IT-Sicherheit: Cyber Resilience im Fokus durch NIS-2, DORA und mehr
Weltweit fallen IT-Systeme aus. Flughäfen sind ebenso betroffen wie Supermarktkassen oder Krankenhäuser. Über acht Millionen Microsoft-Geräte waren von der weltweiten Störung am 19.7.2024 betroffen. Wie steht es um unsere IT-Resilienz? Im Interview sprechen wir mit den IT-Sicherheitsexperten Markus Müller und Felicitas Kellermann über die Bedeutung von IT-Sicherheit und die neuen EU-Richtlinien NIS-2 (Netz- und Informationssystemsicherheit) sowie DORA (Digital Operational Resilience Act). Diese neuen Regulierungen zielen darauf ab, die Resilienz und Sicherheit digitaler Infrastrukturen in Europa zu stärken. Unsere Experten erläutern die wichtigsten Aspekte und geben Einblicke in die Umsetzung und die damit verbundenen Herausforderungen für Unternehmen.
Was sind die Hauptziele der NIS-2-Richtlinie und warum ist sie notwendig?
Müller: Die NIS-2-Richtlinie verfolgt das Ziel, die Sicherheit und Resilienz kritischer Infrastrukturen in der EU zu verbessern. Dies geschieht durch die Einführung strengerer Sicherheitsanforderungen und Meldepflichten für Betreiber wesentlicher Dienste und für digitale Dienstleister. Angesichts der zunehmenden Bedrohung durch Cyberangriffe und die steigende Abhängigkeit von digitalen Infrastrukturen ist eine einheitliche und robuste Sicherheitsstrategie erforderlich. NIS-2 stellt sicher, dass Unternehmen präventive Maßnahmen ergreifen und im Falle eines Vorfalls schnell und effektiv reagieren können. Zusätzlich zu der intrinsischen Motivation, gegen Cyberangriffe gut aufgestellt zu sein, drohen aber auch beträchtliche Bußgelder bei Nichteinhaltung. Betroffene Unternehmen müssen, je nach Kategorie, bei Ordnungswidrigkeiten mit Bußgeldern von bis zu 10 Mio. € oder von bis zu 2 % des weltweiten Umsatzes des Vorjahres rechnen.
Welche Unternehmen sind von der NIS-2-Richtlinie betroffen und wie können sie sich darauf vorbereiten?
Kellermann: NIS-2 betrifft eine breite Palette von Sektoren, darunter Energie, Transport, Gesundheit, Wasserwirtschaft, Banken und digitale Infrastrukturen. Unternehmen in diesen Bereichen müssen umfassende Sicherheitsmaßnahmen implementieren, Risikoanalysen durchführen und Notfallpläne erstellen. Im ersten Schritt empfehlen wir daher, eine Betroffenheitsanalyse zu erstellen. Eine wesentliche Vorbereitung besteht darin, sich mit den spezifischen Anforderungen der Richtlinie vertraut zu machen und interne Sicherheitsprozesse anzupassen. Generell kann man sagen, dass betroffene Unternehmen mindestens ein Informationssicherheitsmanagementsystem (ISMS) aufbauen müssen. Unternehmen, die beispielsweise ISO-27001-zertifiziert sind, haben schon eine gute Grundlage, um der NIS-2 gerecht zu werden, und müssen nur noch an bestimmten Punkten nachsteuern.
Was ist der Digital Operational Resilience Act (DORA) und welche Auswirkungen hat er auf Finanzunternehmen?
Müller: DORA ist eine neue EU-Verordnung, die speziell auf die Finanzbranche abzielt, um deren digitale Resilienz zu stärken. Als sogenanntes lex specialis, also spezielles Gesetz, hat DORA Vorrang vor NIS-2 als allgemeinem Gesetz. Die Verordnung verpflichtet betroffene Unternehmen, umfassende Sicherheitsmaßnahmen zu implementieren, um ihre Systeme und Daten vor Cyberbedrohungen zu schützen. Dies schließt regelmäßige Tests, Risikoanalysen und die Sicherstellung der Kontinuität des Geschäftsbetriebs im Falle eines Cyberangriffs ein. Dabei ist zu betonen, dass nicht nur Finanzunternehmen betroffen sind, sondern z.B. auch Versicherungsvermittler oder Ratingagenturen. Wir empfehlen den betroffenen Unternehmen, zuerst eine Gap-Analyse durchzuführen, um zu sehen, wo noch Handlungsbedarf besteht. Auf Grundlage der Gap-Analyse stellen wir dann gemeinsam mit den Unternehmen einen Projektplan auf und unterstützen die einzelnen Teilprojekte mit fachlicher Expertise. Wir bieten auch an, die komplette Projektleitung zu übernehmen, wobei wir gerne anhand von agilen Projektmanagementmethoden vorgehen.
Welche Zertifizierungen gibt es in dem Bereich der IT-Sicherheit?
Kellermann: Da gibt es z.B. die C5-Zertifizierung Sie wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und bietet einen Rahmen zur Zertifizierung von Unternehmen, die Cloud-Software anbieten. Der C5:2020-Standard des BSI setzt die allgemeinen Anforderungen des EU Cybersecurity Acts (EUCA) um, ist aufgrund der vielen Anforderungen aus 18 Kategorien sehr komplex und soll ein bestimmtes Niveau an Informationssicherheit für den Betrieb von Cloud-Diensten sicherstellen. Diese Zertifizierung ist durch das 2024 in Kraft getretene Digital-Gesetz (kurz: DigiG) des Bundesministeriums für Gesundheit (BMG) in den Fokus gerückt. Demnach dürfen cloudbasierte Dienste im Gesundheitssektor nur noch mit Vorlage eines C5-Prüfberichts betrieben werden. Möglich ist eine Zertifizierung nach C5 nicht nur für Rechenzenten, die eine Cloud anbieten, sondern eben auch für alle anderen Unternehmen, die im Rahmen ihrer Produkte oder Dienstleistungen Cloud-Software für ihre Kunden bereitstellen – etwa das Gesundheitswesen. Einrichtungen in diesem Bereich dürfen nur dann Daten in die Cloud legen, wenn sie eine C5-Zertifizierung vorweisen können. Eine C5-Zertifizierung dürfen übrigens nur Wirtschaftsprüfungsgesellschaften ausstellen.
Welche zukünftigen Entwicklungen erwarten Sie im Bereich der IT-Sicherheit und IT-Regulierungen?
Müller: Die Landschaft der IT-Sicherheit wird sich weiterhin dynamisch entwickeln, da sich Cyberbedrohungen ständig weiterentwickeln und immer raffinierter werden. Wir erwarten, dass weitere Regulierungen und Richtlinien eingeführt werden, um den Schutz der Unternehmen, insbesondere auch der kritischen Infrastrukturen, zu verbessern und die Resilienz gegenüber Cyberangriffen zu erhöhen. Unternehmen sollten sich darauf vorbereiten, indem sie ihre Sicherheitsstrategien regelmäßig überprüfen und anpassen.
Wie kann die dhpg beim Thema IT-Sicherheit unterstützen?
Kellermann: Die Digitalisierung der Unternehmen schreitet weiter voran und ebenso das Bedürfnis nach IT-Sicherheit, denn die Bedrohung durch Cyberrisiken aller Art steigt deutlich an. Um dem gerecht zu werden, haben wir uns entschieden, unsere umfassende Expertise in dem Bereich weiter auszubauen. Im Bereich Informationssicherheit begleiten wir die Einrichtung und kontinuierliche Prüfung sowie Verbesserung von Informationssicherheitsmanagementsystemen (ISMS). Außerdem beraten wir auch in der konkreten Umsetzung von gesetzlichen Anforderungen wie der NIS-2-Richtlinie oder der DORA. Hier bieten wir im ersten Schritt an, eine Betroffenheitsanalyse durchzuführen. Sollte das Unternehmen betroffen sein, würden wir eine Gap-Analyse durchführen, die in Handlungsempfehlungen und einen Projektplan mündet. Wenn gewünscht, begleiten wir Sie als zuverlässiger Partner auch bei der Konzeption und Realisierung Ihres Projekts, bei der fachlichen Expertise und der Leitung des Projekts. Im Bereich IT-Security & Cybersecurity bieten wir mit der Certified Security Operations Center GmbH, einem Joint Venture der dhpg IT-Services GmbH und der der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA, ein umfangreiches Angebot an Sicherheitslösungen. Mit langjähriger Erfahrung und vor allem zahlreichen Projekten mit mittelständischen Unternehmen unterstützen wir nicht nur mit Know-how, sondern auch mit smarten Lösungen, die die Wirtschaftlichkeit der Umsetzung nicht aus den Augen verlieren.