einen immer größeren Stellenwert einnimmt. Die Vielfältigkeit und Intensität der Hackerangriffe waren noch nie so groß wie aktuell, nicht zuletzt auch als Folge der geopolitischen Veränderungen und aktuellen Krisen.
Den allgemeinen Trends größerer Bedrohungen und auch steigender Abhängigkeiten der Wirtschaft von der IT folgend haben die meisten Staaten kontinuierlich entsprechende Gesetze und Regularien für eine wirksamere „Information Security" abgebildet, um kritische Infrastrukturen und damit das Staatswesen und die Unternehmen systematisch zu schützen.
DORA und NIS2 sind aktuell in der EU die wohl bekanntesten Beispiele an Neuerungen und erweiterten Schutzanforderungen. Auch in der Praxis hat größtenteils bereits eine Anpassung der Cyber-Security an die neue Welt schon stattgefunden: Investitionen in Cybersecurity sind in den letzten Jahren weiter kontinuierlich gestiegen. Meist als Folge von konkreten Vorfällen, die nicht mehr passieren dürfen oder verordneter Maßnahmen durch interne/externe Prüfungen. Als weiterer Treiber für die Cyber-Programme ist sicherlich auch die immer weiter steigende Nutzung der Cloud zu nennen, insbesondere auch in den regulierten Branchen, wenngleich auch etwas zeitverzögert.
In diesem Buch startet der erste Beitrag direkt mit dem Thema NIS2. Im Fokus steht eine zielgerichtete Einführung der Anforderungen für kritische Infrastrukturen, insbesondere auch für die Zielgruppe der mittelständischen Unternehmen.
Der US-Amerikanischen Gesetzgebung folgend wird die neue Gesetzgebung zu „Whistleblowing" mit etwas Verspätung nun auch innerhalb der EU durch entsprechende Gesetzgebung in Deutschland zur Pflicht. Dazu werden die wesentlichen Herausforderungen und passende Ansätze skizziert, wie Unternehmen sich diesbezüglich aufstellen sollten.
Über die Nutzung von Cyber Frameworks zur Strategie-Implementierung und Risikosteuerung geht es im nächsten Beitrag. Einige der wesentlichen Frameworks (NIST und SANS20/CIS) werden dazu im Rahmen von Praxisbeispielen analysiert. Der Beitrag versucht Wege aufzuzeigen, wie gerade das Thema Risiko-Management auf der Basis von NIST konsistent auch für unstrukturierte Daten umgesetzt werden kann, um bestmöglichen Schutz auf Basis von risikobasierten Ansätzen zu erzielen.
Ein Artikel zur Security in der Cloud schließt sich an. Nach einer allgemeinen Betrachtung der Anforderungen geht der Beitrag auf konkrete Best Practices und Tools für die Microsoft Azure Cloud ein, um am Ende die Frage zu erörtern „Wie sicher ist die Cloud-Security?".
Relativ hohe Aufwände in den Cyber-Security-Programmen der letzten Jahre sind zurecht in Identity und Access Management geflossen. Dieses Thema wird wegen der weiteren steigenden Verwendung von unstrukturierten Daten mit Partnern, Kunden und innerhalb von 3rd Party Services weiter an Bedeutung gewinnen, da auch diese Informationen unter Kontrolle gehalten werden müssen und entsprechend risikobezogen zu managen sind. Der Beitrag zu IAM geht auf die unterschiedlichen Disziplinen ein, die für ganzheitliches IAM relevant sind und stellt einige der wichtigsten Ansätze und Tools dazu vor.
Mit der Veröffentlichung von ersten Detailanforderungen in diesem Jahr hat das Thema DORA nochmals höhere Priorität als im Jahr zuvor bekommen, zumal die Implementierung Ende 2024 abgeschlossen sein muss. Zur Sicherstellung der Widerstandsfähigkeit von Finanzinstituten und IKT-Drittdienstleistern wird dazu eine Betrachtung der wesentlichen Anforderungen und Herausforderungen diskutiert sowie entsprechende Ansätze und Vorgehensweisen zur Implementierung gegeben.
Nach Einschätzung der Autoren gilt es mehr denn je für alle Unternehmen den Überblick über die gesetzlichen Anforderungen nicht zu verlieren und dazu smarte Lösungen zu entwickeln, die die relevanten Risiken adressieren. Für die Restrisiken gilt es, diese stets im Auge zu behalten, um hierzu zeitnah und gezielt mit bereits etablierten Partnern die Information Security auf dem erforderlichen Sicherheits-Niveau betreiben zu können und strategisch und operativ weiterzuentwickeln.
Wir danken allen Autoren für ihre jeweiligen Beiträge und wünschen Ihnen interessante Impulse und neue Ideen bei der Lektüre! Wir freuen uns auf Feedback und Anregungen. Nehmen Sie bei weiterem Interesse sehr gern Kontakt mit uns auf!
Hofheim/Taunus, November 2023
Carsten Fabig Alexander Haasper
Managing Director and Management Consultants of Vineyard Management Consulting GmbH
Inhaltsverzeichnis
I. Die NIS2 Richtlinie: Lästige Regulatorik oder Chance für Unternehmen?
1 Hintergrund der NIS2
2 Auswirkungen auf Unternehmen
3 Fallbeispiel
4 Einbindung externer Unterstützung
5 Ausblick
Vita: Hans-Jörg Vohl
II. Cybersecurity Whistleblowing - Handlungsempfehlungen zu einem schwierigen Thema
1 Hinweisgeberschutzgesetz - Überblick über den Stand in Deutschland
2 Prozess der Bearbeitung von Hinweisen nach HinSchG
3 Beispiele Cyber- und andere Ordnungswidrigkeiten
4 Zusammengefasste Handlungsempfehlungen
5 Fazit zum Cybersecurity Whistleblowing
Vita: Rainer Sponholz
III. Cybersecurity Frameworks als Basis zur Steuerung von Strategie und Risiken
1 Aktuelle Trends und veränderte Rahmenbedingungen
2 SANS20 und NIST als führende Cybersecurity Frameworks
3 Steuerung von Strategie und Risiken über KPIs
4 Good Practices zur Verwendung der Frameworks
5 Fazit und Ausblick
Vita: Laura Beckervordersandforth
Vita: Alexander Haasper
IV. IT-Sicherheit in der Cloud - Strategie, Leitlinien und Umsetzung
1 Was ist Cloud-Computing?
2 Cloud-Sicherheitsanforderungen verstehen
3 Eine Cloud-Sicherheitsstrategie festlegen: Eine Roadmap, um die richtige Wahl zu treffen
4 Implementierung von Cloud-Sicherheit in Azure - Tools und Best Practices
5 Wie sicher ist die Cloud-Sicherheit?
Vita: Yoan Petrov
Vita: Dimitar Dimitrov
V. Ganzheitliche Implementierung von Identity and Access Management
1 Was ist der Kern von Identity and Access Management (IAM)?
2 Was fordern relevante Information Security Frameworks bzw. auch die gesetzlichen Vorgaben von IAM?
3 Warum benötigen Organisationen ein Identity and Access Management Programm?
4 Exkurs: Was versteht man unter Sicherheitslage
und wie stellt ein Unternehmen sich auf diese ein?
5 Warum werden die IAM-Prozesse nicht immer mit Priorität betrachtet?
6 Die drei wichtigsten Schritte zum erfolgreichen IAM
7 Wichtige Konzepte und Best Practices für umfassende Cybersicherheitslösungen
8 Wie sich IAM-Tools verändert haben und neue Trends
9 In der Praxis weitverbreitete IAM-Tools
10 Relevante IAM-Metriken für Performance und Key Risk Indicators
11 Fazit und Ausblick
Vita: Laura Dinis
VI. Verbesserung der digitalen, operativen Widerstandsfähigkeit von EU-Finanzunternehmen und IKT-Drittdienstleistern durch DORA
1 Erweiterte Regulierung durch DORA
2 Aktuelle Gesetzeslage und DORA-Schwerpunkte
3 DORA-Anforderungen an IKT-Risikomanagement, IKT-Vorfallmeldewesen und Test Management
4 DORA-Anforderungen an IKT-Drittparteirisikomanagement
5 Umsetzung der DORA-Anforderungen
Vita: Carsten Fabig
VII. Literatur
I. Die NIS2 Richtlinie: Lästige Regulatorik oder Chance für Unternehmen?
„Network and Information Security 2" (NIS2) ist eine europäische Richtlinie zur Verbesserung der Mindestanforderungen für Informationssicherheit (IS) von Unternehmen der kritischen Infrastruktur.
Die Richtline weitet nicht nur die Zielgruppe, sondern auch die Pflichten im Vergleich zur aktuell gültigen NIS-Richtlinie und anderen Regulierungen in Deutschland erheblich aus. Die EU-Regelung erhält ab 17. Oktober 2024 verpflichtende Gültigkeit in Deutschland. Wird die Richtlinie von betroffenen Unternehmen nicht erfüllt, drohen den Verantwortlichen empfindliche Strafen.
Aus diesem Grund sind Unterhemen gut beraten sich zeitnah zu informieren, die Umsetzung anzustoßen statt über die oftmals als Gängelung verstandene Regulierung zu diskutieren. Kluge Manager werden sie als Chance für nutzbringende Verbesserungen zu verstehen.
1 Hintergrund der NIS2
Der letzte Entwurf der EU-Kommission von NIS2 datiert von Dezember 2020, EU-Parlament und Rat haben im Jahr 2022 diesem Entwurf zugestimmt, womit NIS2 formell in Kraft gesetzt wurde.
Nun müssen die EU-Mitgliedsstaaten bis Oktober 2024 die Regularien durch eigene Gesetzgebung in nationales Recht überführen. In Deutschland soll der hierzu seit April 2023 als Entwurf vorliegende Gesetzentwurf im Laufe des Jahres 2023 die Gesetzgebung durchlaufen und damit Gesetzeskraft erlangen.
NIS2 wird damit zu einer deutlichen Erweiterung der betroffenen Einrichtungen führen und Befugnisse sowie Handlungsmöglichkeiten für die national zuständigen Behörden erweitern. Die deutsche KRITIS-Methodik von Anlagen soll beibehalten werden: Das BSI setzt sich dafür ein, dass dabei national weiterhin auch die BSI-Kritis-Verordnung (Verordnung für kritische Infrastruktur) berücksichtigt wird.
Die ursprüngliche NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt. Dabei nahm das IT-Sicherheitsgesetz 2.0 bereits 2021 einige Änderungen von NIS2 vorweg.
Was kommt auf welche Unternehmen zu?
Die EU-Richtlinie NIS2 soll die Cyberresilienz von kritischen und wichtigen Unternehmen stärken. Konkret gemeint ist damit die Fähigkeit von Unternehmen, Cyberangriffen und -vorfällen vorzubeugen und sie abwehren zu können. Die Vorgaben gelten nun für deutlich mehr Betriebe als bisher – und zwar auch indirekt, wenn sie Teil einer Lieferkette sind. Ein IT-Sicherheitsvorfall ist ein negatives Ereignis, das die Informationssicherheit (also Vertraulichkeit, Verfügbarkeit und/oder Integrität) von Daten, Informationen, Geschäftsprozessen, IT-Services, IT-Systemen, IT-Anwendungen und der IT-Infrastruktur beeinträchtigt.
Tatsächlich ist die Bedrohungslage für Unternehmen hoch, Cyberangriffe sind eine ständige Bedrohung, die hohe wirtschaftliche Schäden verursachen. Angreifer nutzen dazu ein breites Arsenal an Schadsoftware: Knapp 117 Millionen neue Varianten hat allein das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2022 erfasst. „Die Bedrohung im Cyber-Raum ist damit so hoch wie nie, heißt es im Bericht „Die Lage der IT-Sicherheit in Deutschland 2022
des BSI. Mit zunehmender Digitalisierung in Unternehmen gibt es immer mehr potenzielle Einfallstore für Angreifer, über die sie ihre Attacken starten können. So verwundert es nicht, dass große Unternehmen im „Crunchtime-Risikomonitor 2023 geopolitische Entwicklungen (83%), Inflation (79%) und Cyber-Vorfälle (79%) als größte Risiken angeben, noch weit vor Produktions- und Lieferengpässen (74%), Energiekrise (62%) und Fachkräftemangel (42%). Gemäß der von PwC beauftragten „Digital Trust Insights 2023
-Studie sind bereits 30% der befragten Unternehmen Opfer von Datenverlusten im Millionenbereich aufgrund von Cyberangriffen geworden. Laut einer aktuellen Studie (01.09.2023) des Digital-Branchenverband Bitkom erlitt die deutsche Wirtschaft im Laufe eines Jahres einen Schaden von 206 Milliarden Euro (206.000.000.000 €) durch Cyberkriminalität.
Der Krieg in der Ukraine erhöht zusätzlich die Dringlichkeit, mit der die EU sicherstellen will, dass kritische und wichtige Unternehmen in den Mitgliedsstaaten sich besser vor Cyberangriffen abschotten und standhalten können. Die EU weitet mit ihr den Kreis der betroffenen Unternehmen deutlich aus: Neben kritischen Infrastrukturen stehen weitere wichtige Branchen im Fokus – und damit auch kleine Firmen, wenn sie als Zulieferer tätig sind.
Wer von NIS2 berührt ist, muss deshalb ab Oktober 2024 strenge Sicherheitsvorkehrungen treffen. Dazu gehören die Erhöhung des Schutzes vor Cyberangriffen, die Einhaltung spezifischer Security-Standards sowie die Gewährleistung, dass Systeme ständig auf dem aktuellen Stand sind. Zudem gelten Meldepflichten, falls es zu Sicherheitsvorfällen kommt.
Außerdem dürfen die Behörden Vor-Ort-Kontrollen durchführen und im Notfall auf Daten und Dokumente zugreifen. Bei Verstößen drohen hohe Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes. Im schlimmsten Fall können Unternehmen sogar ihre Betriebserlaubnis verlieren.
Die EU unterteilt Unternehmen, für die NIS2-Richtlinien gelten, in zwei Kategorien: „essential und „important
, also „wesentlich und „wichtig
. Erstere wurden zum Teil schon in der ersten NIS-Fassung erwähnt. In der neuen Version umfasst diese Kategorie aber mehr Klassen. Die zweite Gruppe der wichtigen Organisationen definiert die EU-Regelung ganz neu.
Direkt betroffen sind jeweils nur Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mehr als zehn Millionen Euro. Allerdings gibt es noch weitere Ausnahmen, bei denen die Unternehmensgröße keine Rolle spielt. Diese gelten für Anbieter von DNS-Diensten (Domain Name System Diensten), Top-Level-Domain-Namensregistern sowie Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste.
Zusätzlich können weitere mittelgroße und kleine Firmen ins Visier geraten, wenn sie als Dienstleister und Lieferanten für die direkt betroffenen Organisationen tätig sind. Dann sind sie unter Umständen gezwungen, ebenso strenge Sicherheitsvorkehrungen einzuhalten, um die gesamte Lieferkette zu schützen. So kann etwa ein Automobilhersteller seinen Zulieferer verpflichten, bestimmte Cybersecurity-Technologien oder -Methoden einzuführen, um selbst nicht gegen die EU-Vorgaben zu verstoßen.
Zur Gruppe der wesentlichen Organisationen („essential") gehören vor allem KRITIS-Unternehmen, also Betriebe mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall gravierende Folgen hätte. NIS2 nennt hier elf Bereiche, darunter Energie- und Wasserversorgung, Transport, Finanz-