Business Continuity neu konzipieren: NIS2 fordert einen neuen Ansatz

Im Jahr 2022 waren Millionen von Menschen von Cyberangriffen betroffen. Heute sind mehr als eine Milliarde Menschen weltweit betroffen (1). Wie können wir dieser Bedrohung, die weiter zunimmt, wirksam begegnen? Die neue europäische NIS2-Richtlinie - eine nicht präskriptive, aber dennoch anspruchsvolle Verordnung - soll die Widerstandsfähigkeit stärken, indem sie die Cybersicherheit zu einer strategischen, organisationsweiten Priorität macht, insbesondere für Unternehmen, die für die Wirtschaft von entscheidender Bedeutung sind. In diesem Artikel gehen wir der Frage nach, wie die Einführung von NIS2 die Aufmerksamkeit auf Cyberrisiken, Geschäftskontinuität und die Sicherheit Dritter lenkt und Unternehmen dazu ermutigt, diesen Bereichen Priorität einzuräumen.  

Wir stellen vor: NIS2 

Die EU hat vor kurzem NIS2 als Eckpfeiler ihrer Resilienzstrategie eingeführt - eine wichtige Verordnung, die den Schutz vor Cyberangriffen stärken soll, indem sie einen Mindestsicherheitsstandard für alle Organisationen durchsetzt, der auf einem einheitlichen Governance-Rahmen für das Risikomanagement basiert. Derzeit ist die NIS2 in mehreren europäischen Ländern bereits Gesetz, wobei die niederländische Umsetzung voraussichtlich im 3. Quartal 2025 in Kraft treten wird (2). 

Die Notwendigkeit für Action

Da Unternehmen immer mehr IT einsetzen, nehmen die Schwachstellen zu und die Bedrohungslandschaft wird größer. Während die Digitalisierung immer schneller voranschreitet, bleiben das Sicherheitsbewusstsein und die Maßnahmen leider zurück. NIS2 fordert die Unternehmen auf, dieses Missverhältnis zu beseitigen und die Cybersicherheit in ihre allgemeinen Geschäftsstrategien zu integrieren, bevor es zu spät ist.  

Die treibenden Kräfte hinter NIS2 

Kurz gesagt, NIS2 zielt darauf ab: 

• Setzen Sie einen europaweiten Sicherheitsstandard: NIS2 setzt Cybersecurity-Strategien in ganz Europa um und verpflichtet alle wichtigen und kritischen Organisationen zur Einhaltung - ohne Ausnahmen. 

• Machen Sie Cybersicherheit zu einer Geschäftspriorität: Unternehmensleiter sind persönlich für den Schutz der digitalen Vermögenswerte des Unternehmens verantwortlich. Kennen Sie Ihre Risiken. Handeln Sie danach.  

• EU-weite Zusammenarbeit stärken: Die EU-Länder müssen zusammenarbeiten und Informationen austauschen, um eine robustere, gemeinsame Verteidigung gegen Cyber-Bedrohungen aufzubauen. 

A Einzigartig Risikobasierter Ansatz  

NIS2 ist eine einzigartige Verordnung. Sven de Bruin, Sicherheitsberater bei Xebia, erklärt: "Anstatt spezifische Maßnahmen vorzuschreiben, nimmt NIS2 es einen risikobasierten Ansatz, und fordert die Unternehmen auf, ihre eigenen Prozesse zu entwickeln und zu testen, die auf ihrer individuellen Betriebsgröße und Bedrohungslage basieren." Mit anderen Worten: Während die Unternehmen aufgefordert werden was die sie erreichen müssen, wie z.B. Zeitpläne für die Reaktion auf einen Vorfall, sie schreibt nicht vor wie um dorthin zu gelangen. Francisco Dominguez, Research & Innovation Lead bei Hunt & Hackett, liefert eine Analogie: "Nehmen wir an, Sie haben ein Fahrrad gekauft und suchen nach einem Schloss. Je nachdem, wie viel Sie für das Fahrrad ausgegeben haben und wie hoch Ihr monatliches Einkommen ist, können Sie das beste Schloss für Ihre Situation bestimmen. NIS2 wendet die gleiche Logik auf Unternehmen an - bewerten Sie, was auf dem Spiel steht und implementieren Sie Sicherheitsmaßnahmen, die Ihren Risiken und Ressourcen entsprechen."  

Was benötigt NIS2?  

Über seinen risikobasierten Ansatz hinaus, Die NIS2 unterscheidet sich von den meisten Compliance-Normen auch in anderer Hinsicht. Erstens legt sie explizite und kurze Reaktionszeiten für Vorfälle fest. Zweitens unterstreicht sie die Bedeutung von Abhängigkeiten in der Lieferkette. Drittens werden Führungskräfte persönlich für die Einhaltung der Vorschriften verantwortlich gemacht, was einen starken Anreiz für die Umsetzung darstellt.  

Reaktion auf Vorfälle  

Gemäß der NIS2-Richtlinie müssen schwerwiegende Vorfälle im Bereich der Cybersicherheit schnell gemeldet werden. De Bruin erklärt: "Unternehmen haben 24 Stunden Zeit, um einen ersten Bericht mit grundlegenden Angaben zu den Auswirkungen und der Ursache zu übermitteln. Innerhalb von 72 Stunden müssen sie einen vollständigen Bericht über den Schaden und die Maßnahmen zu seiner Behebung vorlegen. Innerhalb eines Monats ist ein abschließender, detaillierter Bericht fällig, in dem erklärt wird, was passiert ist, warum und wie dies in Zukunft verhindert werden soll. Dieser enge Zeitrahmen verlangt von den Unternehmen, dass sie schnell handeln und alle notwendigen Informationen bereithalten. Wie Sie sich vorstellen können, kann dies eine erhebliche Belastung für die internen Teams bedeuten."    

Risikomanagement in der Lieferkette 

NIS2 ist nicht nur eine Compliance-Anforderung, sondern eine strategische Initiative zur Förderung einer proaktiven Sicherheitskultur - zumal Unternehmen Gefahr laufen, Kunden zu verlieren, wenn ihre Sicherheitsvorkehrungen hinter den Branchenstandards zurückbleiben. Dominguez erklärt: "NIS2 ist ein N+1-Gesetz, d.h. es gilt für Sie und Ihre Hauptlieferanten. Wenn Ihr Lieferant die Anforderungen nicht erfüllt, müssen Sie eine risikobasierte Entscheidung treffen. Ist er der einzige, der Ihre Waren liefern kann? Gibt es noch andere? Bei Nichteinhaltung der Anforderungen könnte der Lieferant Gefahr laufen, sein Geschäft zu verlieren. Auf diese Weise schafft die NIS2 einen starken geschäftlichen Anreiz für die Einhaltung der Vorschriften." Die Zahlen lügen nicht - 98% der 100 größten europäischen Unternehmen konfrontiert Sicherheitsverletzungen durch Dritte im Jahr 2024 (3). Dies macht deutlich, dass Unternehmen es sich nicht länger leisten können, die Sicherheitsstandards ihrer Lieferanten zu ignorieren. 

Verantwortlichkeit & Haftung  

NIS2 führt eine strenge Rechenschaftspflicht ein und macht Unternehmen - und zum ersten Mal auch deren Führungskräfte - persönlich für die Einhaltung der Vorschriften verantwortlich. Wie die DSGVO kann auch die Nichteinhaltung der NIS2 zu saftigen Strafen führen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Zum Vergleich: Verstöße gegen die GDPR haben zu massiven Geldstrafen geführt, wie z.B. die Strafe von Uber in Höhe von 290 Millionen Euro für den unsachgemäßen Umgang mit EU-Fahrerdaten - eine der höchsten Strafen, die seit Einführung der GDPR in der Europäischen Union verhängt wurden (4). Neben den finanziellen Folgen können Verstöße gegen die NIS2 auch einen erheblichen Imageschaden verursachen.    

NIS2-Einhaltung: Business Continuity neu denken 

Die Vorbereitung auf die NIS2-Konformität beginnt mit einer Überprüfung Ihrer aktuellen Pläne. Wenn Sie bereits einen Business Continuity Plan (BCP) haben, ist es an der Zeit, diesen zu überarbeiten. Wenn nicht, ist es wichtig, einen zu erstellen. De Bruin erklärt: "Viele Unternehmen gehen davon aus, dass ihre Risiken abgedeckt sind, weil sie einen BCP haben. Ohne die Integration der Cybersicherheit ist Ihre Risikoanalyse jedoch unvollständig. NIS2 erfordert eine umfassende Risikobewertung, in die die Cybersicherheit vollständig integriert ist." Wilfred Vos, Security Engineer bei Hunt & Hackett, fügt hinzu: "Ohne Cybersicherheit in Ihrer BCP werden Sie nicht darauf vorbereitet sein, sich schnell genug zu erholen, insbesondere unter NIS2."  

Beispiele  

Herkömmliche Business Continuity-Pläne konzentrieren sich oft auf die physische Wiederherstellung, z. B. den Umgang mit einem eingestürzten Gebäude, und gehen nicht auf die besonderen Herausforderungen ein, die Cyberangriffe mit sich bringen. Der WannaCry-Ransomware-Angriff von 2017 hat diese Lücke deutlich gemacht, als viele Unternehmen wie gelähmt dastanden, weil ihre Pläne die schnelle Ausbreitung von Malware oder die Infektion von Netzwerken der Betriebstechnologie (OT) nicht berücksichtigten, so dass sie auf eine Wiederherstellung nicht vorbereitet waren (5). In ähnlicher Weise führte der Cyberangriff auf die Irish Health Service Executive im Jahr 2021 zur vollständigen Abschaltung wichtiger Krankenhaussysteme. Die Ransomware der Hackergruppe "Wizard Spider" verschlüsselte sensible Daten und verursachte finanzielle Verluste von über 600 Millionen Euro (6).   

Diese Beispiele zeigen, warum NIS2 wichtig ist - zum Schutz Ihrer Geschäftskontinuität und Ihrer Daten. NIS2 erfordert eine starke Reaktion auf Vorfälle, Sicherheit in der Lieferkette und Verantwortlichkeit der Geschäftsleitung und verändert die Art und Weise, wie Sie mit Unterbrechungen umgehen. Mit NIS2 muss Ihr Plan nicht nur die physische Wiederherstellung abdecken, sondern sich auch mit Cyber-Bedrohungen befassen, um sicherzustellen, dass Sie sowohl auf digitale als auch auf physische Risiken vorbereitet sind.  

Wie man zu einem Cybersecurity Business Continuity Plan übergeht  

Führen Sie eine Business Impact Analyse durch 

De Bruin: "Bevor Sie Ihren Business Continuity Plan (BCP) erstellen, müssen Sie zunächst die Auswirkungen möglicher Unterbrechungen verstehen. Dies beginnt mit einer Business Impact Analysis (BIA), um beispielsweise zu verstehen, wie viel ein Tag Ausfallzeit oder Datenverlust das Unternehmen kostet. Dieser Prozess hilft dem Vorstand, Prioritäten zu setzen und Ressourcen effektiv zuzuweisen, um die Widerstandsfähigkeit zu gewährleisten. Sobald Sie klare Ziele für die Wiederherstellungszeit (RTO) und den Wiederherstellungspunkt (RPO) haben, kann Ihr BCP so strukturiert werden, dass diese Ziele erreicht werden."  

Schützen Sie, was am wichtigsten ist   

Nachdem Sie Ihre Risiken quantifiziert haben, identifizieren Sie Ihre kritischsten Werte und fragen Sie sich: "Wenn wir vollständig kompromittiert würden, was muss um jeden Preis geschützt bleiben?" De Bruin erklärt: "Wenn Sie z.B. die hochsensiblen und kritischen Daten für Ihren Betrieb ermitteln und die damit verbundenen Risiken verstehen, können Sie gezieltere Sicherheitsmaßnahmen ergreifen.  

 "Aber denken Sie daran", fügt Dominguez hinzu, "wenn Sie darauf zugreifen können, kann das auch der Angreifer. Deshalb sollte zum Beispiel Ihr Backup eine Einbahnstraße sein. Sobald Sie die Daten gesichert haben, sollten Sie keinen Zugriff mehr darauf haben, um sie zu ändern. Er fährt fort: "Kritische Daten und Systeme müssen sicher gesichert und vollständig von den operativen Systemen isoliert werden. Um ein Gleichgewicht zwischen Isolierung und Effizienz herzustellen, können Sie abgestufte Backup-Strategien verwenden - unveränderliche Offline-Backups für kritische Daten und Backups mit schnellerem Zugriff für weniger sensible Informationen. In der Vergangenheit erreichten Offline-Backups wie Bandspeicher dies, indem sie physisch und funktional getrennt waren. Heute bieten Cloud-Backups zwar mehr Komfort, erfordern aber zusätzliche Sicherheitsvorkehrungen, da sie immer verbunden sind."  

Nach links schieben und nach oben bewegen  

"Neben der Verlagerung der Sicherheit nach links treiben Vorschriften wie NIS2 einen entscheidenden Schritt nach oben auf die Vorstandsebene", sagt Filip Chyla, Security Consultant bei Xebia. Er fügt hinzu: "Die Vorstände müssen nicht nur einbezogen werden, weil sie die Geschäftsziele und Zeitpläne für die Wiederherstellung festlegen, sondern auch, weil sie die Verbindung zwischen den Abläufen - wie der Produktionslinie - und der Technologie, die sie antreibt, verstehen müssen. Ohne diese Verbindung wird Ihr BCP nicht in der Lage sein, moderne Cybersicherheitsbedrohungen anzugehen, insbesondere im Bereich der Betriebstechnologie (OT)."  

Ein risikobasierter Plan 

Die Entwicklung eines risikobasierten Plans ist ein gemeinschaftliches Unterfangen. Mit dem richtigen Team oder Partner können Sie herausfinden, wer es auf Ihr Unternehmen abgesehen haben könnte, warum, und welche Auswirkungen ein solcher Angriff haben könnte. So können Sie die Sicherheitsmaßnahmen auf die wahrscheinlichsten Bedrohungen abstimmen. Ein umfassender Plan sollte Folgendes beinhalten:  

• Bedrohungsprofilierung: Identifizieren Sie potenzielle Bedrohungsakteure und die Vermögenswerte, auf die sie abzielen könnten. Berücksichtigen Sie die Risiken, die von Drittanbietern, Lieferanten und Auftragnehmern mit Zugang zu sensiblen Daten ausgehen, und bewerten Sie deren Cybersicherheitspraktiken und die Vorgeschichte von Sicherheitsverletzungen.  

• Technologiebewertung: Bewerten Sie Ihre technologische Infrastruktur, um kritische Systeme und Schwachstellen zu identifizieren. Verknüpfen Sie diese Systeme mit Geschäftsprozessen und verstehen Sie die Auswirkungen eines Ausfalls auf den Betrieb.  

• Bewertung der Sicherheitsposition: Überprüfen Sie Ihre aktuellen Sicherheitsmaßnahmen und konzentrieren Sie sich dabei auf Vorbeugung, Erkennung und etwaige Lücken in der Compliance. Vergewissern Sie sich, dass die aktuellen Praktiken mit den NIS2-Anforderungen für das Cybersecurity-Risikomanagement, die Berichterstattung über Vorfälle und die Sicherheit der Lieferkette übereinstimmen.  

Sobald Sie diese Risiken kartiert haben, können Sie umsetzbare Pläne erstellen, einschließlich Strategien für die Reaktion auf Zwischenfälle (Incident Response, IR), um effektiv auf potenzielle Cyber-Bedrohungen zu reagieren. 

Handeln Sie jetzt, um Ihre Zukunft zu sichern  

Cyberangriffe wie Ransomware, Datenschutzverletzungen und Angriffe auf die Lieferkette nutzen immer wieder erfolgreich selbst die kleinsten Sicherheitslücken aus, um großen Schaden anzurichten. Da die Systeme der Betriebstechnologie (OT) heute mehr denn je mit den IT-Netzwerken verbunden sind, hat sich die Angriffsfläche nur vergrößert, so dass Unternehmen noch anfälliger für Bedrohungen sind, die häufig auf die Unterbrechung wichtiger Dienste abzielen. Leider vermitteln die meisten traditionellen BCPs den Unternehmen ein falsches Gefühl von Sicherheit, denn die Wiederherstellungsschritte bei einer Cyber-Bedrohung unterscheiden sich von den traditionellen Wiederherstellungsschritten. Da die Häufigkeit und Schwere von Cyberangriffen zunimmt, müssen Unternehmen jetzt handeln. Neue Vorschriften wie DORA, CRA und NIS2 bieten einen Fahrplan für die Stärkung der Cybersicherheit. NIS2 zum Beispiel betont die Notwendigkeit eines risikobasierten, auf Cybersicherheit basierenden Ansatzes für die Geschäftskontinuität. Indem Sie Ihre Cybersicherheitsmaßnahmen verstärken, erfüllen Sie nicht nur diese Vorschriften, sondern stärken auch Ihre Widerstandsfähigkeit gegenüber neuen Bedrohungen. Die Zeit für eine Neugestaltung der Geschäftskontinuität ist jetzt gekommen. Integrieren Sie die Cybersicherheit in jede Ebene Ihres Betriebs, um Ihr Unternehmen, Ihre Kunden und Ihre Zukunft zu schützen.  

 

_______________________________________________________________________________________ 

Quellen 

1: Xebia , https://articles.xebia.com/microsoft-services/the-future-of-it  

2: Business.gov.nl , https://business.gov.nl/amendment/nis2-directive-protects-network-information-systems/  

3: Der globale Schatzmeister, https://www.theglobaltreasurer.com/2024/12/17/98-of-europes-largest-companies-report-third-party-breaches-ahead-of-dora-deadline  

4: The Verge, https://www.theverge.com/2024/8/26/24228589/uber-eu-fine-gdpr-driver-data-transfer  

5: Wikipedia , https://en.wikipedia.org/wiki/WannaCry_ransomware_attack  

6: UpGuard , https://www.upguard.com/blog/biggest-data-breaches-europe