Aus der großen Unsicherheit wird offensichtlich das große Warten: Eigentlich hätte schon im Oktober 2024 die Umsetzung der NIS2 in nationales Recht erfolgen sollen. Wie schon recht früh abzusehen war, verzögert sich jedoch der Gesetzgebungsprozess. Dies hat allerdings nicht unbedingt mit der Ampelkoalition und ihrem Aus zu tun. Vielmehr handelt es sich um ein europaweites Phänomen: So hat erst kürzlich die EU deshalb Vertragsverletzungsverfahren gegen sage und schreibe 23 Länder eröffnet.
Im Dezember haben sich zumindest SPD und Grüne bei Plänen zur Stärkung der Cyberresilienz geeinigt. So soll dem aktuellen Entwurf zufolge das Bundesamt für Sicherheit in der Informationstechnik (BSI) unabhängiger werden und zukünftig auch kritische Komponenten untersagen können. Ob der Entwurf vor den Neuwahlen verabschiedet wird, ist allerdings fraglich, da hierzu die Unterstützung der FDP und/oder der Union nötig ist.
Tausende Unternehmen betroffen
Aber ganz unabhängig von den Details, die noch diskutiert werden, bleibt die Zielsetzung der NIS2 bestehen: die Stärkung der Cyberresilienz innerhalb der EU. Sicherheitsverantwortliche sollten jetzt die zusätzliche Zeit nutzen, ihre Widerstandsfähigkeit zu stärken – ganz unabhängig davon, ob sie unter die NIS2 fallen oder nicht. Dieser Punkt ist nach wie vor wohl einer der größten Unsicherheitsfaktoren. Insgesamt sind Expertenschätzungen zufolge 30.000 bis 40.000 Unternehmen in Deutschland und weitere 3.000 bis 4.000 Unternehmen in Österreich von der NIS2 betroffen. Ist ein Unternehmen in einem der 18 kritischen Sektoren tätig und verfügt über mindestens 50 Mitarbeitende und einen Jahresumsatz von 10 Millionen Euro (oder einer Jahresbilanzsumme von 5 Millionen Euro) gilt die NIS2. Jedoch kann es hierbei noch zu Ausnahmen kommen, weshalb es im Zweifelsfall ratsam ist, sich an seinen Verband bzw. das BSI zu wenden.
Datensicherheit im Fokus der NIS2
Wie schon bei der DSGVO gibt es auch bei der NIS2 kein Tool, das man nur installieren muss und schon werden alle Anforderungen adressiert. Es kommt vielmehr auf die Orchestrierung der bisher eingesetzten Tools sowie die intelligente Ergänzung bzw. Ersetzung durch neue Lösungen an. Dabei stellt die Datensicherheit einen zentralen Punkt dar. Denn nahezu alle Cyberangriffe haben ein Ziel: die wertvollen Daten des Unternehmens. Deshalb sollte man die NIS2 zum Anlass nehmen, die Daten ins Zentrum der Sicherheitsstrategie zu stellen statt sich wie bisher vor allem auf das Netzwerk und die Endpunkte zu konzentrieren.
Die NIS2 fordert von Unternehmen angemessene technische und organisatorische Maßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten. Dies umfasst insbesondere:
- Risikomanagement: Unternehmen müssen eine umfassende Risikoanalyse durchführen, um potenzielle Bedrohungen für ihre Daten zu identifizieren und geeignete Schutzmaßnahmen zu definieren.
- Zugriffskontrolle: Es müssen strenge Zugriffskontrollmechanismen implementiert werden, um sicherzustellen, dass nur autorisierte Personen Zugriff auf sensitive Daten haben. Dies beinhaltet beispielsweise die Verwendung von starken Passwörtern, Multi-Faktor-Authentifizierung und ein effektives Berechtigungsmanagement.
- Incident Response: Es müssen Prozesse für die Erkennung, Reaktion und Wiederherstellung nach Sicherheitsvorfällen implementiert werden. Dies beinhaltet auch die Meldung von Sicherheitsvorfällen an die zuständigen Behörden.
Entsprechend sollten CISOs zunächst ihre Datenrisiken ermitteln und verstehen. Durch ein spezielles Risk Assessment können Sicherheitsverantwortliche ihr konkretes Risiko ermitteln und Schwachstellen identifizieren. Oftmals wissen die Unternehmen nicht, welche Daten sie überhaupt besitzen, wo sie gespeichert sind und wer Zugriff auf sie hat. Aber nur wenn man über diese grundlegenden Informationen verfügt, kann man sein Risiko bewerten und gezielte Maßnahmen ergreifen. Der Zeitaufwand einer Datenrisikobewertung ist dabei mit rund zwei bis vier Stunden überschaubar – und liefert im Rahmen eines ausführlichen Reports sofort umsetzbare Empfehlungen. Hierzu zählt insbesondere die Reduzierung von Zugriffsrechten. So zeigt beispielsweise der aktuelle SaaS-Datensicherheits-Report, dass einer von 10 Datensätzen in der Cloud für alle Mitarbeitende zugänglich ist. Dies schafft einen enormen Blast Radius, also den potenziellen Schaden, den ein kompromittiertes Konto verursachen kann.
Auch wenn sich die Umsetzung der NIS2 noch verzögert: CISOs sollten sich lieber früher als später mit ihrer Cyberresilienz befassen und dabei insbesondere ihre wertvollsten Assets – die Daten – im Blick haben. Dabei spielt es letztlich auch keine Rolle, ob das Unternehmen unter die NIS2 fällt oder (gerade) nicht: Cybersecurity dient weit mehr als der bloßen Einhaltung von Compliance-Vorgaben. Gerade angesichts der aktuellen Bedrohungslage ist sie der Garant für den fortlaufenden Betrieb und somit den Geschäftserfolg.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.
