Autor: Priyasha Purkayastha, Global Content Manager, TJC Gruppe
Immer häufiger geraten Organisationen auf der ganzen Welt in das Visier von Cyberkriminellen. Regierungen auf der ganzen Welt bemühen sich nach Kräften, Richtlinien und Maßnahmen zu entwickeln, die Organisationen vor solchen Cyberangriffen und -bedrohungen schützen sollen. Die Sicherheit von Netzwerk- und Informationssystemen, oder NIS, zielt auf dasselbe ab. Lesen Sie diesen Blog, um zu verstehen, worum es bei dieser Richtlinie geht.
Inhaltsübersicht
Einführung | Die Umsetzung der NIS-Richtlinie
Die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS) wurde im Juli 2016 mit dem Ziel eingeführt, die Cyber-Resilienz in der EU zu erhöhen und zu verbessern. Die NIS konzentriert sich auf die Stärkung der Cybersicherheit auf nationaler Ebene durch regulatorische Maßnahmen und verbessert so die Zusammenarbeit zwischen den Mitgliedstaaten der Europäischen Union. Mit dem Ziel, die Cyber-Resilienz zur DNA von Organisationen zu machen, haben die Behörden zwei Gruppen von Unternehmen festgelegt, die die NIS-Richtlinie einhalten müssen. Diese Gruppen sind –
a) Betreiber von wesentlichen Dienstleistungen
b) Anbieter digitaler Dienstleistungen.
Interessanterweise hat die NIS-Richtlinie, die seit einigen Jahren in Kraft ist, zu einem deutlichen Umdenken bei der Herangehensweise an die Cybersicherheit durch institutionelle und regulatorische Ansätze geführt. Sie war jedoch mit Herausforderungen konfrontiert, von denen einige zu einem geteilten Ansatz auf der Ebene der Mitgliedstaaten führten. In der Tat hat die rasche Expansion der digitalen Landschaft, einschließlich der Komponente der Cyber-Kriegsführung, zu einer Vergrößerung der Bedrohungslandschaft geführt. Daher waren Änderungen an der NIS-Richtlinie weitaus dringender als man erwarten konnte.
NIS2-Richtlinie | Das dringend benötigte Upgrade
Mit Blick auf die jüngste digitale Landschaft und die Cyber-Kriegsführung hat die Europäische Union im Januar 2023 eine neue, aktualisierte Version der Richtlinie zur Netz- und Informationssicherheit (NIS2) verabschiedet. Mit dem Ziel, ein höheres Maß an Cybersicherheit und Widerstandsfähigkeit zu schaffen, setzten die EU-Mitglieder die aktualisierte Richtlinie am 17. Oktober 2024 in ihre nationale Gesetzgebung um. Organisationen müssen sich nun darauf vorbereiten, die Einhaltung der NIS2-Richtlinie zu gewährleisten. Werfen wir jedoch zunächst einen Blick auf die neuen Aktualisierungen in der Richtlinie.
Was ist die NIS2-Richtlinie | Die Ausweitung des Anwendungsbereichs?
Gemäß der NIS2-Richtlinie müssen Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit von Daten im Unternehmensnetzwerk und in den Informationssystemen vor Cyber-Bedrohungen schützen. Außerdem müssen sie innerhalb einer bestimmten Frist erhebliche Sicherheitsvorfälle erkennen und melden, einschließlich Vorfällen, die geschäftskritische Lösungen betreffen.
Die Richtlinie der NIS2 definiert zwei Kategorien für Organisationen: wichtig und wesentlich. Einrichtungen, die unter beide Kategorien fallen, müssen die genauen Anforderungen erfüllen. Der Unterschied zwischen den beiden Kategorien besteht jedoch in den Aufsichtsmaßnahmen und Sanktionen. Während wichtige Unternehmen einer Ex-post-Aufsicht unterliegen, müssen wesentliche Unternehmen ab der Einführung der NIS2 Aufsichtsanforderungen erfüllen. Für wichtige Unternehmen bedeutet die Ex-post-Aufsicht, dass Maßnahmen ergriffen werden, wenn die Behörden Hinweise auf die Nichteinhaltung der Richtlinie erhalten.
Insgesamt hat die NIS2-Richtlinie dazu beigetragen, das von den Behörden durchzuführende Scoping zu vereinfachen. Darüber hinaus wurde eine Reihe von Sektoren festgelegt und eine Grundregel aufgestellt, die besagt, dass jedes große Unternehmen (mit einer Mitarbeiterzahl von mehr als 250 oder einem Umsatz von mehr als 50 Millionen) und jedes mittlere Unternehmen (mit einer Mitarbeiterzahl von mehr als 50 oder einem Umsatz von mehr als 10 Millionen) innerhalb dieser Sektoren automatisch in den Anwendungsbereich der NIS2 aufgenommen wird. Allerdings dürfen Sie nicht vergessen, dass kleine und Kleinstunternehmen nicht grundsätzlich ausgeschlossen sind. Es liegt im Ermessen der Mitgliedstaaten, diese Anforderungen zu erweitern, wenn ein Unternehmen bestimmte Kriterien erfüllt, die seine bedeutende Rolle in der Gesellschaft, der Wirtschaft oder in bestimmten Sektoren oder Dienstleistungen belegen.
NIS2-Richtlinie | Registrierung von wesentlichen Betrieben
Mit der NIS2-Richtlinie in der EU sind die Mitglieder verpflichtet, die wesentlichen Einrichtungen zu identifizieren, die in den Anwendungsbereich des Mandats fallen. Die Frist hierfür ist der 17. April 2025. Darüber hinaus müssen die identifizierten Einrichtungen feststellen, ob ihre Dienstleistungen in den Anwendungsbereich von NIS2 fallen. Dann müssen sie die Mitgliedstaaten ermitteln, die Dienstleistungen in diesem Bereich anbieten, und sich vor Ablauf der Frist in jedem Mitgliedstaat registrieren. Im Folgenden sind die Voraussetzungen aufgeführt, die die Unternehmen für die Registrierung erfüllen müssen.
- Name, Adresse, Kontaktangaben und Registrierungsnummer der Organisation
- Der Sektor (oder Teilsektor), unter den sie in den NIS2 fallen
- Die Mitgliedsstaaten, in denen die Organisation tätig ist – das können ein oder mehrere Staaten sein
- Die detaillierte Liste der ihnen zugewiesenen IP-Adressen
Abgesehen davon werden die endgültige Registrierung und die zusätzliche Liste der erforderlichen Informationen während der Umsetzung der NIS2-Richtlinie in das Gesetz festgelegt.
Laden Sie unser neuestes eBook herunter: https://www.tjc-group.com/de/ressource/vorantreiben-der-genai-innovation-in-s-4hana-transformation-mit-stilllegung/
Implementierung von sicheren Elementen in der NIS2-Richtlinie
Ein wichtiger Aspekt des neuen Mandats für das Netzwerk- und Informationssystem (NIS2) ist sein Ziel, die Koordinierung von Cybervorfällen und -bedrohungen innerhalb der EU-Mitgliedstaaten zu vereinfachen. In diesem Rahmen wird die Agentur der Europäischen Union für Cybersicherheit (ENISA) eine europäische Datenbank zur Offenlegung von Schwachstellen einrichten, die den Austausch von Informationen und Wissen zwischen den Mitgliedstaaten erleichtern wird.
Darüber hinaus wurde im Rahmen der NIS2-Richtlinie ein neuer Zeitplan für die Meldung von Vorfällen entworfen. Das müssen Sie wissen –
- Jeder Vorfall, unabhängig von den Auswirkungen, muss von der Einrichtung unverzüglich gemeldet werden.
- Innerhalb von 24 Stunden muss eine Frühwarnung herausgegeben werden, zusammen mit einigen Angaben über die Art des Vorfalls.
- Nach 72 Stunden müssen die Einrichtungen einen detaillierten Bericht übermitteln, der die Bewertung des Vorfalls, die Schwere und die Auswirkungen sowie Hinweise auf etwaige Verluste enthält.
- Nach 30 Tagen müssen die Organisationen einen Abschlussbericht vorlegen.
Denken Sie daran, dass alle Berichte und Mitteilungen an die Computer Security Incident Response Teams (CSIRT) der EU-Mitgliedstaaten übermittelt werden müssen.
Das NIS2-Mandat ermutigt jedoch dazu, das Meldeverfahren für Vorfälle so einfach wie möglich zu gestalten. Dies wird durch die Einrichtung einer einzigen Anlaufstelle für Vorfälle gewährleistet, die den Verwaltungsaufwand für die Behörden innerhalb der Mitgliedstaaten und zwischen den Mitgliedstaaten weiter verringern wird.
Abgesehen davon muss das CSIRT oder die zuständige Behörde des EU-Mitgliedsstaates laut der neuen Richtlinie der ENISA über die Vorfälle berichten. Sie muss alle drei Monate unter Verwendung anonymisierter Informationen Bericht erstatten. Darüber hinaus wird die ENISA alle sechs Monate über die aufgetretenen Vorfälle berichten, so dass sowohl die Einrichtungen als auch die Mitgliedstaaten aus den Vorfällen lernen und bei Bedarf entscheidende Änderungen an der NIS2-Richtlinie vornehmen können.
Wie können Sie die NIS2-Richtlinie für SAP-Lösungen einhalten?
Die NIS2-Richtlinie enthält die notwendigen Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten in jedem Netzwerk und Informationssystem. Die Richtlinie soll Systeme vor Cyber-Bedrohungen schützen und dabei helfen, Sicherheitsvorfälle zu erkennen und zu melden. Dazu gehören auch Vorfälle mit Daten, die sich auf geschäftskritische Lösungen auswirken.
SAP-Lösungen spielen in Unternehmen eine wichtige Rolle bei der Verwaltung einer Vielzahl sensibler Daten – von Finanzdaten bis hin zu persönlichen Daten. Eine Verletzung der Datensicherheit, sei es durch Datenlecks, Finanzbetrug oder Systemausfälle, führt zu schwerwiegenden Konsequenzen. Um diese kritischen Systeme zu schützen, kommt die NIS2-Richtlinie mit ihren klaren Richtlinien gerade recht. Unternehmen, die SAP-Lösungen einsetzen, betonen die Notwendigkeit, Netzwerk- und Informationssysteme zu schützen und gleichzeitig sicherzustellen, dass Vorfälle rechtzeitig gemeldet werden.
Für SAP-Umgebungen sollten die Sicherheitsmaßnahmen die Einhaltung von Branchen-Benchmarks und die Best Practices von SAP für die Systemhärtung, das Patchen und die Sicherung von benutzerdefiniertem Code umfassen. Die Sicherheitsleitfäden und -standards von SAP bieten detaillierte Empfehlungen für jedes Produkt und jeden Bereich. Darüber hinaus müssen Unternehmen Mechanismen zur Erkennung, Untersuchung und Meldung von Sicherheitsvorfällen anhand von SAP-Protokollen implementieren. Verschiedene fortschrittliche Techniken, wie z.B. der Musterabgleich und die Erkennung von Anomalien, können die Überwachung der Datensicherheit in den Systemen erheblich verbessern.
Bei der TJC Group legen wir großen Wert auf Datensicherheit und Datenschutz. Wir haben strenge Maßnahmen ergriffen, um SAP-Systeme vor Cyberangriffen und drohenden Bedrohungen zu schützen. Mehr über unsere Maßnahmen zur Datensicherheit erfahren Sie hier!
Wenn Sie weitere Informationen über das gesamte Datenmanagement für die S/4HANA-Migration, Compliance und mehr erhalten möchten, kontaktieren Sie uns jetzt!
