NIS2 bezieht viel mehr Unternehmen ein als NIS, besser bekannt als KRITIS. Die Umstellung ist für viele eine Herausforderung. Neue Technologien, wie etwa NDR – Network Detection and Response lösen viele Vorgaben für Unternehmen.
Die im Januar 2023 von der Europäischen Kommission aktualisierte Version der NIS-Richtlinie, die als NIS2 bezeichnet wird, hat nach Einschätzung des Schweizer Cybersecurity -Spezialisten Exeon Analytics erhebliche Auswirkungen auf die Art und Weise, wie Organisationen, die den so genannten kritischen Infrastrukturen zuzurechnen sind, ihre Netzwerke verwalten und überwachen. NIS2 zielt darauf ab, die Resilienz und Reaktionsfähigkeit der Cybersicherheit der öffentlichen und privaten Sektoren zu verbessern. Die Richtlinie erkennt und thematisiert die wachsende Abhängigkeit von diesen Systemen und die zunehmenden Cyber-Bedrohungen für Betreiber kritischer Infrastrukturen. Die bisherige NIS-Richtlinie ist in Deutschland vor allem als KRITIS bekannt.
NIS2 umfasst mehr Sektoren und Anwendungsbereiche
🔎Von NIS bzw. KRITIS zu NIS2 (Bild: Exeon)
Während sich die ursprüngliche NIS-Richtlinie in erster Linie auf Betreiber wesentlicher Dienste in kritischen Sektoren und Anbieter digitaler Dienste konzentrierte, wird mit NIS2 der Anwendungsbereich erheblich ausgeweitet und umfasst nun eine breitere Palette von Sektoren und Organisationen. Die aktualisierte Richtlinie gilt nun auch für die Bereiche Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasserversorgung, digitale Infrastruktur und öffentliche Verwaltung. Diese Ausweitung ist eine Reaktion auf die zunehmende Interdependenz dieser Sektoren und die möglichen Kaskadeneffekte in den Lieferketten bei Cybersicherheits-Vorfällen.
Strengere Sicherheitsanforderungen
NIS2 führt strengere Sicherheitsanforderungen für Unternehmen ein, die in den Anwendungsbereich der Richtlinie fallen. Dazu gehören die Verpflichtung zur Anwendung von Risikomanagementverfahren, zur Gewährleistung der Sicherheit ihrer Netzwerke und Informationssysteme sowie zur regelmäßigen Bewertung und Verbesserung ihrer Sicherheitslage. Die Richtlinie verlangt außerdem, dass alle bedeutenden Cyber-Vorfälle den jeweiligen nationalen Behörden umgehend zu melden sind. Darüber hinaus gelten für das Management der Unternehmen künftig strengere Haftungsregeln.
„Die aktualisierte NIS-Richtlinie stellt die Betreiber kritischer Infrastrukturen vor eine Reihe von Herausforderungen, insbesondere im Hinblick auf die Einhaltung der neuen Anforderungen und die Anpassung an die sich entwickelnde Cybersicherheits-Landschaft“, kommentiert Gregor Erismann, CCO von Exeon Analytics. „Dazu zählen etwa die erhöhte Komplexität des Risikomanagements, die Notwendigkeit, neue Prozesse und Systeme für die Cybersicherheit und die NIS2 Compliance zu entwickeln und einzuführen und die ohnehin schon knappen personellen und finanziellen Ressourcen.“
NDR hilft bei der Umsetzung
Um die Herausforderungen aus NIS2 zu bewältigen und die Sicherheit und Widerstandsfähigkeit der Netze und Informationssysteme zu gewährleisten, ist nach Ansicht von Exeon Network Detection and Response (NDR) für die Betreiber kritischer Infrastrukturen unerlässlich.
Organisationen, die NIS2 einhalten müssen, profitieren durch NDR bei folgenden Themen:
Sichtbarkeit: NDR-Lösungen bieten einen vollständigen Einblick in den Netzwerkverkehr und ermöglichen es Unternehmen, potenzielle Bedrohungen und Schwachstellen zu erkennen, bevor sie ausgenutzt werden können.
Erkennung: Durch die kontinuierliche Überwachung des Netzwerkverkehrs können NDR-Lösungen verdächtige Aktivitäten, wie z. B. unbefugte Zugriffsversuche oder Datenexfiltration, erkennen und Alarme auslösen.
Reaktion: NDR-Lösungen ermöglichen es Unternehmen, schnell und effektiv auf potenzielle Bedrohungen zu reagieren, indem sie bei Vorfällen, sofort Incident Response Verfahren auslösen.
Einhaltung von Vorschriften: NDR-Lösungen helfen den Organisationen dabei, die Meldeanforderungen gemäß NIS2 zu erfüllen, indem sie detaillierte Protokolle und Berichte über Netzwerkaktivitäten und Vorfälle liefern.
Insgesamt ist NDR ein wichtiges Instrument für Betreiber kritischer Infrastrukturen, um die aktualisierte NIS-Richtlinie einzuhalten und die Sicherheit und Widerstandsfähigkeit ihrer Netzwerke und Informationssysteme zu gewährleisten.
Mehr bei Exeon.com
Über Exeon Analytics
Exeon Analytics AG ist ein Schweizer Cybertech-Unternehmen, das sich auf den Schutz von IT- und OT-Infrastrukturen durch KI-gesteuerte Sicherheitsanalysen spezialisiert hat. Die Network Detection and Response (NDR)-Plattform ExeonTrace bietet Unternehmen die Möglichkeit, Netzwerke zu überwachen, Cyber-Bedrohungen sofort zu erkennen und somit die IT-Landschaft des eigenen Unternehmens effektiv zu schützen – schnell, zuverlässig und komplett Software-basiert. Die selbstlernenden Algorithmen zur Früherkennung von Cyberangriffen wurden an der ETH Zürich (Eidgenössische Technische Hochschule Zürich) entwickelt und basieren auf mehr als zehn Jahren akademischer Forschung. Exeon wurde mehrfach ausgezeichnet, ist international aktiv und zählt namhafte Firmen wie PostFinance, V-Zug, SWISS International Airlines und den Logistikkonzern Planzer zu seinen Kunden.
Passende Artikel zum Thema
Mehr bei Sophos.comPassende Artikel zum Thema