:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
EU-Regulierung der Cybersicherheit Forderungen und Kritik zur NIS-2-Richtlinie
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Aus Sicht der EU-Kommission wird NIS 2 (Richtlinie zur Netz- und Informationssicherheit 2) zu einer Stärkung der EU-weiten Cybersicherheit und Resilienz führen. Doch Wirtschaftsverbände üben Kritik an der geplanten Richtlinie und fordern Anpassungen bei den Meldepflichten. Man brauche ein unbürokratisches Meldewesen bei IT-Sicherheitsvorfällen. Doch ist die Kritik berechtigt?
Die EU-Kommission hat die zwischen dem Europäischen Parlament und den EU-Mitgliedstaaten erzielte politische Einigung auf die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) begrüßt.
Margrethe Vestager, die für das Ressort „Ein Europa für das digitale Zeitalter“ zuständige Exekutiv-Vizepräsidentin, sagte: „Das ist ein weiterer großer Durchbruch bei der Verwirklichung unserer europäischen Digitalstrategie, diesmal, um dafür zu sorgen, dass Bürger und Unternehmen geschützt werden und grundlegenden Diensten vertrauen können.“
Der für den Binnenmarkt zuständige EU-Kommissar Thierry Breton fügte hinzu: „Cyberbedrohungen sind größer und komplexer geworden. Damit unsere Bürgerinnen und Bürger und unsere Infrastrukturen geschützt bleiben, müssen wir immer ein paar Schritte voraus sein. In der heutigen Cybersicherheitslage kommt es ganz entscheidend auf die Zusammenarbeit und einen raschen Informationsaustausch an. Die modernisierten Vorschriften zur Sicherung der für unsere Gesellschaft und Wirtschaft kritischen Dienste sind ein weiterer Schritt in diese Richtung.“
Von NIS zu NIS 2
Die bestehenden Vorschriften über die Sicherheit von Netz- und Informationssystemen (NIS) waren der erste EU-weite Rechtsakt auf dem Gebiet der Cybersicherheit. Wegen der zunehmenden Digitalisierung und Vernetzung der Gesellschaft und der steigenden Zahl böswilliger Cyberaktivitäten weltweit ist eine Überarbeitung nötig geworden.
Die NIS-2-Richtlinie soll auch mittlere und große Einrichtungen aus einer größeren Anzahl von Sektoren erfassen, die für die Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, darunter Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, die Herstellung kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung.
Die Ausweitung des Anwendungsbereichs der neuen Vorschriften, durch die mehr Einrichtungen und Sektoren dazu verpflichtet werden, Maßnahmen zu ergreifen, soll mittel- und langfristig dazu beitragen, das Cybersicherheitsniveau in Europa zu erhöhen.
Die NIS-2-Richtlinie verschärft die Sicherheitsanforderungen an die Unternehmen und befasst sich auch mit der Sicherheit von Lieferketten und den Beziehungen zwischen Anbietern, so die EU-Kommission. Mit dem Vorschlag sollen die Meldepflichten gestrafft, strengere Aufsichtsmaßnahmen für die nationalen Behörden festgelegt sowie strengere Durchsetzungsvorschriften und eine Harmonisierung der Sanktionsregelungen in den Mitgliedstaaten eingeführt werden. Die Richtlinie soll zu einem größeren Informationsaustausch und einer besseren Zusammenarbeit bei der Bewältigung von Cyberkrisen auf nationaler und EU-Ebene beitragen.
Was NIS 2 konkret verbessern soll
Mit NIS 2 möchte die EU-Kommission folgende Hauptprobleme in der Cybersicherheit angehen: die unzureichende Cyberabwehrfähigkeit von Unternehmen, die in der EU tätig sind, die uneinheitliche Widerstandsfähigkeit in Mitgliedstaaten und Sektoren und ein unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen unter den Mitgliedstaaten und das Fehlen einer gemeinsamen Krisenreaktion.
Betrachtet man konkret die Meldepflichten der Betreiber, die in Artikel 20 von NIS 2 zu finden sind, lassen sich diese so beschreiben (gemäß „Entwurf einer Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union – allgemeine Ausrichtung des Rates“):
Wesentliche und wichtige Einrichtungen melden den zuständigen Behörden oder dem CSIRT unverzüglich jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat. Gegebenenfalls unterrichten diese Einrichtungen die Empfänger ihrer Dienste unverzüglich über diese Sicherheitsvorfälle, die die Erbringung des jeweiligen Dienstes beeinträchtigen könnten.
Die betreffenden Einrichtungen übermitteln den zuständigen Behörden oder dem CSIRT für die Zwecke der Meldung:
- a) unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls, eine erste Meldung als Frühwarnung, in der gegebenenfalls angegeben wird, ob der Sicherheitsvorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist;
- b) auf Ersuchen einer zuständigen Behörde oder eines CSIRT einen Zwischenbericht über relevante Statusaktualisierungen;
- c) spätestens einen Monat nach Übermittlung der ersten Meldung [...] einen Abschlussbericht, der mindestens Folgendes enthält:
- 1. eine ausführliche Beschreibung des Sicherheitsvorfalls, seines Schweregrads und seiner Auswirkungen;
- 2. Angaben zur Art der Bedrohung bzw. zugrunde liegenden Ursache, die den Sicherheitsvorfall wahrscheinlich ausgelöst hat;
- 3. Angaben zu den getroffenen und laufenden Abhilfemaßnahmen.
Wirtschaft übt Kritik an dem geplanten Meldewesen
Verbände wie der Digitalverband Bitkom weisen auf Probleme bei der Umsetzung zum Beispiel der Meldepflichten hin. „Flaschenhals für Cybersicherheit bleibt der Fachkräftemangel“, erklärte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Es braucht fachkundiges Personal in den Unternehmen und Behörden, die die Zeit und das Wissen haben, sicherheitssteigernde Maßnahmen vor Ort umzusetzen. Ein zusätzlicher bürokratischer Überbau mit Meldepflichten von nur 24 Stunden ist hierfür kaum zuträglich.“
Der Verband DIGITALEUROPE sieht ebenfalls Änderungsbedarf zum Beispiel an bei den Meldepflichten.
„Wegen der deutlichen Zunahme schwerwiegender Cyberattacken ist es absolut sinnvoll, die Cyberresilienz europäischer Unternehmen und Einrichtungen zu stärken. Die geplanten Berichts- und Meldepflichten stellen die deutsche Wirtschaft vor einen immensen Bürokratieaufwand. Sie müssen praxistauglicher ausgestaltet sein. Der massive IT-Fachkräftemangel in Deutschland und Europa erschwert die Umsetzung zusätzlich“, so auch Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. „Es braucht ein unbürokratisches Meldewesen. Kommt es zu einem Cyberangriff, müssen sich Unternehmen auf die Behebung konzentrieren und schnellstmöglich wieder zur Produktion zurückkehren können. Das Bundesamt für Sicherheit in der Informationstechnik sollte Meldungen umgehend bearbeiten und Unternehmen tagesaktuell warnen“, so Iris Plöger weiter.
Das Ziel sollten aber Echtzeit-Informationen sein
Zweifellos stellen die erhöhten Anforderungen aus NIS 2, darunter die Meldepflichten, eine große Herausforderung dar, denn bei dem vorherrschenden Fachkräftemangel könnte zum einen die Qualität der Vorfallsmeldungen betroffen sind, zum anderen möchte man im Notfall alle Kräfte auf die Vorfallsreaktion konzentrieren, wie dies auch der BDI sagt.
Allerdings gehört eine Meldung immer auch zur Reaktion auf Sicherheitsvorfälle dazu, nicht nur aus Compliance-Sicht. Zu Recht hatte der Digitalverband Bitkom an anderer Stelle gefordert: „Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyber-Bedrohungslage informieren kann. Dazu müssen wir Echtzeit-Informationen nutzen und EU-weit in einem zentralen Dashboard sammeln – ähnlich dem Corona-Dashboard des Robert-Koch-Instituts. Nur wenn Hinweise auf Gefahren sekundengenau gesammelt werden, können wir auch umgehend darauf reagieren und uns sowie unsere Wirtschaft besser schützen.“
Allerdings sind Echtzeit-Informationen zur Bedrohungslage kaum ohne sehr schnelle Meldungen denkbar. Es sollte also weniger darum gehen, die Meldepflicht zu entschärfen als vielmehr darum, die Meldungen so weit wie nur möglich zu automatisieren, so dass Sicherheitsfachkräfte die von einer KI (Künstliche Intelligenz) vorbereitete Meldung im Idealfall nur noch freigeben müssten. Meldepflichten und kurze Meldefristen sind richtig und wichtig, die Umsetzung jedoch muss vereinfacht werden, nicht aber der Inhalt.
(ID:48482588)
:quality(80)/p7i.vogel.de/wcms/44/13/441308ff843586c1023b6d993a9ba077/0112599838.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/aa/6eaa0b33e06dfe368da48ef3058d5366/0109123449.jpeg "NIS2 ersetzt die 2016 festgelegte NIS-Richtlinie der Europäischen Union und legt neue EU-Mindeststandards für die Cybersicherheit kritischer Infrastrukturen (KRITIS) fest. (Bild: gemeinfrei)")