Die NIS2-Richtlinie, eine neue EU-weite Gesetzgebung zur Verbesserung der Cybersicherheit der Mitgliedsstaaten, trat bereits am 16. Januar 2023 in Kraft. Sie führt neue strikte Kontrollmaßnahmen ein, verpflichtet mehr Unternehmen und Sektoren zur Teilnahme, stärkt die Anforderungen an die Meldung von Vorfällen und verweist im Allgemeinen auf bessere Praktiken als die vorangehende NIS-Richtlinie. Die Mitgliedsstaaten haben nun bis zum 17. Oktober 2024 Zeit, diese Maßnahmen in nationales Recht zu übertragen. Dies wird letztlich eine große Anzahl von Unternehmen betreffen, die innerhalb der EU tätig sind. Viele fragen sich, wie sich dies auf ihre Interessen auswirkt – hierzu werden wir die wichtigen Konzepte aus der Richtlinie und die möglichen Auswirkungen besprechen.
Ein wichtiger Hinweis vor der Lektüre: Dies betrifft nicht nur die EU. So hat die US-Regierung im Anschluss an die für 2022 angekündigte Zero-Trust-Architecture-Strategie und die entsprechende Durchführungsverordnung Anfang dieses Monats eine nationale Cybersicherheitsstrategie angekündigt. Sie zielt darauf ab, die Verantwortung für die Cybersicherheit von Einzelpersonen auf „Unternehmen zu verlagern, die am fähigsten und am besten positioniert sind, um die Risiken für uns alle zu verringern”.
Ähnlich wie sein Vorgänger beschreibt NIS2 nicht explizit alle technologischen Veränderungen, die vorgenommen werden müssen, sondern übergeordnete Konzepte und Ideen zur Verbesserung der Sicherheitslage. Ziel ist es, verbesserte Maßnahmen zur Cybersicherheit intern, aber auch bei der Zusammenarbeit zwischen Unternehmen und bei grenzüberschreitenden Kooperationen innerhalb der EU zu fördern.
Zu den wichtigen Punkten von NIS2 gehören:
- Eine erhebliche Ausweitung der Zahl der erfassten Sektoren, darunter Telekommunikation, verarbeitendes Gewerbe, Abfallwirtschaft, Social-Media-Plattformen und die öffentliche Verwaltung (eine umfassendere Liste finden Sie im NIS2-Datenblatt).
- Die Schaffung einer gemeinsamen Struktur für das Cyber-Krisenmanagement (als Cyber Crisis Liaison Organization Network oder CyCLONe bezeichnet) zur Verbesserung des gemeinsamen Situationsbewusstseins, zur Förderung der Zusammenarbeit und zur Reduzierung des Koordinationsaufwands
- Die Mitgliedsstaaten müssen sicherstellen, dass wesentliche Servicebetreiber und digitale Dienstleister geeignete Risikomanagementmaßnahmen, einschließlich regelmäßiger Risikobewertungen, implementieren und ihre Netzwerke und Informationssysteme auf Sicherheitsvorfälle prüfen.
- Ein höheres Maß an Vereinheitlichung bei den Meldepflichten. So haben etwa betroffene Unternehmen, sobald sie erstmals von einem Vorfall erfahren, 24 Stunden Zeit, um einen ersten Bericht einzureichen. Der abschließende Bericht ist spätestens einen Monat später fällig.
- Ermutigung der Mitgliedsstaaten, ihre allgemeine „Cyber-Resilienz“ zu überprüfen und zu stärken, insbesondere im Bereich der Lieferketten; zusätzlich werden der Einsatz von Verschlüsselungsverfahren und eine bessere Cyber-Hygiene empfohlen.
- Die Nichteinhaltung von Bestandteilen der NIS2-Richtlinie (sobald sie von den Mitgliedstaaten auf nationaler Ebene eingeführt wird) kann Geldstrafen von bis zu 10 Millionen Euro oder 2 % des globalen Gesamtumsatzes eines Unternehmens nach sich ziehen.
Da die Umstände und die technischen Voraussetzungen in den einzelnen Mitgliedstaaten und Unternehmen sich teils sehr stark unterscheiden, ist es schlicht nicht möglich, ein einheitliches Konzept für die Einhaltung der Richtlinie zu entwerfen. Deshalb wird die Verantwortung für die Bestimmung, Umsetzung und Durchsetzung der notwendigen Änderungen nicht nur innerhalb jedes einzelnen Unternehmens gemeinsame Bemühungen erfordern, sondern letztlich auch die lokalen und nationalen Regierungen einbeziehen – und möglicherweise die Aufsicht durch die Agentur der Europäischen Union für Cybersicherheit (ENISA).
Doch selbst wenn der Umfang der Änderungen zur Erfüllung der NIS2-Verpflichtungen in technologischer Hinsicht vage ist, steht außer Frage, dass zwei grundlegende Praktiken jedem Konzept einer verbesserten Cyber-Resilienz zugrunde liegen werden.
Welche Maßnahmen können ergriffen werden, um die NIS2-Anforderungen zu erfüllen?
Der erste und wichtigste Schritt besteht darin, die Multi-Faktor-Authentifizierung (MFA) anstelle von Passwörtern zu implementieren, um alle Konten zu sichern. Angesichts der Raffinesse moderner Cyberangriffe und des Cyberarsenals, das Angreifern zur Verfügung steht, darf man sich nicht länger nur auf Passwörter als zuverlässigen Schutz verlassen.
Zudem sind nicht alle Arten der MFA gleich. Zwar ist die Verwendung eines SMS-Einmalpassworts (OTP) oder einer Authentifikator-App sicherlich besser als herkömmliche Passwörter, doch beide Methoden sind nicht Phishing-resistent und können nicht einmal als starke Formen der MFA angesehen werden.
Die zweite grundlegende Praktik, die notwendig ist, um für höhere Cybersicherheit zu sorgen, ist der Schutz kritischer Daten und – wo immer möglich – die Verwendung von Verschlüsselung. Durch die Verschlüsselung von Datenbanken, Mitteilungen, Dokumenten, Servern und kritischen Infrastrukturen ist es selbst für den Fall, wenn es einem Angreifer gelingt, in ein System oder Netzwerk einzudringen, sehr viel unwahrscheinlicher, dass er leicht an für ihn relevante oder gar kritische Daten gelangen kann, wenn er nicht über den privaten Schlüssel zur Entschlüsselung der Daten verfügt, die er exfiltrieren konnte.
Wie können diese Maßnahmen sowohl in neue als auch in bestehende Infrastrukturen integriert werden?
Yubico bietet eine Reihe von Optionen für Unternehmen, die ihre Cyber-Resilienz verbessern möchten. Der YubiKey ist ein Hardware-Sicherheitstoken, das sowohl PIV als auch FIDO2unterstützt. Er kann einen passwortbasierten Authentifizierungsfluss um eine starke Phishing-resistente Authentifizierung ergänzen oder ihn sogar ersetzen. Es gibt auch viele YubiKey-Optionen und -Formfaktoren, die für Unternehmen aller Größen geeignet sind. Dazu gehören CSPN- und FIPS-zertifizierte Varianten – wie die YubiKey 5 FIPS-Serie oder die 5 CPSN-Serie – für alle, die auf der Suche nach einem staatlich anerkannten Gerät sind – oder der YubiKey 5C NFC, der FIDO2- und PIV-Unterstützung mit USB-C- und NFC-Funktionen bietet, um Kompatibilität mit einer Vielzahl von Geräten zu gewährleisten.
Für die Verschlüsselungsanforderungen von Unternehmen ist der YubiHSM eine nützliche Toolbox für die sichere Speicherung und Generierung von privaten Schlüsseln und anderem kryptografischen Material. Er ist zu einem Bruchteil der Kosten eines herkömmlichen HSMs erhältlich, hat einen winzigen Formfaktor von der Größe eines Fingernagels und unterstützt gängige Schnittstellen wie PKCS11 und Microsoft CNG.
Auch wenn die NIS2-Richtlinie vielleicht zunächst kompliziert und schwer umsetzbar erscheint, so sind die Grundlagen der Sicherheit doch einfach, und jede Investition in die Cyber-Resilienz ist äußerst lohnenswert, um potenzielles zukünftiges Unheil zu verhindern. Yubico kann jedem Unternehmen helfen, das bereit ist, die Herausforderungen der Cybersicherheit zu bewältigen, und zwar weit über die reine Erfüllung von NIS2 hinaus.
Im Einklang mit dem Thema haben wir am 27.4.23 ein Webinar in Zusammenarbeit mit unserem Distributionspartner Infinigate Deutschland und einem externen Experten von OpenKRITIS.de veranstaltet. In diesem Webinar haben wir uns eingehender mit den wichtigsten Änderungen der NIS2-Richtlinie befasst, insbesondere in Bezug auf die in Deutschland (IT-SiG 2.0 / KRITIS) und Österreich (NISG) geltenden Bestimmungen. Eine Aufzeichnung des Webinars steht Ihnen hier (externer Link) jederzeit zur Verfügung.
Weitere Informationen zu den Produkten YubiKey, YubiKey CSPN, YubiKey FIPS, YubiHSM 2 oder YubiHSM 2 FIPS finden Sie auf der Website von Yubico. Die Produkte können im Yubico-Shop, über das Vertriebsteam von Yubico oder bei allen von Yubico zugelassenen Vertriebspartnern und Wiederverkäufern erworben werden.
