NIS-2, KRITIS, DORA, TIBER und TISAX: Cyber-Resilienz steigern und Compliance Anforderungen erfüllen

NIS-2 steht vor der Tür und will damit wichtige Einrichtungen vor Schäden durch Cyberangriffe schützen und das Funktionieren des europäischen Binnenmarktes verbessern. Doch NIS-2 ist nicht die einzige Compliance-Regelung, die Verwaltung und Wirtschaft zu befolgen hat. Zahlreiche andere Compliance Vorschriften verfolgen durch verbindlich vorgeschriebene Maßnahmen und Regularien das Ziel einer Steigerung der Resilienz gegenüber Cyberbedrohungen.

NIS-2 durch die Hintertür: Killer-Kriterium Lieferketten

Noch immer treibt viele Unternehmen die Frage um, ob sie von der neuen NIS-2 Direktive betroffen sind. Auch wenn die Eigeneinschätzung zu dem Schluss kommt, dass man die Anforderungskriterien nicht erfüllt, weil man nicht zu den „kritischen Sektoren“ gehört und der Betrieb in Punkto Mitarbeiterzahl und Umsatz zu klein ist, so gibt es ein wesentliches, und oftmals unbedachtes, Killer-Kriterium: die Lieferketten. Alle von NIS-2 eindeutig betroffenen Unternehmen müssen dafür Sorge tragen, dass auch Zulieferer und Dienstleister innerhalb kritischer Lieferketten strengere Sicherheitsmaßnahmen einführen, um die Sicherheit von Ende zu Ende zu gewährleisten. Jedes Unternehmen ist Teil einer Lieferkette und wird daher als Zulieferer oder Dienstleister von seinen Kunden auf vorhandene Cybersicherheitsmaßnahmen geprüft werden.

Welche Unternehmen sind von welchen Compliance Regularien betroffen?

Nicht nur NIS-2 fordert eine Erhöhung des Schutzniveaus gegen Cyberbedrohungen. Es existiert eine ganze Reihe an Compliance Vorschriften für Unternehmen der unterschiedlichsten Branchen. Nachfolgend werden die fünf wichtigsten Direktiven und ihre Anforderungen näher erläutert:

1. KRITIS: KRITIS bezeichnet kritische Infrastrukturen, d.h. Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Konkret geht es um Anlagen, Systeme oder Teile davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind. Bei einer Störung oder Ausfall dieser kritischen Infrastrukturen hätte dies erhebliche Auswirkungen und dramatische Folgen, da ihre Funktionen nicht aufrechterhalten und anderweitig kompensiert werden könnten.
2. NIS-2: NIS-2 (Netzwerk- und Informationssicherheit) ist eine Gesetzesinitiative der EU zur Regelung und Verbesserung der Cyber- und Informationssicherheit von Unternehmen und Institutionen, die als kritisch für die Gesellschaft eingestuft werden. Damit soll die Widerstandsfähigkeit gegenüber Cyberangriffen im öffentlichen und privaten Sektor verstärkt und die Reaktionsfähigkeit auf Sicherheitsvorfälle verbessert werden. NIS-2 verlangt, dass alle relevanten Sicherheitsmaßnahmen nach dem Stand der Technik umgesetzt wurden. Darunter sind alle Maßnahmen zusammengefasst wie Cyberrisikomanagement, Sicherheit in der Lieferkette, Business Continuity Management (BCM), Sicherheitsvalidierung und Penetrationstests oder die Reaktion auf Vorfälle. Mit den Beratungspaketen indevis NIS-2 Consulting analysieren wir Ihre individuellen Sicherheits­anforderungen, prüfen Ihre bestehenden Umgebungen und implementieren bei Bedarf effektive Schutzmechanismen zur Erfüllung der gesetzlichen Mindestanforderungen an Cybersicherheit.
3. DORA: Das Gesetz zur digitalen operativen Resilienz (DORA) legt eine Reihe obligatorischer Praktiken für das Risikomanagement und die Cyber-Resilienz von Informations- und Kommunikationstechnologien (IKT) für den Finanzsektor fest. DORA ist eine Verordnung der Europäischen Union und wurde geschaffen, um die Stabilität des EU-Finanzsystems gegen digitale Bedrohungen zu gewährleisten. Die Verordnung trat Anfang 2023 in Kraft und wird ab Anfang 2025 in allen EU-Mitgliedstaaten verbindlich.
4. TIBER: Im Rahmen von DORA sind bestimmte Unternehmen verpflichtet, fortschrittliche Tests basierend auf bedrohungsgesteuerten Penetrationstests (TLPT=Threat-Led Penetration Testing) durchzuführen. Dies erfordert die Emulation von Angriffstaktiken, -techniken und -verfahren in Produktivsystemen, um die Resilienz gegen reale Cyberbedrohungen zu validieren. Die technischen Regulierungsstandards für TLPT werden gemäß dem TIBER-EU-Rahmen definiert (TIBER=Threat Intelligence-based Ethical Red Teaming), mit dem Ziel, die Cyber-Resilienz des Finanzsektors zu verbessern, indem es nicht nur ermöglicht wird, Cyberangriffe zu verhindern, sondern auch sich von ihnen zu erholen.
5. TISAX: TISAX (Trusted Information Security Assessment Exchange) ist ein für die Automobilindustrie entwickelter ISMS-Standard. Der Prüf- und Austauschmechanismus normierter Prüfergebnisse erfolgt nach dem branchenspezifischen Standard VDA-ISA und wurde hauptsächlich für die Risikobewertung von Lieferanten geschaffen. Darüber hinaus betrifft der Standard ganz generell die sichere Verarbeitung von Informationen von Geschäftspartnern, den Schutz von Prototypen und den Datenschutz gemäß DSGVO für mögliche Geschäfte zwischen Autoherstellern und ihren Dienstleistern oder Lieferanten.

Compliance Anforderung Risikobewertung

Allen Compliance Vorschriften gemein ist die Anforderung nach einer kontinuierlichen Risikobewertung. Unternehmen können das sog. IKT-Risiko (IKT=Informations- und Kommunikationstechnologien) gemäß ihrer spezifischen Compliance Anforderungen präzise mit automatisierten Tests realer Cyberangriffe in ihren Produktivsystemen bewerten. Mit einer Plattform für Automated Security Validation lassen sich die IKT-Werkzeuge, -Systeme und -Prozesse in großem Maßstab Stresstests unterziehen, indem diese die Taktiken von Angreifern emuliert und die Sicherheitssysteme kontinuierlich herausfordert. Mit automatisierten Tests in der Produktivumgebung werden Sicherheitslücken über die gesamte Angriffsoberfläche hinweg identifiziert und nach Kritikalität priorisiert, die ein Risiko für kritische Geschäftsbereiche darstellen.

Fazit: Das Rad nicht selbst neu erfinden

In Zeiten knapper Ressourcen und Fachkräftemangel ist es hilfreich, sich externe Unterstützung ins Haus zu holen. Sowohl bei der Analyse der verschiedenen Compliance Anforderung als auch bei der Umsetzung der geforderten Maßnahmen liefert ein vertrauensvoller Partner wertvolle Hilfe. Der Aufbau internen Know-Hows und die Bereitstellung geschulter Fachleute ist aufwendig und kostenintensiv. Die Expertise eines bewährten Dienstleisters wie indevis steht kurzfristig und projektbezogen zur Verfügung. Gerne packen wir Ihre Compliance-Herausforderung in Sachen Cybersecurity an – gemeinsam!