So bereiten Sie sich auf NIS2 vor: Was Sie wissen müssen
In letzter Zeit wurde viel über NIS2 geschrieben, da wir uns einem wichtigen Meilenstein in seiner Implementierung nähern. Bis zum 18.th ab Oktober 2024 müssen die Mitgliedstaaten die Maßnahmen verabschieden und veröffentlichen, die zur Einhaltung der NIS2-Richtlinie erforderlich sind.
Dieses Datum mag zwar bei vielen Menschen Panik auslösen, aber es ist nur das Datum, an dem die einzelnen Länder NIS2 in Kraft setzen und NIS1 aufheben müssen (EU 2016/1148). Der Zeitplan für die Einhaltung der Vorschriften durch die einzelnen Organisationen wird in den von den einzelnen Staaten erlassenen Gesetzen festgelegt. In einigen Fällen könnte dies bis zu vier Jahre nach diesem Datum dauern.
Egal wann IST 2 wird in Kraft treten, es ist an der Zeit, dass sich Organisationen darauf vorbereiten, die Mandate von NIS2 für Cyber-Resilienz.
Was ist der Unterschied zwischen NIS1 und NIS2?
Viele haben gefragt, warum eine Version zwei oder sogar eine zukünftige Version drei der NIS-Richtlinie benötigt wird.
Die einfache Antwort ist, dass sich die Dinge ändern.
Die neue NIS2-Richtlinie spiegelt die aktuelle Cybersicherheitslandschaft besser wider. Außerdem werden Aktualisierungen vorgenommen, die auf den Erkenntnissen von NIS1 basieren.
Seit IST 1 trat 2016 in Kraft:
- Die Arten von Organisationen, die als kritisch angesehen werden, haben sich geändert.
- Die Technologie hat sich mit der Zunahme von Automatisierung und intelligenten Geräten verändert.
- Die Cybersicherheit hat sich geändert, da der alte Fokus auf den Schutz statischer Netzwerke durch einen agileren Ansatz ersetzt wurde.
- Die Annahme von Null Vertrauen hat die Art und Weise, wie Cybersicherheit eingesetzt wird, vereinfacht, was zu einem sichereren Ansatz zu geringeren Kosten geführt hat.
- Die Arten von Cyberangriffen haben sich mit der Zunahme von disruptiven Angriffen und dem Auftreten von KI-generierten Angriffen geändert.
Der andere Hauptgrund für ein Update von NIS1 ist die Verbesserung der Unternehmensführung. Die Idee im Jahr 2016 war, dass jeder Staat seine eigenen Vorschriften entwickeln sollte und die nationale Regulierungsbehörde diese durchsetzen würde. Leider gab es in den einzelnen Ländern große Unterschiede bei der Umsetzung von NIS1, weshalb NIS2 einige Mindeststandards für bestimmte Schwerpunktbereiche festlegt und der Europäischen Kommission eine bessere Aufsicht verschaffte.
Die letzte Änderung ist eine Neuklassifizierung der Organisationen und eine Erweiterung der Anzahl und Größe der in der Richtlinie enthaltenen Organisationen:
- Die Unterscheidung zwischen grundlegenden Diensten und Anbietern digitaler Dienste wird durch die Klassifizierung von Organisationen nach ihrer Bedeutung für das Land und die Unterteilung in wesentliche und wichtige Kategorien ersetzt.
- Organisationen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 50 Mio. € werden heute als wichtig eingestuft.
Wie wird sich NIS2 auf meine Organisation auswirken?
NIS2 versucht, die Anforderungen in den Mitgliedstaaten zu harmonisieren, indem spezifische Regeln für die eingeführten Rahmenmitglieder festgelegt werden. Dies konzentriert sich auf bestimmte Maßnahmen zur Cybersicherheit, einschließlich:
- Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme
- Umgang mit Vorfällen
- Geschäftskontinuität und Krisenmanagement
- Sicherheit der Lieferkette
- Erwerb, Entwicklung und Wartung sicherer Netzwerke und Systeme, einschließlich Umgang mit und Offenlegung von Sicherheitslücken
- Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen
- Grundlegende Computerhygienepraktiken und Cybersicherheitstraining
- Richtlinien und Verfahren zur Verwendung von Kryptografie/ Verschlüsselung
- Der Einsatz von MFA, gesicherter Kommunikation und gesicherter Notfallkommunikation
Mitgliedstaaten, in denen diese Maßnahmen noch nicht in nationalen Vorschriften enthalten sind, müssen diese Merkmale hinzufügen. Und Organisationen in diesen Ländern, die diese Kontrollen noch nicht umsetzen, müssen sie übernehmen.
Die wahrscheinlich größte Auswirkung von NIS2 betrifft Organisationen, die bisher nicht von NIS1 abgedeckt wurden. Das klingt zwar besorgniserregend, aber Untersuchungen der ENISA zeigen, dass das durchschnittliche Budget für NIS-Implementierungen auf Projekte entfällt, die 14 bis 18 Monate dauern.
Was kann meine Organisation jetzt tun, um sich auf NIS2 vorzubereiten?
Im Jahr 2016 waren die verfügbaren Sicherheitstools und -ansätze für Unternehmen begrenzt, da sie von statischen Technologien wie herkömmlichen AV-, NAC- und Firewalls sowie einer eingeschränkten Sichtbarkeit gefangen waren.
Obwohl Zero Trust zu dieser Zeit im Gespräch war, lag der Schwerpunkt immer noch darauf, jeden Angriff zu verhindern, indem versucht wurde, alle Schadprogramme zu erkennen. Heute wirft die kombinierte Bedrohung durch Ransomware und KI neue Probleme auf, die mit der NIS2-Richtlinie angegangen werden sollen.
Zwar gibt es noch keine spezifischen technischen NIS2-Anforderungen für jeden Mitgliedstaat, aber Unternehmen können ihren Weg zur Einhaltung der Vorschriften einleiten, indem sie einen Ansatz zur Eindämmung von Sicherheitsverletzungen verfolgen und dabei Technologien wie Zero-Trust-Segmentierung, auch Mikrosegmentierung genannt. Dieser moderne Ansatz geht davon aus, dass Sicherheitslücken unvermeidlich sind, und stellt als Reaktion darauf sicher, dass proaktive Sicherheitsmaßnahmen getroffen werden.
Eine Zero-Trust-Strategie zur Eindämmung von Sicherheitsverletzungen umfasst die folgenden wichtigen Säulen:
- Gehen Sie von einem Verstoß aus und planen Sie ihn ein
- Identifizieren Sie alle Vermögenswerte und Ressourcen und bilden Sie Interdependenzen ab
- Schützen Sie sich vor allen Sicherheitslücken und exponierten Ports
- Reagieren Sie schnell und agil
- Sichere Wiederherstellung ohne erneute Infektion
Ziel der NIS-Richtlinie ist es, die Widerstandsfähigkeit kritischer Infrastrukturen in der gesamten Europäischen Union zu verbessern. Das bedeutet, sicherzustellen, dass die Dienste auch während eines Angriffs aufrechterhalten werden können.
Um dies zu erreichen, muss der Schwerpunkt vom Versuch, einen Angriff abzuwehren, hin zur Sicherstellung, dass ein Angriff eingedämmt wird und die geschäftskritischen Ressourcen eines Unternehmens nicht erreichen kann.
Wie entspricht Illumio den NIS2-Anforderungen?
NIS2 konzentriert sich auf die Standardisierung wichtiger Cybersicherheitsmaßnahmen, und Illumio Zero Trust Segmentation (ZTS) hilft Ihnen dabei, Folgendes zu erfüllen.
1. Richtlinien zur Risikoanalyse und Informationssicherheit
Die Zuordnung von Anwendungsabhängigkeiten bietet einen vollständigen Überblick über den Datenverkehr aller Workloads, einschließlich Container, IoT und virtueller Maschinen, in einer einzigen Konsole. Auf diese Weise können Sicherheitsteams Netzwerkrisiken lokalisieren und Sicherheitsrichtlinien erstellen, die unnötige Verbindungen zwischen Ports blockieren.
2. Umgang mit Vorfällen
Bei einer aktiven Sicherheitsverletzung kann Illumio schnell reagieren, um den Zugriff auf kritische Ressourcen einzuschränken, die Ausbreitung eines Angriffs zu stoppen und kompromittierte Systeme vollständig zu isolieren. Nach einer Sicherheitsverletzung trennt ZTS das infizierte System intelligent in Echtzeit, um eine sichere Wiederherstellung der Daten zu ermöglichen.
3. Geschäftskontinuität und Krisenmanagement
Sicherheits- und IT-Teams können Illumio verwenden, um einzelne Abteilungen und Systeme zu schützen, sodass sie den Betrieb wieder aufnehmen können, während sie vor dem Angriff geschützt sind. Versuche einer erneuten Infektion können verhindert werden, indem während der Wiederherstellung einer Sicherheitsverletzung nur die Verbindung zu einer unveränderlichen Datenquelle zugelassen wird.
4. Sicherheit der Lieferkette
Illumio ermöglicht nur bekannte und verifizierte Kommunikation zwischen Umgebungen. Dadurch wird sichergestellt, dass ZTS im Falle einer Sicherheitslücke in der Lieferkette verhindert, dass die Sicherheitsverletzung in die Systeme des Unternehmens eindringt und sich dort ausbreitet.
5. Sicherheit in Netzwerk- und Informationssystemen
Illumio erweitert die konsistente Mikrosegmentierung auf alle Umgebungen, von lokalen Rechenzentren bis hin zu Hybrid- und Multi-Cloud-Umgebungen. Dadurch wird sichergestellt, dass eine Sicherheitsverletzung sofort gestoppt und eingedämmt wird, sodass Angreifer nicht in andere Teile des Netzwerks gelangen können.
6. Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen
Das Illumio Ransomware Protection Dashboard hilft dabei, sich besser auf Angriffe vorzubereiten und sich davor zu schützen, indem es Einblicke in das Workload-Risiko, einen Überblick über geschützte und ungeschützte Workloads sowie eine Bewertung der Schutzabdeckung bietet.
7. Grundlegende Computerhygienepraktiken und Schulungen zur Cybersicherheit
Die lückenlose Sichtbarkeit der gesamten Angriffsoberfläche von Illumio bietet Einblicke in Sicherheitslücken, die als Grundlage für Cyberhygiene und Schulungsbedarf dienen. ZTS stellt außerdem sicher, dass unvermeidliche menschliche Fehler keine Sicherheitslücken hinterlassen, die Angreifer ausnutzen könnten.
8. Personalsicherheit, Zugangskontrollen und Maßnahmen zur Vermögensverwaltung
Mit Illumio können Sicherheitsteams detaillierte Segmentierungsrichtlinien implementieren, um den Zugriff auf Systeme, einschließlich Personalressourcen, einzuschränken. Das bedeutet, dass sich Angreifer nicht auf kritische Ressourcen ausbreiten können, wenn ein Teil des Netzwerks durchbrochen wird.
Weitere Informationen erhalten Sie in Erreichen Sie die NIS2-Konformität mit Illumio.
NIS2: Ein einfacheres Framework für die Sicherung wesentlicher Dienste
Im Vergleich zu herkömmlichen Präventions- und Erkennungsstrategien ist ein Ansatz zur Eindämmung von Sicherheitsverletzungen viel einfacher, da Unternehmen nur die wenigen Dinge definieren müssen, die im Netzwerk zulässig sind, und nicht die Tausenden von Dingen, die gestoppt werden müssen. Die Fähigkeit der KI, Sicherheitslücken zu finden und Verbindungen herzustellen, macht uns anfälliger für Sicherheitslücken, aber eine Änderung des Ansatzes kann Abhilfe schaffen.
Indem Sie sich auf den Schutz der Ressource konzentrieren, unabhängig davon, ob sie sich auf einem Server, in der Cloud oder auf einem OT-Gerät befindet, entfällt die Komplexität des Versuchs, Richtlinien für statische netzwerkbasierte Sicherheitstechnologien zu entwerfen.
Erfahren Sie mehr darüber, wie Illumio schützt wichtige Dienstleistungsunternehmen.
Kontaktieren Sie uns noch heute für eine kostenlose Demo und Beratung.