Was NIS2 bewirken soll, lässt sich vereinfacht anhand des NIST Frameworks zeigen (Schaubild). Aus unserer Sicht beschreibt NIST übersichtlich, was der BSI-Grundschutzkatalog in Deutschland oder andere Frameworks ebenfalls aussagen. Was leistet Cyber Security und bis wohin, und wo beginnt Cyber Resilience – und wer ist zuständig?
Cyber Resilience ist mehr als Cyber Security
Bisher vom Gesetzgeber weitgehend unbeachtet, rückt NIS2 das Thema Cyber Resilience nun per EU-Richtlinie für fast alle Unternehmen verpflichtend ins Rampenlicht – und macht Verantwortliche der Geschäftsführung sogar persönlich haftbar für ihre Umsetzung. Und dies sogar in recht kurzer Zeit.
Für IT-Entscheider standen bisher alle Herausforderungen im Umfeld von Cyber Security im Fokus. Heute sind Cyber Security-Ansätze, die darauf abzielen, Angriffe von vornherein zu verhindern, weithin verstanden und budgetiert, so dass sogar ein eigenes C-Level auf organisatorischer Ebene eingerichtet wurde: der CSO, der sich um dieses Thema mit einem eigenen Team kümmert.
Cyber Resilience ist dagegen noch stark unterfinanziert – war es doch bislang kein so brandheißes Thema. Bis jetzt, dank NIS2. Da es in Unternehmen bisher keine „Cyber Resiliency-Stelle“ gibt, wird dieser Part aktuell von ganz anderen Personen im Unternehmen angegangen – meist von Akteuren der allgemeinen IT-Infrastruktur.
Die Fähigkeit, möglichst schnell und unbeschadet von einem Angriff zu „recovern“ (Cyber Resiliency), ist wohl eine Lehre aus der kürzeren Vergangenheit und Gegenwart, in der Cyberangreifer messbar weitaus früher bzw. länger in Systemen unterwegs sind, bevor sie einen Angriff starten. Durch Ransomware im Backup-Bereich können sie die Möglichkeiten zur Disaster Recovery massiv aushebeln – wenn ein Unternehmen darauf nicht vorbereitet ist.
Die Frage ist, und diese stellt nun NIS2 auf Dauer: Sind Sie auf den Notfall vorbereitet, dass Ihre Daten möglichst lückenlos und schnell wieder in Betrieb sind und Sie weiterarbeiten können?
Aus unserer Vertriebspraxis wissen wir: Jedes Unternehmen hat ein mehr oder weniger aktuelles Backup-Konzept oder Lösungsdesign. Doch die Ressourcenverteilung entschied bisher darüber, sich diese unter Gesichtspunkten der Cyber Resilience und Optimierung noch einmal vorzunehmen.
Dies zu tun, lohnt sich nun mit NIS2 in jedem Falle, da die neue EU-Richtlinie Cyber Resilience in ein Gesetz gießt: Wer ist betroffen und wie löst man die Anforderungen in der verbleibenden Zeit bis zum 17. Oktober 2024 nun möglichst schnell und umfassend?
NIS2 - Eine Einordnung
Unter NIS2 fallen alle Unternehmen mit über 50 Mitarbeitern oder mehr als 10 Mio. Jahresumsatz, sowie die der kritischen Sektoren, wobei „Wesentliche“ (Essentials) und “Wichtige“ (Important) unterschieden werden.
Es zählt also fast für alle Unternehmen, mit besonderem Augenmerk auf die KRITIS bzw. Gesundheitswesen, aber auch Energie, Verkehr und digitale Infrastruktur (also auch DORA-betroffene Unternehmen).
Was ändert sich mit NIS2?
Eine Besonderheit mit in Kraft treten der Richtlinie ab 17. Oktober 2024 ist die Verantwortung, die mit der direkten Haftung für Geschäftsführende und Vorstände verbunden sein wird. Hohe Strafen bringen diese in Zugzwang, tatsächlich und messbar mehr für die Umsetzung von Cyber Resilience zu tun.
Vorteile von NIS2 für sich nutzen
Ziel von NIS2 ist das Thema Cyber Resilience zu stärken und sich besser vor Angriffen zu schützen.
NIS2 bringt Unternehmen jedoch auch Vorteile, je nachdem, wie das Thema angegangen wird. Fakt ist, dass man NIS2 jetzt umsetzen muss – irgendwie. Man kann es aber auch so sehen – und das ist der entscheidende Vorteil im Thema NIS2 – dass diejenigen Unternehmen, die NIS2 weitgehendst umgesetzt haben, einen deutlichen Wettbewerbsvorteil für sich einnehmen werden.
NIS2 bietet Anlass, nach vorn zu denken und Vorteile daraus zu ziehen – über den Vorteil des Schutzes vor Angriffen hinaus:
- Eine Resilienzsteigerung hilft uns nicht nur bei Cyberangriffen, sondern macht uns allgemein schlagfertiger, auf Ereignisse zu reagieren.
- Eine NIS2-Compliance macht Unternehmen in vielen Branchen gegenüber dem Wettbewerb, der das noch nicht umgesetzt hat, interessanter.
- Eine Risikominimierung, auch in Puncto Cyber-Versicherung, wird möglich.
- Durch KI-basierte Ansätze ergeben sich starke, neue Möglichkeiten, unterstützt zu werden.
NIS2-Compliance muss allerdings zunächst von Unternehmen selbst sichtbar gemacht werden, da es dazu keine ISO-Zertifizierung gibt.
NIS2 aus Data Protection-Sicht: Das gute, alte Backup
Die fünf Themenfelder, die wir mit unseren Lösungen und Dienstleistungen anbieten, sind in den NIS2-Richtlinien beschrieben. Das Lösungsdesign von VIKING Backup Guardian orientiert sich genau an diesen Themen wie Zero Trust, modern Air Gap, DR-Tests – die VIKING Backup Guardian Features und Services sind in dieser Lösung bereits „NIS2-ready“ umgesetzt.
Expertise einholen lohnt sich: Worum geht es tatsächlich bei NIS2?
Bei NIS2 geht es am Ende darum, die Umsetzung der Richtlinie zu beschreiben. Das ist bereits die halbe Miete. Welche Lösung Sie einsetzen – sei es Rubrik oder Cohesity, oder eine andere Lösung – ist nicht das Thema, sondern ob Sie beispielsweise regelmäßige Restore-Tests nachweisen können – was theoretisch auch mit Excel möglich ist. Große Unternehmen werden Verfahrensanweisungen an ihre Abteilungen herausgeben, damit Konzerninterne Standards entwickelt werden, z.B. eine Air Gap-Kopie aller Daten – und die IT-Abteilung muss beschreiben, wie sie das erreicht.
Hier können Unternehmen sich mit modernen Lösungen helfen, denn man sollte sich bewusst sein: NIS2 wird nicht mit einer Maßnahmenbündel erledigt sein, sondern ist künftig ein immer wiederkehrendes To-Do mit einem Lifecycle. Eine moderne, clevere Lösung sollte Unternehmen und IT-Teams enorme Ressourcenersparnisse bieten. Wir haben schon lange vor NIS2 eine full-managed Service-Lösung entwickelt, die technologisch auf dem innovativsten Stand am Markt ist, da sie bereits bei der Detection ansetzt. Der Vorteil ist, dass ab Detection alle Schritte automatisiert und KI-getrieben ablaufen:
- Erkennung von Malware in Backupdaten
- Bereinigung von Malware
- Regelmäßige DR-Tests
- Wöchentliche Recovery Assurance
- Verisonierung, Berichte und Dokumentation inbegriffen.
Viele Aufgaben, die IT-Teams unserer Erfahrung nach in ihrem daily business nicht schaffen, sind damit bereits erledigt – on the go. Abgerundet durch eine schnelle Einsatzbarkeit und unseren dahinter liegenden Service können Unternehmen gut mehr als ein Drittel ihrer To-Dos in der Umsetzung von NIS2 einfach – abhaken.
