Illustration Absmeier foto freepik

Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten.

Gesetzliche Regularien sind ein wichtiger Bestandteil der Aufgabenpalette einer IT-Sicherheitsabteilung. Das gilt ganz besonders für Organisationen mit Sitz in der EU und Unternehmen, die mit in der EU ansässigen Firmen geschäftlich zusammenarbeiten. Aktuell haben sie das gleiche Datum vor Augen. Am 18. Oktober 2024 wird die EU-Richtlinie 2022/2555 »über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union« (abgekürzt NIS2-Richtlinie) wirksam. Mit diesem Stichtag läuft die Vorbereitungsfrist ab, und es drohen bei Nichteinhaltung empfindliche Strafen.

Die NIS2-Vorgeschichte

Im Jahr 2016 hatte die Europäische Kommission die erste EU-weite Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS) verabschiedet. Dies war zwar ein Schritt nach vorn, um die Resilienz- und Reaktionskapazitäten von Unternehmen und Institutionen in der EU zu verbessern. Die rechtliche Adaption in den EU-Mitgliedstaaten erwies sich jedoch als schwierig.

Sowohl die Umsetzung in nationales Recht als auch die Durchsetzung der Vorgaben erfolgten nur in fragmentierter Form. Zur Beseitigung dieser Hindernisse leitete die Kommission die Entwicklung der NIS2-Richtlinie ein. Diese Direktive trat Anfang 2023 in Kraft und muss bis Mitte Oktober 2024 von allen Mitgliedstaaten in nationales Recht überführt werden.

Die Bewertungen und Meinungen zur NIS2-Richtlinie gehen auseinander. Konsens unter den Experten ist indes, dass Sicherheitsverantwortliche die vorgeschriebenen Standards genau prüfen müssen. Das Management ist aufgefordert, sich mit den regulatorischen Details vertraut zu machen und festzulegen, wie sie innerhalb ihrer Organisation am besten angewendet werden können.

Mobile Sicherheit

Cyberangriffe in der EU und in fast allen Regionen der Welt haben stark zugenommen — mit immer höheren Schäden für Unternehmen. Es gibt also gute Gründe für die Entwicklung und Einführung von Standards wie NIS2. Die Richtlinie soll »Maßnahmen definieren, die darauf abzielen, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union zu erreichen, um das Funktionieren des europäischen Binnenmarkts zu verbessern«.

Dafür weitet die EU-Kommission den Zuständigkeitsbereich von NIS2 auf alle digitalen Arbeitsabläufe privater und öffentlicher Einrichtungen aus, die als wesentlich oder wichtig für die kritische Infrastruktur eingestuft wurden. Die in Artikel 21 konkret benannten Risikomanagementmaßnahmen für Cybersicherheit gelten für alle digitalen Medien, einschließlich mobilen Endgeräten und mobilen Apps.

Auch wenn die EU-Kommission mobile Endgeräte nur in der Begründung der Richtlinie (Absatz 33) explizit erwähnt, lohnt sich ein genauerer Blick. Mobilgeräte und mobile Apps sind im Kontext von NIS2 deshalb so wichtig, weil genau hier die größte »Verwundbarkeitslücke« besteht, also die Lücke zwischen einer technisch möglichen Bedrohung und der eigenen Abwehrfähigkeit. Während auf der einen Seite technologische Fortschritte tägliche Realität sind, mangelt es auf der anderen Seite am passenden Schutz vor Risiken. Gegenüber der mühseligen Kommandozeileneingabe erleichtern Links die Navigation im World Wide Web, aber auch Angreifer nutzen sie, um per Phishing-Webseiten schädliche Inhalte schnell einzuschleusen.

Die Herausforderung bei der Umsetzung der NIS2 Richtlinie ist, dass sich viele bewährte Cybersicherheitskonzepte nicht von Desktop- auf Mobilrechner übertragen lassen. Die Architektur mobiler Betriebssysteme unterscheidet sich fundamental von Desktop-Systemen, so dass klassische EDR- oder XDR-Lösungen überhaupt nicht auf Android oder iOS-Geräten installiert werden können. Hinzu kommt, dass das Benutzerprofil auf mobilen Geräten völlig anders ist: Ein Notebook, das der Arbeitgeber zur Verfügung stellt, wird in der Regel vollständig von der Firma verwaltet und von den meisten Anwendern auch ausschließlich für dienstliche Zwecke genutzt. Bei Mobiltelefonen dagegen ist die Abgrenzung zwischen dienstlicher und privater Nutzung sehr viel schwieriger. Anwender von Mobiltelefonen und Tablets sind auch Geräteadministratoren, was die Situation deutlich erschwert.

Risiken bei mobilen Apps ergeben sich beispielsweise daraus, dass der hohe Digitalisierungsbedarf einen enormen Rückstau bei App-Entwicklern erzeugt hat. Das zwingt App-Entwickler dazu, open-source libraries oder SDKs von Dritten zu benutzen, anstatt jede Zeile Code selbst zu schreiben. Das ist die weit verbreitete Praxis, birgt jedoch die Gefahr, dass Angreifer entweder existierende Schwachstellen in diesen Werkzeugen ausnutzen oder sogar bewusst einarbeiten. Unternehmen, die eigene Apps für Endkunden entwickeln und bereitstellen, müssen zudem ihr geistiges Eigentum vor Manipulationen wie Reverse Engineering schützen. Gleichzeitig gilt es, den ohnehin schon enormen Rückstau an App-Entwicklungsanfragen möglichst zügig aufzulösen.

Für mehr Kontrolle über die Verwundbarkeitslücke hat Zimperium eine Mobile-First-Strategie mit fünf Prinzipien entwickelt:

Umfassende Priorisierung von Risiken: Effektiver Schutz beginnt mit klaren Zuständigkeiten. Jedes Gerät, jedes Betriebssystem, jede App, die mit einem Unternehmenssystem in Berührung kommt, muss in die Cybersicherheitsstrategie einbezogen werden.
Betrieb im definierten Zustand: Vollständige Visibilität bezüglich cybersicherheitsrelevanter Vorgänge bei sämtlichen, digitalen Arbeitsabläufen ermöglicht eine präzise Risikobewertung und vermeidet Betriebsstörungen.
Verstärkte Erkennung und Reaktion: Bedrohungen für mobile Geräte und Apps sind vielfältig und unterscheiden sich in ihren Auswirkungen. Daher ist es entscheidend, ein Konzept zur Klassifizierung von Bedrohungsmustern in Kombination mit Abwehrmaßnahmen zu entwickeln.
Einrichtung autonomer Systeme: Die frühzeitige Erkennung von Gefahren und Reaktion darauf genügt bei der überwältigenden Anzahl an Bedrohungen mit einer stetig wachsenden Zahl mobiler Endgeräte nicht mehr. Dynamische Antworten auf unbekannte »Zero-Day«-Gefahren für eine unbestimmte Zahl an Endgeräten und fragmentierten Betriebssystemversionen erfordern ein Konzept für eine skalierbare Automatisierung der Abwehrprozesse.
Kein Gesetzesbruch: Die Vielzahl an Richtlinien zu verschiedenen Themen wie Cybersicherheit, Datenschutz, Privatsphäre oder Arbeitnehmerschutz sind auf den ersten Blick überwältigend. Wer sich allerdings rechtzeitig mit ihnen beschäftigt, vermeidet Betriebsstörungen.

Risikoanalyse und Sicherheitsansätze für Informationssysteme

NIS2 zieht in Artikel 20 »die Leitungsorgane wesentlicher und wichtiger Einrichtungen«, also das Management zur Verantwortung. Letztendlich sind die Managementteams für die Genehmigung von Cybersicherheitsmaßnahmen verantwortlich und haften für Verstöße gegen die Richtlinie. Auf diese Weise soll eine gewisse Dringlichkeit bei der Umsetzung der Richtlinie geschaffen und eine klare Rechenschaftspflicht für das Versäumnis festgelegt werden.

Die NIS2-Anforderungen sind umfassend: Artikel 21 fordert einen »gefahrenübergreifenden Ansatz« für Maßnahmen, »der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen«. Die Risikomanagementmaßnahmen für Cybersicherheit umfassen Anforderungen für die Risikoanalyse und Sicherheit von Informationssystemen, einschließlich des Umgangs mit Sicherheitsvorfällen, der Sicherung von Lieferketten, der Aufrechterhaltung des Geschäftsbetriebs und der Verwendung kryptografischer Technologien. Für diese und andere Bereiche müssen IT-Teams detaillierte und überprüfbare Abläufe ausarbeiten.

Der Geltungsbereich von NIS2 geht über die geographischen Grenzen der EU hinaus. Jedes Unternehmen, das dem NIS2 unterliegt, muss die Verantwortung für die »Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern« übernehmen. Für Organisationen, die mit EU-Unternehmen zusammenarbeiten oder zusammenarbeiten wollen, bedeutet das also, dass auch sie die geforderten NIS2-Standards einhalten und die implementierten Cybersicherheitsmaßnahmen nachweisen müssen.

Finanzielle Folgen

Die NIS2-Richtlinie sieht empfindliche Sanktionen vor: Artikel 33 führt Aufsichts- und Durchsetzungsmaßnahmen auf, die von Vor-Ort-Kontrollen geschulter Fachkräfte und Sicherheitsprüfungen zuständiger Behörden bis zu Nachweisen für die Umsetzung der Cybersicherheitskonzepte sowie der Anforderung von Daten oder Dokumenten und sonstigen Informationen reichen, die zur Erfüllung ihrer Aufsichtsaufgaben erforderlich sind. Es bleibt abzuwarten, wie diese Durchsetzungen gehandhabt werden, aber es ist natürlich nicht ratsam, die Aufsichtsanforderungen zu ignorieren. Sinnvoll wäre es vielmehr, produktiv vorauszudenken und effiziente Sicherheitsmaßnahmen als Teil eines guten Gesamtkonzeptes durchzuführen. Mit Blick auf die steigende Komplexität von IT-Systemen empfiehlt sich die Suche nach Lösungen, die nicht eine vollständige Neuorganisation der bestehenden Arbeitsabläufe nach sich ziehen.

Darüber hinaus können IT-Compliance-Versäumnisse zu hohen Finanzstrafen führen. In Artikel 34 ist festgelegt, dass die Mitgliedstaaten im Falle eines Verstoßes Geldbußen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des Vorjahresbruttoeinkommens einer Organisation verhängen, je nachdem, welcher Betrag höher ist. Die Bußgelder basieren auf den durchschnittlich bezahlten Lösegeldern für Ransomware-Angriffe in Höhe von zehn Millionen Euro, die 2022 statistisch gesehen ein Mal pro Woche von europäischen Unternehmen gezahlt wurden.

Die nächsten Schritte

Die Einhaltung der NIS2-Richtlinie wird für Sicherheitsteams einen erheblichen Organisationsaufwand verursachen, und die Stärkung der Sicherheit mobiler Geräte und mobiler Apps ist hier eine zentrale Aufgabe. IT-Verantwortliche müssen sich daher detailliert mit den Themen Cyber-Risikomanagement, Kontrolle, Geschäftskontinuität und IT-Monitoring sowie dem Umgang mit Zwischenfällen befassen. Und die NIS2-Gesetzesvorgaben für Cybersicherheit und Cyberresilienz betreffen die große Mehrheit der Unternehmen in Deutschland und ihre nicht-europäischen Zulieferer.

Im Rahmen von Mobile-First-Strategien rückt deshalb auch die Absicherung mobiler Geräte und Anwendungen in den Mittelpunkt. Für eine konsequente Umsetzung der laut NIS2 Richtlinie notwendigen Risikomanagementmaßnahmen muss man jeden Berührungspunkt berücksichtigen — selbst wenn ein Smartphone nur für Multifaktorauthentifizierung genutzt oder eine App nur als Ersatz für analoge Prozessen entwickelt wurde. Denn es sind eben jene unscheinbaren Prozesse, die von Angreifern gerne als Einfallstor genutzt werden, um arglose Mitarbeiter zu täuschen. Klare Handlungsempfehlung ist daher, vor dem 18. Oktober 2024 detailliert nachzuvollziehen, wie sich die Bedrohungslage für mobile Endgeräte und Apps im eigenen Hause darstellt, um daraus ein skalierbares Konzept zur Gefahrenerkennung und -abwehr zu erstellen und dieses idealerweise zu automatisieren.

Yang-Giun Ro, Senior Sales Engineer DACH, Zimperium

31 Artikel zu „NIS2“

NEWS | INFRASTRUKTUR | IT-SECURITY | STRATEGIEN | TIPPS

Die Auswirkungen der NIS2-Richtlinie auf die Container-Sicherheit verstehen

18. Januar 2024

Die digitale Landschaft in Europa steht mit der Veröffentlichung der NIS2-Richtlinie vor einem bedeutenden Wandel. Die Umsetzung dieser digitalen Transformation ist eng mit der Entwicklung der Cyber Security verbunden. Regierungen auf der ganzen Welt ergreifen jetzt Maßnahmen, um kritische Infrastrukturen intensiver vor Cyberbedrohungen zu schützen. Diese Richtlinie, die darauf abzielt, die Sicherheit und Widerstandsfähigkeit im…