Wirksamer Schutz für Cyberbedrohungen in Europa: NIS2 und die Rolle von Zero Trust

War ich nicht erst gestern auf der Abschlussfeier meiner Kinder zum Ende des Schuljahrs? Nun ist die Fußball-EM schon vorbei und die Olympischen Spiele sind in vollem Gange. Dieser Sommer vergeht wie im Flug. Und damit auch die Zeit, die Unternehmen zur Vorbereitung auf die Richtlinie zur Netzwerk- und Informationssicherheit 2 (NIS2) bleibt, deren wichtigste Frist im Oktober 2024 endet.

Wer meinen Content-Stream in den letzten Monaten verfolgt hat, wird vielleicht überrascht sein, dass ich dem neuen Gesetz zunächst skeptisch gegenüberstand – vor allem in Bezug auf seine eigentlichen Hintergründe und seine Wirksamkeit. Aber je eingehender ich mich mit NIS2 befasst habe, desto mehr bin ich davon überzeugt, dass es einen großen Fortschritt für die Cybersicherheit in Europa bedeutet

Ich bin davon überzeugt, dass die NIS2-Richtlinie keineswegs eine bloße Compliance-Übung einzelner Unternehmen ist, sondern vielmehr einen bedeutenden Fortschritt bei der europaweiten Immunisierung gegen aktuelle und künftige Cyber-Bedrohungen darstellt. Mit einem erweiterten Geltungsbereich, strengeren Anforderungen an die Cybersicherheit, der Pflicht zur Meldung von Cybervorfällen und möglichen (persönlichen) Geldbußen schärft sie das Cyberbewusstsein von Vorständen und Branchen, die sich in der Vergangenheit nicht so sehr um Sicherheit oder Governance gekümmert haben – und veranlasst sie dazu, ihren Cybersicherheitsstatus deutlich zu verbessern.

Das steht zumindest zu hoffen. Voraussetzung dafür ist, dass sich die Unternehmen die Zeit nehmen, sich gründlich mit den Inhalten und Anforderungen der Richtlinie zu befassen.

Als wir Anfang des Jahres mit Führungskräften im IT-Bereich über ihre Maßnahmen zur Umsetzung der NIS2 sprachen, gaben sich 80 % zuversichtlich, dass ihr Unternehmen bis zur Frist im Oktober die Vorschriften erfüllen würde. Allerdings glaubten nur 53 %, dass ihre Teams den Umfang der damit verbundenen Verpflichtungen vollständig verstanden hätten. Diese Zahl sank auf 49 %, als den IT-Verantwortlichen die gleiche Frage zu ihrer Unternehmensführung gestellt wurde. Indes war den Befragten durchaus bewusst, dass NIS2 eine grundlegende Transformation ihrer aktuellen Sicherheitsstrategien erfordert und dass viele zur Umsetzung des Ziels mehr Unterstützung brauchen, als sie bislang erhalten haben.

Kein einzelner Lösungs- oder Softwareanbieter kann die Konformität mit NIS2 garantieren. Mit Einhaltung der Zero-Trust-Grundsätze (die Unternehmen laut Richtlinie als grundlegende Cybersicherheitsmaßnahme übernehmen sollten) haben Unternehmen bereits eine Reihe der NIS2-Kriterien erfüllt. Eine Zero-Trust-Architektur verkleinert die Angriffsfläche radikal und eliminiert eine breite Palette technischer Variablen, die die Umsetzung der Richtlinie behindern können.

Und hier kommt Zscaler ins Spiel. In unserem aktuellen Whitepaper zur Erfüllung der NIS2-Anforderungen zeigen wir, wie eine Zero-Trust-Architektur – sowie spezifische Funktionen und Tools von Zscaler – Unternehmen dabei unterstützen können, die Herausforderungen zu meistern, die die Einhaltung der NIS2 für sie mit sich bringt. Da die NIS2-Umsetzung in den einzelnen Mitgliedsstaaten leicht unterschiedlich ausfallen kann, konzentrieren wir uns auf die übergeordneten Anforderungen und Grundsätze der Richtlinie selbst und gliedern die Leitlinien in vier Kernbereiche:

·  Maßnahmen zum Risikomanagement im Bereich Cybersicherheit

·  Governance-Maßnahmen zur Cybersicherheit

·  Verpflichtungen zur Meldung von Vorfällen

·  Überwachung und Durchsetzung

Für diejenigen unter Ihnen, die zusätzliche Unterstützung benötigen, um ihre NIS2-Bemühungen bis Oktober abzuschließen, dürfte dies eine nützliche Lektüre sein.

Wenn Sie diesen Blogbeitrag jedoch nur überflogen haben und zuversichtlich sind, dass Sie die Compliance erreichen können, würde ich Ihnen dennoch empfehlen, sich unser Whitepaper anzusehen und herauszufinden, wie Sie andere in Ihrer Branche oder Ihrem Ökosystem unterstützen können. Diese Art von Regulierungsmaßnahmen verkörpern tatsächlich das alte Sprichwort, dass die Flut alle Boote hebt. Oder – anders ausgedrückt: Die eigene Wohnung feuerfest zu machen, nützt nichts, wenn der ganze Häuserblock in Flammen aufgeht.

Europa kann seine Cyberabwehr nur dann wirklich stärken, wenn Unternehmen aller Größen und Branchen systematisch daran arbeiten, ihre Sicherheitsmechanismen zu verbessern, ihre Anfälligkeit für Cyberrisiken zu verringern und ihre Compliance-Aktivitäten zu optimieren.