NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO: Die Gemeinsamkeiten
Sofern Unternehmen überhaupt von NIS2 betroffen sind, haben sie angesichts bereits bestehender Regularien weniger Zusatzaufwand als befürchtet, denn es gibt viele Schnittmengen.
Die verschiedenen IT-Sicherheitsvorgaben und Anforderungen an NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO zeigen viele Gemeinsamkeiten. Das eröffnet Unternehmen die Chance, Synergien zu nutzen und durch einen zentralen Ansatz mehrere Vorgaben gleichzeitig zu erfüllen.
Mehr über NIS2 in unserer Blog-Serie:
Teil 1 NIS2 im Kontext: IT-Grundschutz, KRITIS-Vorgaben und Co. in neuem Gewand?
Teil 3 Betroffen von NIS2? Sechs Handlungsempfehlungen
Im Rahmen des NIS-2-Umsetzungsgesetzes sind Unternehmen dazu verpflichtet, umfassende Sicherheitsgarantien zu implementieren, um ihre IT-Infrastruktur gegen Cyberbedrohungen abzusichern. Diese Sicherheitsgarantien zielen darauf ab, die Widerstandsfähigkeit von Netz- und Informationssystemen zu stärken.
Die Sicherheitsgarantien müssen zudem auf die gesamte Lieferkette ausgeweitet werden. Unternehmen sind verpflichtet, sicherzustellen, dass auch ihre Dienstleister und Zulieferer den hohen Sicherheitsanforderungen der NIS-2-Richtlinie gerecht werden. Dies soll durch vertragliche Vereinbarungen sowie regelmäßige Audits und Sicherheitsüberprüfungen gewährleistet werden.
NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO: Gemeinsamkeiten
in 6 verschiedenen Kernbereichen
Die einzelnen Richtlinien und Regulatoriken haben viele Überschneidungen und Gemeinsamkeiten, sie basieren zum Teil auf denselben Grundlagen und Anforderungen an IT-Sicherheit. Bei der Umsetzung können Unternehmen also eher mit Ergänzungsaufwand, als mit multipliziertem Aufwand rechnen. Hier der Überblick:
Risikomanagement
Ein systematisches Risikomanagement wird in allen Regularien gefordert. Organisationen müssen Risiken identifizieren, analysieren und bewerten. Darauf basierende Maßnahmen sollen Angriffe verhindern oder zumindest die Auswirkungen mildern. Das Risikomanagement muss dabei sowohl technische als auch organisatorische Maßnahmen umfassen, wie sie z.B. in den NIS2-Vorgaben detailliert beschrieben werden.
Ein zentraler Aspekt der NIS2-Richtlinie und der Datenschutzgrundverordnung ist das Risikomanagement im Rahmen der Lieferkette:
Unternehmen, die Dienstleister oder Subunternehmer beauftragen, müssen sicherstellen, dass diese ebenfalls angemessene Sicherheits- und Datenschutzmaßnahmen implementieren. Das Risikomanagement erstreckt sich also auf alle Beteiligten der Lieferkette. Dies bedeutet, dass Unternehmen auch von ihren Auftragnehmern den Nachweis der Einhaltung von Sicherheits- und Datenschutzrichtlinien einfordern müssen. Auch hier überschneiden sich die Anforderungen der NIS2-Richtlinie mit der DSGVO, da Auftragnehmer, die im Namen eines Unternehmens personenbezogene Daten verarbeiten, den strengen Anforderungen der DSGVO unterliegen.
Technische und organisatorische Maßnahmen
Unternehmen müssen nachweislich über geeignete technische und organisatorische Maßnahmen verfügen, welche potenzielle Sicherheitsrisiken zu minimieren.
Zu den technischen und organisatorischen Maßnahmen zählen unter anderem:
- Zugangskontrollen und Identitätsmanagement
Die Kontrolle von Zugriffsrechten sind ein zentrales Thema. Die Anforderungen an Identity und Access Management (IAM) überschneiden sich dabei in allen relevanten Sicherheitsnormen. - Kryptografie
Technische Maßnahmen zur sicheren Kommunikation und zum Schutz sensibler Daten durch Verschlüsselung. - Business Continuity Management
Wie gewährleistet man die Betriebsfähigkeit im Krisenfall? Unternehmen müssen die Kontinuität von kritischen Diensten auch im Falle eines Angriffs oder Systemausfalls nachweisen (siehe auch Blog-Beitrag: IT-Notfallplan erstellen). - Sicherheitsprotokolle
Unternehmen sind verpflichtet, die Sicherheitsprotokolle regelmäßig zu überprüfen und bei Bedarf zu aktualisieren.
Incident Management
Ein strukturiertes Vorfallmanagement mit Incident-Response-Plänen ist sowohl in NIS2 als auch im IT-Grundschutz und KRITIS eine zentrale Anforderung. Organisationen müssen in der Lage sein, Cybervorfälle zu erkennen, zu dokumentieren, zu melden und angemessen darauf zu reagieren. Im Nachgang eines Vorfalls geht es um die künftige Vorsorge und Verbesserung der Prozesse durch Lessons Learned.
Technische Sicherheitsmaßnahmen
Maßnahmen wie Firewalls, Intrusion Detection Systems (IDS), regelmäßige Sicherheitsupdates und Patch-Management sind explizite Anforderungen in allen Regularien. Hier finden sich viele Überschneidungen im IT-Grundschutz, KRITIS und NIS2. Der Gesetzgeber fordert außerdem, dass Unternehmen automatisierte Lösungen nutzen, um Sicherheitsvorfälle effizient zu erkennen und zu melden – eine zentrale Anforderung im Rahmen der NIS-2-Durchsetzung.
Awareness und Schulungen
Sämtliche Regelwerke betonen unisono, wie wichtig die Sensibilisierung und Schulung aller Mitarbeiter als Maßnahme zur Risikominimierung ist. Insbesondere für Mittelständler ist es wichtig, dies strukturiert und kontinuierlich umzusetzen, um ein wirksames „Human Firewall“-Konzept etablieren zu können.
Datenschutzrechtliche Aspekte und Anforderungen
Neben Cybersicherheitsmaßnahmen fordert die NIS2-Richtlinie, dass Unternehmen datenschutzrechtliche Bestimmungen wie die DSGVO einhalten. Unternehmen müssen sicherstellen, dass ihre IT-Sicherheitsmaßnahmen auch den Schutz von personenbezogenen Daten gewährleisten – insbesondere in Bezug auf Zugriffsrechte, Datenverschlüsselung und Datenspeicherung.
Viele der technischen und organisatorischen Maßnahmen, die für die IT-Sicherheit gelten, sind auch im Rahmen des Datenschutzes erforderlich.
Zu den Datenschutzmaßnahmen zählen:
- Datensicherung und Verschlüsselung
Sensible personenbezogene Daten müssen durch entsprechende Verschlüsselungs- und Sicherungsmaßnahmen vor unberechtigtem Zugriff geschützt werden. - Identitäts- und Zugriffsmanagement
Wie auch bei den Anforderungen der NIS2-Richtlinie ist ein striktes und sicheres Zugriffsmanagement erforderlich, um den unberechtigten Zugriff auf personenbezogene Daten zu verhindern. Dies schließt z.B. Multi-Faktor-Authentifizierung ein. - Datenminimierung und Speicherbegrenzung
Unternehmen müssen sicherstellen, dass nur die notwendigen personenbezogenen Daten verarbeitet und diese nicht länger als nötig aufbewahrt werden.
NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO: Gemeinsamkeiten bergen Lösungsansätze für NIS2-Compliance
Die Umsetzung der NIS2-Richtlinie erfordert erhebliche Anstrengungen – insbesondere für KMU, die bislang nicht von allen Cybersicherheitsregularien betroffen waren.
Die zentralen Herausforderungen bieten wegen vieler Überschneidungen mit bestehenden Richtlinien zugleich Lösungsansätze:
- Erweiterung des Anwendungsbereichs
Viele Unternehmen, die bisher nicht unter KRITIS fielen, fallen nun unter die NIS2-Richtlinie. Zusätzlich betroffen sind Sektoren wie die Telekommunikation, das verarbeitende Gewerbe, Chemie sowie digitale Dienste. Gerade für KMU stellt dies jedoch einen signifikanten Aufwand dar. - Nachweispflichten und Sanktionen
Richtlinien wie NIS2-Richtlinie oder auch DSGVO sehen hohe Strafen bei Verstößen vor. Unternehmen müssen daher regelmäßig Audits durchführen und Berichte über ihre Sicherheits- und Datenschutzmaßnahmen vorlegen.
Zuwiderhandlungen können sowohl nach DSGVO als auch NIS2 zu erheblichen finanziellen Sanktionen führen, in Höhe von bis zu 4 % bzw. 2 % des weltweiten Jahresumsatzes.
FAZIT
Die von NIS2 und anderen Regularien geforderten Sicherheitsmaßnahmen dienen nicht nur dem Selbstzweck der Unternehmen, ihre eigenen Systeme zu schützen. Sie leisten auch einen wichtigen Beitrag zur gesamtgesellschaftlichen Cybersicherheit, gerade in Bezug auf kritische Infrastrukturen.
Im Kern geht es bei den Richtlinien darum, Sicherheitsmaßnahmen zu treffen, welche Schwachstellen möglichst frühzeitig beheben. Zudem sollen mit den Maßnahmen Cyberangriffe, Data-Breaches und Datenschutzverstöße verhindert werden. Die Experten von ProSoft und von der Datenschutzagentur helfen Ihnen gerne weiter. Nehmen Sie unverbindlich Kontakt auf zu uns.
Das könnte Sie auch interessieren:
Next-Gen Firewall: Game-Changer für Ihre Zero Trust Strategie
Die Welle an Cyber-Attacken ebbt nicht ab, die Kriminellen professionalisieren und organisieren...
Maximale Datensicherheit auf kleinstem Raum
Der Schutz sensibler Informationen ist angesichts Ransomware und anderer Cyberattacken (s....
Sichere Authentifizierung braucht kein Passwort mehr
Herkömmliche passwortbasierte Authentifizierungsmethoden stoßen heutzutage an ihre systembedingten...
Wenn sich Malware in Videodateien versteckt
Manche Angreifer betten Bedrohungen in Bild- oder Videodateien ein, um damit Angriffe durch die...
Verlorene SSDs aus SAP-Rechenzentrum auf ebay aufgetaucht
Interne Datenverluste verhindern: Wie wichtig wirksame Sicherheitsmaßnahmen sind. Das Spannende an...
OT-Security: Mit Security Gateway und Datendiode Datenströme absichern
Die Digitalisierung bietet große Vorteile… Eine automatisierte Industrieproduktion lässt sich...
3CX Sicherheitslücke: Wie Unternehmen sich jetzt schützen können
Ende März wurde eine kritische 3CX-Sicherheitslücke bekannt. Die beliebte Lösung für...
Sicher surfen mit Remote-Controlled Browsers System
Remote-Controlled Browsers System – kurz ReCoBS – oder «Abstand durch Sicherheit»! Durch die...
Endpoint Detection and Response – Das leisten EDR- und XDR-Sicherheitslösungen in der Praxis
Cyberangriffe auf Unternehmen, staatliche Institutionen und Organisationen werden immer...
Die fünf Herausforderungen von Patch-Management lösen
Meldungen und Warnungen vor kritischen Sicherheitslücken erreichen uns nahezu täglich....
