BDEW-Waermewend-2406.05-rotation

Sonntag, 14. Juli 2024

NIS2-Richtlinie:
Schutz vor Cyber-Kriminellen


[12.2.2024] Um den Gefahren aus dem Cyber-Raum zu begegnen hat die EU die Richtlinie NIS2 erlassen. Die Vorgaben müssen bis Mitte Oktober 2024 umgesetzt werden. Der IT-Dienstleister Axians gibt Tipps, wie Kommunen und kommunale Unternehmen jetzt vorgehen sollten.

Die EU-Richtlinie NIS2 soll die Cyber-Sicherheit erhöhen. Eine Viertelmillion neu entdeckte Schadprogrammvarianten, 2.000 identifizierte Schwachstellen in Software-Produkten pro Monat, 21.000 neu infizierte Systeme pro Tag, 68 erfolgreiche Ransomware-Angriffe und zwei Angriffe pro Monat allein auf kommunale Einrichtungen oder kommunale Unternehmen. Der aktuelle Lagebericht Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) nennt alarmierende Zahlen: Das Amt warnt, dass die Kriminellen auf dem Vormarsch sind. Professionelle Cyber-Kriminelle sind heute stark vernetzt und gehen arbeitsteilig vor. Sie nutzen Künstliche Intelligenz (KI) und andere moderne Technologien für ihre Angriffe.

Vorgaben der NIS2-Richtlinie

Aufgrund dieser Bedingungen in der Cyber-Sicherheitslandschaft hat die EU die Richtlinie NIS2 erlassen. Die Anforderungen der Richtlinie werden derzeit in nationales Recht überführt und müssen bis zum 17. Oktober 2024 umgesetzt werden. Alle betroffenen Institutionen sind dann verpflichtet, eine Reihe von Cyber-Sicherheitsmaßnahmen zu ergreifen.
Die Unternehmen müssen unter anderem ein Risiko-Management-Konzept vorweisen, Notfallpläne erstellen und Sicherheitsvorfälle an das BSI melden. Vorgeschrieben sind technische Schutzmaßnahmen wie systematische Datensicherung, Zugriffskontrollkonzepte, Verschlüsselung und Schwachstellen-Management. Analog zum IT-Sicherheitsgesetz 2.0 schreibt NIS2 auch vor, dass Unternehmen die Schwachstellen ihrer Lieferkette in ihr Sicherheitskonzept einbeziehen müssen, damit Kriminelle nicht über Zulieferer in Systeme eindringen können. Es ist wichtig, den Stand der Technik umzusetzen, indem Sicherheitsstandards und Prozesse berücksichtigt werden, die bereits vor NIS2 als Best Practices empfohlen wurden.
Wer in den vergangenen Jahren darauf geachtet hat, seinen Betrieb nach den geltenden Standards gegen Kriminelle abzusichern, wird nur wenige Anpassungen vornehmen müssen, um den Anforderungen gerecht zu werden. Unternehmen und Institutionen, die neu in den NIS2-Bereich fallen und das Thema Cyber Security bisher stiefmütterlich behandelt haben, stehen nun aber vor großen Herausforderungen.

Fünf Schritte zu mehr Sicherheit

Um sich auf die Anforderungen vorzubereiten, sollten Unternehmen frühzeitig Schutzmaßnahmen ergreifen. Der Weg dorthin führt über fünf Schritte.
Zunächst sollten Unternehmen klären, ob sie zum erweiterten Kreis der NIS2-Regelung gehören. Es gibt zwei Hauptgruppen: Betreiber kritischer Anlagen und „besonders wichtige“ oder „bedeutende“ Anlagen. Entscheidend ist, ob diese Unternehmen in Wirtschaftsbereichen tätig sind, die der Regulierung unterliegen. Gerade hier herrscht noch viel Unsicherheit. Um Klarheit zu schaffen, sollten sich Unternehmen folgende Fragen stellen: Bin ich in einem der regulierten Sektoren tätig? Erreicht mein Geschäft die offiziellen Schwellenwerte? Ist der Umsatz hoch genug und stimmt die Anzahl der Mitarbeitenden? Können diese Fragen mit Ja beantwortet werden, gelten die Schutzbestimmungen der NIS2. Es empfiehlt sich aber für alle Unternehmen – unabhängig davon, ob sie unter NIS2 fallen oder nicht – die eigenen Sicherheitskonzepte auf den Prüfstand zu stellen und zu klären, ob sie dem Stand der Technik entsprechen. Die IT-Verantwortlichen sollten auch nicht vergessen, die zu schützenden Unternehmensbereiche zu definieren.
Im nächsten Schritt gilt es herauszufinden, wo die größten Schwachstellen liegen. Wie ist die Cyber Security im Unternehmen aufgestellt? Wie hoch ist das aktuelle Schutzniveau? Eine Risikobewertung zeigt, wo die Sicherheitsstrategie am besten ansetzen sollte – nämlich dort, wo Unternehmen am schnellsten Verbesserungen erzielen können. Danach sollte der Prozess in regelmäßigen Abständen wiederholt werden. Eine kontinuierliche Bewertung kann dazu beitragen, die Resilienz der IT schrittweise zu erhöhen.

Schwachstellen in der Lieferkette

Bei der verpflichtenden Risikobewertung sollten nicht nur die eigenen Unternehmensrisiken eine Rolle spielen, sondern auch die spezifischen Schwachstellen in der Lieferkette berücksichtigt werden. Werden Schwachstellen identifiziert, müssen Gegenmaßnahmen ergriffen werden, um die regulatorischen Anforderungen zu erfüllen und die Schnittstellen zu schützen. Hierbei helfen beispielsweise External Attack Surface (EAS) Scans. Es empfiehlt sich, proaktiv zu handeln und eine Risikoanalyse durchzuführen, um mögliche Schwachstellen in der Lieferkette zu identifizieren. Anschließend können betroffene Einrichtungen mit ihren Zulieferern ein gemeinsames Sicherheitskonzept erarbeiten.
Um die geforderte Sicherheit der Informationssysteme zu gewährleisten, werden auch Angriffserkennungssysteme empfohlen. Für viele Unternehmen ist die Implementierung einer Security Information and Event Management (SIEM)-Lösung ratsam, da sie als Basis für die meisten Angriffserkennungssysteme gilt. Das SIEM sammelt Daten, die auch in einem Security Operations Center (SOC) ausgewertet werden können. Es liefert nützliche Informationen für den IT-Betrieb, zum Beispiel Hinweise auf Fehlkonfigurationen. Die Vielfalt der SIEM-Optionen bietet zahlreiche Möglichkeiten, um den unternehmensspezifischen Anforderungen gerecht zu werden. So können Unternehmen beispielsweise wählen, ob sie ein selbstverwaltetes SIEM-System oder die Dienste eines professionellen SOC in Anspruch nehmen möchten. Die Bandbreite der angebotenen Services reicht von einem Inhousebetrieb oder einem Co-Managed SIEM bis hin zu vollständig gemanagten IT/OT SOC-Services von externen ICT-Dienstleistern wie Axians.

Regeln und Prozesse etablieren

Es ist wichtig, nicht nur IT-Sicherheitssysteme aus Hard- und Software zu beschaffen. Vielmehr müssen Regeln und Prozesse etabliert werden, welche die Informationssicherheit kontinuierlich definieren, steuern, kontrollieren, aufrechterhalten und verbessern. Unternehmen können dabei nach dem Baukastenprinzip vorgehen: Zunächst sollten Maßnahmen ergriffen werden, die das Sicherheitsniveau schnell erhöhen. Danach kann der Schutz Schritt für Schritt ausgebaut werden. Sicherheitsstandards wie BSI-Grundschutz oder ISO 2700x sowie eine Zero-Trust-Architektur können als Orientierung dienen. Insbesondere die Orientierung am Grundschutzkompendium bietet eine große Hilfestellung, da es einen Best-Practice-Katalog von Sicherheitsmaßnahmen enthält.

Professionelle Beratung

Der Gesetzgeber hat den Ernst der Lage erkannt und mit neuen Regelungen die Anforderungen verschärft. Die wachsende Bedrohungslage zeigt, dass Unternehmen die Umsetzung direkt angehen sollten. Um sich nicht in technischen Detailentscheidungen zu verlieren, können sie auf die Unterstützung erfahrener IT-Dienstleister wie Axians zurückgreifen. Diese implementieren bei ihren Kunden täglich Systeme, wie sie die NIS2-Verordnung vorschreibt. Professionelle Assessments, Beratung im Vorfeld und kontinuierliche Begleitung helfen, schnell eine geeignete Strategie zu entwickeln und entlasten die IT-Abteilungen der Kommunen und kommunalen Unternehmen.

Volker Scholz ist Senior Security Architect bei Axians IT Security.

BSI-Bericht: Die Lage der IT-Sicherheit in Deutschland 2023 (PDF; 2,5 MB) (Deep Link)
https://www.axians.de

Stichwörter: Informationstechnik, Cybersicherheit, IT-Sicherheit, NIS2-Richtlinie

Bildquelle: 123rf.com

Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich Informationstechnik

Stadtwerke Neumünster: IT-Plattform NextGen eingeführt
[4.7.2024] Mit der Migration der kaufmännischen Geschäftsprozesse auf die Plattform NextGen von rku.it wollen die Stadtwerke Neumünster neue Handlungsspielräume gewinnen und ihren Service verbessern. mehr...
Kisters/ENEXSA: Neue Lösung für Raffineriekraftwerke
[4.7.2024] Die Unternehmen Kisters und ENEXSA haben jetzt eine IT-Lösung entwickelt, die Raffinerien bei der optimalen Nutzung von volatilen Strompreisen unterstützt. Die Kombination aus Digitalem Zwilling und Optimierungssoftware maximiert die Effizienz und Nachhaltigkeit der Raffinerieprozesse. mehr...
Kisters und ENEXSA haben jetzt eine neue IT-Lösung für Raffineriekraftwerke entwickelt.
Wiener Netze: Weiterer Einsatz von VertiGIS FM
[2.7.2024] Der Netzbetreiber Wiener Netze setzt auf die Software VertiGIS FM, um das Management von Baustellen Dritter effizienter zu gestalten. mehr...
Stadtwerke Hilden: Neue Website ist barrierefrei
[4.6.2024] Der neue Internet-Auftritt der Stadtwerke Hilden ist ab sofort barrierefrei zugänglich. mehr...
Robotic Process Automation: Stadtwerke Langen arbeiten effizienter Bericht
[3.6.2024] Per Robotic Process Automation (RPA) konnten die Stadtwerke Langen wiederkehrende, monotone Prozesse in kürzester Zeit automatisieren. Das kommt nicht nur der Mitarbeiterzufriedenheit zugute. mehr...
Einsatz von RPA: Energieversorger sollten jetzt den Schalter umlegen.

Suchen...

Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich Informationstechnik:
GIS Consult GmbH
45721 Haltern am See
GIS Consult GmbH
rku.it GmbH
44629 Herne
rku.it GmbH
GISA GmbH
06112 Halle (Saale)
GISA GmbH
IVU Informationssysteme GmbH
22846 Norderstedt
IVU Informationssysteme GmbH
A/V/E GmbH
06112 Halle (Saale)
A/V/E GmbH

Aktuelle Meldungen