In den nächsten 12 Monaten werden Organisationen, die in der Europäischen Union (EU) geschäftlich tätig sind bzw. ihren Sitz in der EU haben, erhebliche Maßnahmen zur Steigerung ihrer Cybersicherheitsresilienz ergreifen. Zur Verbesserung der Cyberresilienz von Organisationen, die für die Bereitstellung von Services für EU-Bürger von zentraler Bedeutung sind, hat die EU Rechtsvorschriften verabschiedet, die in allen Mitgliedsstaaten gelten werden und somit alle Organisationen betreffen, die im EU-Raum tätig sind.
Die Richtlinie (EU) 2022/2555, besser bekannt „NIS-2-Richtlinie“, wird bis Oktober 2024 in nationales Recht umgesetzt. Die Verordnung (EU) 2022/2554, die auch als „Digital Operational Resilience Act“ (kurz: DORA) bezeichnet wird, wird ab Januar 2025 Anwendung finden.
Ihre Organisation sollte versuchen, sich so gut wie möglich darauf vorzubereiten, zumal die relevanten Informationen bereits zur Verfügung stehen und die in den nächsten 12 Monaten zu erwartenden Anforderungen bereits bekannt sind. In diesem Leitfaden erläutern wir, was das für die Mechanismen Ihrer Organisation zur Erkennung, Abwehr, Meldung und Wiederherstellung nach Cyberzwischenfällen bedeutet. Wir gehen dabei insbesondere auf die folgenden Aspekte ein:
- Die neuen Verpflichtungen, die Organisationen und EU-Mitgliedsstaaten auferlegt werden, einschließlich Meldung von Zwischenfällen, Mitarbeiterschulungen und Management von Risiken durch Dritte
- Der größere Geltungsbereich der Richtlinien und Verordnungen
- EU-weite Richtlinien, die in nationales Recht umgesetzt werden, und die Konsequenzen von Verstößen
- Die Anwendung der DORA-Verordnung im Finanzsektor sowie bei IKT-Dienstleistern
Was ändert sich?
Gilt die NIS-2-Richtlinie für Ihre Organisation?
Die NIS-2-Richtlinie konzentriert sich vor allem auf die Verantwortlichkeiten, die Mitgliedsstaaten bei ihren nationalen Strategien und Prozessen umsetzen müssen. Außerdem trägt sie durch die Einrichtung der Kooperationsgruppe und des Netzwerks nationaler Computer-Notfallteams zur Zusammenarbeit auf Unionsebene bei.
Im Vergleich zur NIS-Richtlinie von 2016 (Richtlinie (EU) 2016/1148) deckt die NIS-2-Richtlinie Organisationen in weiteren Branchen ab. In der NIS-2-Richtlinie werden elf „Sektoren mit hoher Kritikalität“ genannt, die als wesentliche Einrichtungen gelten. Dazu gehören die bereits in der NIS-Richtlinie genannten Bereiche Energie, Verkehr, Bank- und Finanzinstitute und Gesundheitswesen sowie zusätzlich Trink- und Abwasser, öffentliche Verwaltung, Weltraum und andere. Zu den sieben „sonstigen kritischen Sektoren“ gehören jetzt auch Post- und Kurierdienste und Verarbeitendes Gewerbe/Herstellung von Waren. Bei der Anwendbarkeit der Richtlinie spielen sowohl die Größe der Organisation als auch die Auswirkungen von Sicherheitsvorfällen auf die öffentliche Sicherheit und Gesundheit eine Rolle.
Risikomanagementmaßnahmen
Artikel 21 der NIS-2-Richtlinie nennt zehn Bereiche, die Organisationen als Risikomanagementmaßnahmen implementieren müssen. Diese Bereiche umfassen Richtlinien zur Risikoanalyse, Bewältigung von Vorfällen, Krisenmanagement, Sicherheit der Lieferkette, Schulungen im Bereich der Cybersicherheit und die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung (MFA).
Es ist zu erwarten, dass die meisten Organisationen bestrebt sein werden, ihre Sicherheitsmaßnahmen in diesen zehn Bereichen zu verstärken, und sich in den Mitgliedsstaaten erkundigen werden, was von ihnen erwartet wird.
Berichtspflichten
Die NIS-2-Richtlinie schreibt vor, dass (1) erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden dem CSIRT oder gegebenenfalls der zuständigen Behörde gemeldet werden (was als „Frühwarnung“ bezeichnet wird), (2) innerhalb von 72 Stunden eine Bewertung des erheblichen Sicherheitsvorfalls übermittelt wird (einschließlich Schweregrad und Auswirkungen) und (3) spätestens einen Monat nach Übermittlung der ersten Meldung eine ausführliche Beschreibung des Sicherheitsvorfalls (einschließlich Ursachenanalyse) übermittelt wird. Weitere Informationen hierzu finden Sie in Artikel 23 der NIS-2-Richtlinie.
Strafen oder Bußgelder
Die NIS-2-Richtlinie sieht vor, dass die Mitgliedsstaaten Geldbußen bis 10.000.000 EUR oder 2 % des weltweiten jährlichen Umsatzes gegen wesentliche Einrichtungen bzw. 7.000.000 EUR oder 1,4 % des weltweiten jährlichen Umsatzes gegen wichtige Einrichtungen verhängen. Weitere Informationen hierzu finden Sie in Artikel 34 der NIS-2-Richtlinie.
Rechenschaftspflicht
Artikel 32 der NIS-2-Richtlinie hebt hervor, warum eine Einrichtung sich die eigenen Entscheidungen und Verhaltensweisen zur Reduzierung der Cybersicherheitsrisiken zu eigen machen muss. Der Artikel legt fest, dass die zuständigen Behörden in den Mitgliedsstaaten befugt sind, die Zertifizierung für von einer Einrichtung erbrachte einschlägige Dienste oder Tätigkeiten vorübergehend auszusetzen. Zuständige Behörden können einer Person (z. B. einer Person auf Geschäftsführungs- bzw. Vorstandsebene oder auf Ebene des rechtlichen Vertreters) vorübergehend untersagen, Leitungsaufgaben in dieser Einrichtung wahrzunehmen. Die Richtlinie besagt, dass Organisationen Vor-Ort-Kontrollen und regelmäßige Sicherheitsprüfungen akzeptieren und Nachweise erbringen müssen, dass die erforderlichen Cybersicherheitsvorschriften implementiert wurden. Zur Förderung von Best Practices können Behörden außerdem festlegen, dass eine betroffene Organisation Verstöße gegen die Richtlinie öffentlich macht.
Risiken durch Dritte
Viele Organisationen sind sich inzwischen der Risiken durch Beziehungen innerhalb von Lieferketten bewusst. Die NIS-2-Richtlinie konzentriert sich stark auf die Sicherheit der Lieferkette und empfiehlt Risikobewertungen von IKT-Produkt-Lieferketten sowie der Beziehungen zwischen einer Einrichtung und deren Lieferanten bzw. Dienstanbietern. Die Richtlinie schlägt auch eine Methode für den Informationsaustausch zwischen Gruppierungen von Einrichtungen und ihren Lieferanten und Dienstanbietern vor, unterstützt von ENISA. Dieser Informationsaustausch kann Bedrohungsdaten, IOC (Kompromittierungsindikatoren), Taktiken von Bedrohungsakteuren und Empfehlungen zur Tool-Konfiguration umfassen, mit denen die Resilienz von Branchen inklusive der gesamten Lieferkette und in allen Regionen gesteigert wird.
Spezifität
Artikel 35 der NIS-2-Richtlinie erklärt, dass bei Verstößen, bei denen personenbezogene Daten (Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen) verletzt wurden, entsprechend der Richtlinie (EU) 2016/679 (auch als DSGVO bekannt) die Aufsichtsbehörden informiert werden müssen. Dies zeigt a) die Beziehung zwischen der NIS-2-Richtlinie und der Datenschutz-Grundverordnung und b) die Bedeutung des Schutzes personenbezogener Daten. Möglicherweise haben Sie bereits Prozesse zum Schutz personenbezogener Daten implementiert. Jetzt ist der ideale Zeitpunkt, um sich genauer zu informieren und zu evaluieren, wo die NIS-2-Richtlinie zusätzliche Möglichkeiten bietet, Ihre allgemeine Sicherheit zu verbessern.
Die NIS-2-Richtlinie erklärt, wie bei der Anwendung dieser Richtlinie das Vorhandensein sektorspezifischer Rechtsakte der Union berücksichtigt werden muss (siehe Artikel 4). Einer der genannten sektorspezifischen Rechtsakte der Union ist die DORA-Verordnung, die für Finanzunternehmen und die IKT-Dienstanbieter dieser Einrichtungen gilt. In Artikel 4 wird erklärt, inwieweit bei Richtlinien in Bezug auf Risikomanagement, Vorfallmanagement, Meldung von Zwischenfällen, Prüfung der digitalen Betriebsstabilität, Informationsaustausch und Risiken durch Dritte die Vorgaben der DORA-Verordnung anstelle der NIS-2-Richtlinie anzuwenden sind.
Bis wann muss ich mich vorbereiten?
Die NIS-2-Richtlinie wurde im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht. Die Mitgliedstaaten müssen die für die Einhaltung der NIS-2-Richtlinie erforderlichen Maßnahmen bis 17. Oktober 2024 annehmen und veröffentlichen und diese Maßnahmen ab 18. Oktober 2024 anwenden.
Wenn Ihre Organisation der Verordnung DORA unterliegt, wissen Sie wahrscheinlich bereits, dass sie im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht wurde und ab 17. Januar 2025 angewendet werden muss.
Was können Sie jetzt tun?
Es ist mitunter schwierig festzustellen, ob eine Organisation genug getan hat, um die zu erwartenden Vorgaben einzuhalten. Der Grundgedanke und der Schwerpunkt der Richtlinie sind klar und Sie sollten versuchen, Ihre aktuellen Fähigkeiten und Lücken zu verstehen und festzustellen, an welchen Punkten Sie die Cyberresilienz und die allgemeine Sicherheit Ihrer Organisation verbessern können.
Das Proofpoint-Team hilft Ihnen gern, Ihre Cybersicherheitsresilienz durch bessere Prävention, Erkennung und Reaktion zu optimieren. Wir helfen Ihnen, einen Überblick über Angriffe von externen Cyberkriminellen, internen Mitarbeitern (Insider-Bedrohungen) oder über die Supply Chain zu erhalten sowie dabei, Ihre Mitarbeiter zu schulen und für Sicherheit zu sensibilisieren.
Wenn Sie weitere Informationen erhalten oder über die für Sie geltenden Anforderungen sprechen möchten, wenden Sie sich an Ihren Account Manager oder Channel-Partner. Wenn Sie mehr über Proofpoint erfahren möchten, kontaktieren Sie uns.
Nehmen Sie an unserem webinar teil
Wie wirkt sich die Vorbereitung auf NIS 2 und DORA auf Ihre Organisation aus? Was ist der Unterschied zwischen den beiden? Wo sollten Sie beginnen?
Nehmen Sie an unserem 30-minütigen Webinar teil, in dem wir die wichtigsten Aspekte von NIS 2 und DORA für EU- und Nicht-EU-Organisationen erläutern. Außerdem gehen wir auf die einzigartigen Möglichkeiten ein, die sie bieten, um die Cybersicherheitslage Ihres Unternehmens und Ihrer Lieferkette zu verbessern.
Registrieren Sie sich oder schauen Sie auf Abruf zu
Referenzmaterial
NIS-2-Richtlinie: https://eur-lex.europa.eu/eli/dir/2022/2555/oj
DORA: https://eur-lex.europa.eu/eli/reg/2022/2554/oj
DSGVO: https://eur-lex.europa.eu/eli/reg/2016/679/oj