NIS2 & Risikomanagement: Wann sind Cyber-Risiken wirklich beherrschbar? | SITS
Blog

NIS2 & Risikomanagement: Wann sind Cyber-Risiken wirklich beherrschbar?

Die Frage, wann Cyber-Risiken wirklich beherrschbar sind, erinnert an die Quadratur des Kreises. Im Rahmen der neuen NIS2-Richtlinie der EU wird jedoch genau das angestrebt. Mit nur einer, wenn auch beliebig komplizierten Konstante gelingt das leider nicht. Es gibt jedoch Indikatoren, die anzeigen, ob der richtige Weg eingeschlagen ist.
4 Minuten
02. April 2024

Risikomanagement nach NIS2

Durch NIS2 sollen Netz- und Informationssysteme, deren Nutzer und andere Personen innerhalb der EU vor Cyber-Bedrohungen geschützt werden. Dazu zählen alle Umstände, Ereignisse oder Handlungen, welche die Verfügbarkeit, Authentizität, Integrität und/oder Vertraulichkeit von Daten und Services beeinträchtigen. Das sind die durch die NIS2-Richtlinie verfolgten Sicherheitsziele.

Je exponierter eine Einrichtung ist, desto eher steht sie im Fokus von Angreifern. Zunehmend erreichen Angreifer über die Lieferkette ihr eigentliches Ziel. Aus diesem guten Grund steht neben dem Sektorbezug und den nun deutlich niedrigeren Schwellwerten zu Mitarbeiteranzahl und Jahresumsatz bzw. Jahresbilanzsumme bei NIS2 jetzt auch die Lieferkette im Fokus. Bei NIS2 wird auf die Auswirkung einer Cyber-Bedrohung geschaut und nur eine minimale Beeinträchtigung der vier genannten Sicherheitsziele zugelassen.

Indikatoren für effektives Risikomanagement

Um wirksames Risikomanagement nach NIS2 zu betreiben, sollten die folgenden Fragen geklärt werden:

  • Werden alle genutzten Netz- und Informationssysteme in der Risikoanalyse betrachtet?
  • Wird dabei ausdrücklich ein Bezug zu allen vier Sicherheitszielen hergestellt?
  • Wird der Einfluss der Lieferkette dabei ausreichend untersucht?
  • Wurden belastbare Risikoakzeptanzkriterien festgelegt, die von verschiedenen Personen weitgehend übereinstimmend verstanden werden und zu vergleichbaren Ergebnissen führen?
  • Ist sichergestellt, dass am Ende der Risikobehandlung Beeinträchtigungen der vier Sicherheitsziele auf ein vernünftig begründetes Maß beschränkt sind?
  • Werden in der Risikoanalyse kontextbezogene und tatsächlich relevante Cyber-Bedrohungen anstelle allgemeiner Gefährdungskataloge adressiert?
  • Wird das Risikomanagement durch zentrale Vorgaben aus einer Leitlinie bzw. Richtlinie gesteuert?
  • Werden identifizierte Risiken und deren Quellen regelmäßig überprüft?
  • Sind die Maßnahmen zur Adressierung bestehender Risiken bereits operativ erfasst und erreichen zielgenau die beabsichtigte Wirkung?
  • Lässt sich die Wirksamkeit der umgesetzten Maßnahmen nachvollziehbar belegen?
  • Umfassen derartige Belege ausdrücklich alle beteiligten Prozesse?
  • Wird bei der Umsetzung durchgängig der aktuelle Stand der Technik eingehalten?

Wenn Sie für Ihre Organisation auf alle diese Fragen mit einem klaren Ja antworten können, gehören Sie zu den wenigen Glückspilzen, die bereits bestens auf NIS2 vorbereitet sind! Bestehen jedoch Zweifel oder Unklarheiten, benötigen Sie mit hoher Wahrscheinlichkeit fachliche Unterstützung. In diesem Fall unterstützt das NIS2-Assessment der SITS.

Auf dem Weg ins neue Cyber-Zeitalter

Im Rahmen der NIS2-Richtlinie lernen Sicherheitsverantwortliche jede Menge neuer Vokabeln, an die sie sich erst noch gewöhnen müssen. Prozesse werden nunmehr als „Cyber-Sicherheitspraxis“ verstanden. Maßnahmen wiederum dienen der „Cyber-Sicherheitshygiene“.

Bei den Prozessen zur NIS2-Konformität ist neben dem Risikomanagement auch ein entsprechend auf NIS2 ausgerichtetes Notfallmanagement, Incident Management, Supply Chain Management und Personalmanagement gefragt. Beschäftigte sind zudem ausdrücklich auf Cyber-Sicherheit zu sensibilisieren. Das schließt Führungskräfte ebenso ein, wie ausführendes Personal.

Die Maßnahmen wiederum sind vor allem an der Prävention gegen Data Leakage ausgerichtet. Benötigt werden Maßnahmen zum Vulnerability und Patch Management, zur Passwortverwaltung, Systemhärtung, Netzwerksegmentierung, Datensicherung und der Abwehr von Gefährdungen der physischen Sicherheit als auch der Versorgung mit Strom und Internet. Auf menschliche sowie technische Fehler muss man vorbereitet sein und bösartige Angriffe erkennen und nach Möglichkeit abwehren können.

Kurzum: Im Rahmen der Cyber-Sicherheit steht für Sicherheitsverantwortliche betroffener Organisationen eine Menge Arbeit an, die auch noch innerhalb kurzer Umsetzungsfristen zu erledigen ist. Und wenn eine Einrichtung das nicht, nicht vollständig oder nicht zielsicher genug schaffen sollte, drohen deutlich höhere Bußgelder als in den bisherigen Richtlinien und unter Umständen sogar die Abberufung von Mitgliedern der Leitungsorgane.

Hinzu kommt: Nationale Gesetzgeber innerhalb der EU dürfen diese Regelungen im Rahmen ihrer nationalen Umsetzung noch weiter verschärfen.

NIS2: Bin ich betroffen?

Unter NIS2 fallen also einerseits Einrichtungen, die aufgrund ihrer Sektorzugehörigkeit nunmehr direkt adressiert werden. Die entsprechende Überprüfung, ob das der Fall ist, ist durchaus anspruchsvoll. Wir haben hierfür eine Online-Check für Sie vorbereitet, der entsprechend Auskunft gibt. Zum anderen fallen aber unter NIS2 auch solche Einrichtungen, die als Teil der Lieferkette tätig sind. Und das wiederum unabhängig von ihrer Größenordnung. Optimistische Schätzungen gehen wenigstens von dem Faktor 10 an neuverpflichteten Organisationen und Unternehmen aus. Die Realität dürfte noch deutlich darüber liegen.

Cloud Platform Security
Sicherheit von Identitäten: Aktuelle Trends
Mehr erfahren
Cloud Platform Security
Microsoft Entra: Porträt einer vielseitigen Produktfamilie
Mehr erfahren
Identity & Access Management
Identität trifft Resilience
Mehr erfahren
NIS2
NIS2 & Penetrationstests: Technik NIS2-konform in Griff kriegen
Mehr erfahren
Identity & Access Management
Resilienz durch Identität
Mehr erfahren
Identity & Access Management
Verschlüsselung in den Griff bekommen
Mehr erfahren
Cyber Defense
Microsoft Sentinel als Azure SIEM – Vorteile & Kosten
Mehr erfahren
AI
KI-Attacken abwehren: So lassen sich Daten und Systeme schützen
Mehr erfahren
Assessment & Advisory
ISO-27001-Zertifizierung ohne Umwege
Mehr erfahren
Assessment & Advisory
Mit Managed Services gegen den Fachkräftemangel
Mehr erfahren
Security & IT Solutions
Workload Security mit SASE, so funktioniert’s
Mehr erfahren
Cloud Platform Security
DevOps-Sicherheit: Belastungstest für Kultur und Technologie
Mehr erfahren
Identity & Access Management
Biometrie – mehr Sicherheit ohne Passwort?
Mehr erfahren
Cyber Defense
Threat Intelligence – Wissen ist Macht & Sicherheit
Mehr erfahren
NIS2
NIS2 & ISO/IEC 27001:2022: Neue Controls zur Erfüllung beider Anforderungen
Mehr erfahren
Identity & Access Management
So schafft Privileged Access Management mehr Sicherheit
Mehr erfahren
Wir sind für Sie da
Einfach Formular ausfüllen und unsere Experten melden sich.

You are currently viewing a placeholder content from HubSpot. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.

More Information