Verfasst von Steve Bradford, SVP, EMEA
Im Januar 2023 trat die aktualisierte Richtlinie der Europäischen Union zur Netz- und Informationssicherheit, besser bekannt als NIS2, in Kraft. EU-Mitgliedstaaten haben Zeit bis zum 17. Oktober 2024, dieses neue Gesetz in ihre nationale Gesetzgebung zu übernehmen.
Weltweit steigt die Zahl der Ransomware-Angriffe. Wirtschaft und Gesellschaft sind immer stärker auf digitale Dienste angewiesen und hoch vernetzte Lieferketten führen zu einer erhöhten Anfälligkeit für Cyberrisiken. Tatsächlich ergab die jüngste IDSA-Umfrage, dass 84 Prozent der Unternehmen im vergangenen Jahr von einer identitätsbezogenen Sicherheitsverletzung betroffen waren. 96 Prozent der Befragten waren der Meinung, dieses Ereignis wäre vermeidbar gewesen. Nicht nur deshalb ist es Organisationen und Unternehmen angeraten, Cyber-Resilienz in ihre Geschäftsmodelle und Risikomanagement-Strategien zu integrieren. Genau hier setzt die aktualisierte NIS2-Richtlinie an.
Die ursprüngliche NIS-Regulierung wurde bereits 2018 umgesetzt. Die Richtlinie legte Sicherheitsverpflichtungen für Betreiber wesentlicher Dienste in kritischen Sektoren fest, z.B. für Krankenhäuser, Energienetze, Eisenbahnen, Rechenzentren, öffentliche Verwaltungen, Forschungslabors und Fabriken, die kritische medizinische Geräte und Medikamente herstellen. Die Verordnungen verpflichten die betroffenen Unternehmen und Einrichtungen, angemessene Sicherheitsmaßnahmen zu ergreifen, um die Cybersicherheit zu erhöhen. Zudem schreiben sie bestimmte Meldepflichten bei Sicherheitsvorfällen vor.
Die NIS2-Richtlinie zielt nun auf eine breite, umfassende und ganzheitliche Verbesserung der Informationssicherheit in der EU ab. Sie richtet sich an alle öffentlichen und privaten Betreiber kritischer Infrastrukturen im Gesundheitswesen, Energie, Verkehr, digitale Infrastrukturen, Finanzmarktinfrastrukturen, der Lebensmittelindustrie, Plattformen für soziale Netzwerke, Cloud-Computing-Dienste, Rechenzentren und mehr.
Ein Großteil der Verantwortung liegt bei den Regierungen: So werden beispielsweise in jedem Land Computer Security Incident Response Teams eingeführt. Zudem wird eine grenzüberschreitende Zusammenarbeit zwischen diesen Stellen für den Informationsaustausch sowie bei Vorfällen erforderlich. Doch das ist nicht alles: Auch für Unternehmen gibt es in dem Zusammenhang viel zu beachten und vorzubereiten. Um bis zum Stichtag sicherzustellen, dass alle Vorschriften eingehalten werden, müssen sich Unternehmen in den EU-Mitgliedstaaten dringend jetzt mit den Anforderungen der Richtlinie vertraut machen und eine effektive Cybersicherheitsstrategie implementieren.
Zu berücksichtigen sind in diesem Zusammenhang Strategien und Verfahren für die Risikoanalyse, die Sicherheit von Informationssystemen sowie die Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit. Beispielsweise müssen Unternehmen sicherstellen, dass alle Zugangskonten deaktiviert werden, wenn Mitarbeitende oder Auftragnehmende nicht mehr für sie arbeiten. Zugang zu sensiblen Anwendungen und Daten muss stets genehmigt und einer Risikoanalyse unterzogen werden, um Situationen zu vermeiden, die das Betrugsrisiko erhöhen. Im Rahmen von NIS2 muss die Geschäftsleitung zudem die Maßnahmen zum Management von Cybersecurity-Risiken genehmigen und deren Umsetzung überwachen – denn die Geschäftsleitung kann für Verstöße gegen die Richtlinie haftbar gemacht werden.
Einem IDC-Bericht zur Relevanz von Identity Governance im Rahmen von NIS2 zufolge sind die Folgen der neuen Gesetzgebung weitreichend. Sie betrifft viele unterschiedliche Bereiche:
- Training: Die NIS2-Richtlinie schreibt beispielsweise unter anderem vor, dass alle Mitarbeitenden sowie das gesamte Ökosystem für Cybersicherheit geschult und sensibilisiert werden müssen.
- Lieferketten-Sicherheit: Weiterhin ist eine koordinierte Risikobewertungen für Lieferketten vorgesehen, die kritische IKT-Dienste oder IKT-Produkte umfassen.
- Bewertung der Cybersicherheit: Unternehmen haben oft Schwierigkeiten, die Wirksamkeit ihrer Cybersicherheitsmaßnahmen zu bewerten oder Schwachstellen zu ermitteln, die trotz dieser Maßnahmen bestehen bleiben. Viele Organisationen tun sich schwer damit, sicherzustellen, dass Mitarbeitenden, die ihre Rolle wechseln oder das Unternehmen verlassen, der Zugang unverzüglich entzogen wird. Die Bewältigung all dieser Risiken muss durch einen proaktiven und politikgesteuerten Ansatz erfolgen. Die Europäische Kommission empfiehlt, dass Betreiber kritischer Infrastrukturen Zero-Trust-Strategien und ein Identitäts- und Zugangsmanagement implementieren. Ein Zero-Trust-Ansatz impliziert, dass Berechtigte nur auf die nötigsten Systeme Zugriff haben, also einen Zugang mit geringsten Rechten. Dies kann für die Verwaltung des Zugangs von Partnern und Auftragnehmern von grundlegender Bedeutung sein.
Europäische Organisationen haben bis Oktober 2024 Zeit, eine Bewertung durchzuführen, an welchen Stellen noch nachgebessert werden muss, um die Einhaltung von NIS2 zu garantieren.
Die Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) hat gezeigt, dass die europäischen Aufsichtsbehörden durchaus bereit sind, Unternehmen, die beim Management von Datensicherheit, Datenschutz und Cyber-Risiken hinterherhinken, mit Bußgeldern zu belegen. Kommen noch die Kosten für Betriebsausfälle, Rufschädigung, Kundenverlust und Systemwiederherstellung hinzu, die nach einer Datenschutzverletzung meist anfallen, wird deutlich, was für Unternehmen auf dem Spiel steht.
Unternehmen sehen sich generell mit einem ständig wachsenden Verwaltungsaufwand für Identitäten und Zugriff konfrontiert: für menschliche sowie nicht-menschliche Konten und Identitäten, Mitarbeiter, Partner, Auftragnehmer und Kunden. Herkömmliche Identitätssicherheitslösungen sind unzureichend, um den Umfang und die Geschwindigkeit der identitätsbezogenen Aufgaben zu bewältigen, die die meisten Unternehmen und Einrichtungen heute bewältigen müssen. Moderne Identitätssicherheitslösungen, wie sie von SailPoint angeboten werden, machen einen entscheidenden Unterschied. Die auf künstlicher Intelligenz und maschinellem Lernen basierenden Anwendungen von SailPoint ermöglichen es, Identitätsprozesse zu automatisieren und kontextbezogene Erkenntnisse zu gewinnen, um verdächtiges Verhalten zu erkennen und schnellere sowie wirkungsvollere Reaktionen zu ermöglichen.
Die Zahl von Geräten, Bots und anderen nicht-menschliche Identitäten nimmt rasanter zu, als manuelle Funktionen dies bewältigen können. Ein proaktives und automatisiertes Identitäts- und Zugriffsmanagement sollte deshalb der Grundpfeiler einer modernen Cybersecurity-Risikomanagementstrategie sein.
Sie wissen nicht, wo Sie anfangen sollen? In Zusammenarbeit mit IDC haben wir einen Technology Spotlight Report erstellt, der zeigt, wieso Identitätsverwaltung eine Schlüsselrolle bei der Einhaltung der NIS2-Vorschriften spielt.