NIS2 Compliance vereinfachen – mit SASE

Illustration Absmeier foto freepik ki

Die Frist für die neue Richtlinie 2022/0383 über Netz- und Informationssysteme, besser bekannt als »NIS2«, rückt unaufhaltsam näher. Unternehmen stehen nun vor der Herausforderung, die geeignete Technologie zu implementieren, um den Anforderungen gerecht zu werden. Das wachsende Interesse der Branche an Sicherheitsplattformen wird eine entscheidende Rolle dabei spielen, die Einhaltung der NIS2-Vorgaben zu erleichtern. Organisationen sollten die Sicherheit ihrer Netzwerke und Informationssysteme ernsthaft priorisieren, um die Resilienz kritischer Dienste zu stärken und ihre Kunden vor Cyberbedrohungen zu schützen.

NIS2 ist ein zentraler Bestandteil der europäischen Bestrebungen, die Widerstandsfähigkeit von Unternehmen zu erhöhen. Die Erweiterung des Anwendungsbereichs auf EU-Einrichtungen und die Einführung strengerer Sanktionen für Unternehmen, die die neuen Vorschriften nicht einhalten, unterstreicht die Dringlichkeit dieser Maßnahmen. Ein umfassender Cybersicherheitsansatz ist unerlässlich, einschließlich Risikobewertungen, robuster Sicherheitsmaßnahmen, einer ausgefeilten Incident-Response-Planung, abteilungsübergreifender Zusammenarbeit und kontinuierlicher Schulungen. Die neuen Sicherheitsstandards der Verordnung erfordern sowohl organisatorische als auch technische Maßnahmen zum Schutz von Netzwerken und Informationssystemen.

 

NIS2: Neue Anforderungen für Unternehmen

NIS2 betrifft alle Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro – zusätzlich zu den bereits betroffenen Branchen. Neu hinzugekommen sind Sektoren wie elektronische Kommunikation, digitale Dienste, Raumfahrt, Abfallwirtschaft, Lebensmittelproduktion, die Herstellung kritischer Produkte (z. B. Arzneimittel), Postdienste und die öffentliche Verwaltung.

Eine der wesentlichen Neuerungen der NIS2-Vorschriften betrifft die erhöhten Sicherheitsanforderungen. Unternehmen müssen strengere Cybersicherheitsmaßnahmen umsetzen, darunter Risikomanagement, Penetrationstests und Incident-Response-Maßnahmen. Auch die Sicherheitsanforderungen entlang der Lieferkette wurden verschärft, wodurch Unternehmen gezwungen sind, Schwachstellen bei ihren Lieferanten und Dienstleistern genau im Blick zu behalten. Eine weitere bedeutende Änderung ist die Verpflichtung, Sicherheitsvorfälle innerhalb von 24 Stunden zu melden und innerhalb von drei Tagen einen detaillierten Bericht vorzulegen. Ziel ist es, die Reaktionszeiten verkürzen und potenzielle Schäden minimieren.

Ein tiefes Verständnis und die konsequente Einhaltung dieser Vorgaben sind unerlässlich, um Sanktionen zu vermeiden, wie z. B. Geldstrafen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes bei »wichtigen Unternehmen«. Für »wesentliche Unternehmen« drohen sogar noch höhere Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes.

 

Lösungen zur Compliance

Die strengen Vorgaben der NIS2-Richtlinie zwingen Unternehmen, ihre Netzwerke und Systeme effektiv zu schützen. Trotz der Herausforderungen gibt es zahlreiche Ansätze, um sich angemessen vorzubereiten.

Der erste Schritt ist eine umfassende Risikobewertung, um Schwachstellen in den Informationssystemen und Netzwerken eines Unternehmens zu identifizieren. Diese Analyse sollte verschiedene Risiken abdecken, darunter Malware-Angriffe, unbefugten Zugriff, menschliche Fehler sowie Naturkatastrophen. Auf dieser Grundlage können Unternehmen wirksame Sicherheitsmaßnahmen entwickeln und implementieren.

Ein robustes Security-Governance-Framework hilft, die Einhaltung der NIS2-Regularien sicherzustellen. Dieser Rahmen sollte Rollen, Verantwortlichkeiten und Prozesse definieren und als Fahrplan für die Umsetzung der Vorschriften dienen. Zu den empfohlenen Sicherheitsmaßnahmen gehören Multifaktor-Authentifizierung, Verschlüsselung, Schwachstellenanalysen, Intrusion Detection und Prevention-Systeme sowie sichere Softwareentwicklungspraktiken. Regelmäßige Tests, Überprüfungen und Aktualisierungen tragen dazu bei, Cybersicherheitsprobleme unter Kontrolle zu halten.

Ein umfassendes Incident-Response-System ist entscheidend, um Sicherheitsvorfälle effizient und effektiv zu erkennen und zu melden. Da NIS2 die Meldung von Vorfällen innerhalb von 24 Stunden vorschreibt, ist die rechtzeitige Einrichtung eines solchen Systems unerlässlich, um die Berichterstattung zu erleichtern.

Die Sensibilisierung der Mitarbeiter für die Folgen von Sicherheitsmängeln und die Implementierung von Best Practices erhöhen das allgemeine Sicherheitsniveau und minimieren das Risiko von Datenschutzverletzungen. Da menschliche Fehler eine der Hauptursachen für Cybersicherheitsverstöße sind, sollten Unternehmen auch in Schulungen investieren, um den Anforderungen von NIS2 gerecht zu werden.

 

Warum ein SASE-Framework?

Die Einhaltung der NIS2-Vorgaben bleibt für viele Unternehmen eine Herausforderung. Ein möglicher Lösungsansatz ist die Implementierung eines Secure-Access-Service-Edge-Frameworks (SASE). Gartner definiert »Single-Vendor SASE« als einen Ansatz, der verschiedene konvergente Netzwerk- und Sicherheitsfunktionen als Service bereitstellt, darunter Software-defined WAN, Secure Web Gateway, Cloud Access Security Broker, Network Firewalling und Zero Trust Network Access – alles über eine Cloud-zentrierte Architektur und eine einheitliche Plattform.

SASE bietet Sicherheitsteams einen integrierten, cloudbasierten Dienst, der Netzwerk- und Sicherheitsfunktionen vereint. Eine zentrale Steuerung und Verwaltung der Sicherheitsrichtlinien gewährleistet eine einheitliche Durchsetzung im gesamten Netzwerk und erleichtert die Compliance-Überwachung. Die automatisierte Richtliniendurchsetzung reduziert menschliche Fehler und stellt sicher, dass Sicherheitsmaßnahmen stets den aktuellen gesetzlichen Anforderungen entsprechen. SASE sorgt zudem für konsistente Richtlinienumsetzung und -kontrolle im gesamten Netzwerk, während optimiertes Routing und reduzierte Latenzzeiten die Leistung verbessern.

Durch die umfassende Überwachung und verbesserte Netzwerksichtbarkeit unterstützt SASE Unternehmen dabei, die kontinuierliche Überwachung und Anomalienerkennung zu gewährleisten, die unter der NIS2-Richtlinie gefordert sind. Diese Funktionen tragen insgesamt dazu bei, eine robuste Cybersicherheitsstrategie zu etablieren und aufrechtzuerhalten, die den strengen Anforderungen der Richtlinie gerecht wird und vor allem kritische Infrastrukturen und digitale Dienste schützt.

Kanwar Loyal, VP Nordeuropa & MEA bei Cato Networks

 

186 Artikel zu „SASE“

SASE eliminiert drei versteckte Kostentreiber

Für SASE (Secure Access Service Edge) sprechen viele Gründe. In Zeiten von New Work, Homeoffice und hybriden Unternehmensnetzwerken kommen herkömmliche VPN-Sicherheitslösungen allmählich an ihre Grenzen. Es ist entscheidend, Remote-Zugänge und Endpoints so zu sichern, dass Mitarbeiter schnell und von überall auf ihre Daten und Anwendungen zugreifen können. Doch der vereinfachte und sicherere Zugang ohne Performance-mindernde…

Eine iterative Strategie für die aussichtsreiche SASE-Transformation 

Wie sich SASE in bestehende Netze einbinden lässt. Eine Strategie der schrittweisen Migration maximiert Innovationen und schützt finanzielle Ressourcen.   Mit einem Marktwert von 1,9 Milliarden US-Dollar im Jahr 2023 und einer voraussichtlichen jährlichen Wachstumsrate (CAGR) von 25 % bis 2028 löst SASE (Secure Access Service Edge) sein Versprechen in einer sich entwickelnden Netzwerk- und Sicherheitslandschaft ein. Der Gedanke…

Die Public Cloud beschleunigt eine SASE-Bereitstellung – allerdings hat das seinen Preis 

Die vermeintlichen Kostenvorteile der Public Cloud sind nicht selten trügerisch, insbesondere bei umfangreichen Cloud-Anwendungen und -Diensten, wie z. B. Secure Access Service Edge (SASE). Tatsächlich geht es bei öffentlichen Clouds eher um eine schnellere Markteinführung als darum, Kosten einzusparen. Weil Planung, Bereitstellung, Hardwarebeschaffung, Versand und Einrichtung des Rechenzentrums bereits erledigt sind, haben Firmen hier die Möglichkeit, zügig auf Markttrends…

Was Sie erwartet, wenn Sie SASE erwarten

Jüngsten Daten zufolge unterstützen inzwischen schätzungsweise 76 Prozent aller Unternehmen hybrides Arbeiten. Eine Zahl, die seit Beginn der Pandemie erheblich in die Höhe geklettert ist. Die meisten Firmen sind digitale Organisationen, in denen Mitarbeiter von überall aus auf Netzwerke zugreifen. Eine Entwicklung, die etliche Vorteile mit sich bringt: mehr Flexibilität, Kosteneinsparungen, eine höhere Produktivität und…

Zero Trust und SASE für mehr Cybersicherheit

Cyberrisiken gehören zu den größten Risiken denen Unternehmen ausgesetzt sind. Seien es Phishing-Angriffe oder Ransomware, jedes Jahr steigt die Anzahl an Cyberattacken und die Heftigkeit dieser an. Die Konsequenzen reichen von finanziellen Verlusten durch Beseitigung der Schäden oder Zahlungen von Lösegeldern über Störungen oder Komplettausfällen des Geschäftsbetriebs bis hin zu Reputationsverlusten oder im allerschlimmsten Fall…

Mit SASE Netzwerk, Security, RZ und die Cloud verbinden

Ein zentralisierter Ansatz in der Cloud hat ebenso viele Limitierungen wie ein lokales Rechenzentrum. Die viel zitierte Weissagung, wonach das Leben die Zuspätkommenden bestrafe, scheint auch in der IT-Netzwerk-Sicherheit ihre Wahrheit zu finden. Viele Unternehmen sahen sich mit Beginn der Pandemie gezwungen, von Büroarbeit auf Homeoffice umzustellen – oft mit lückenhafter Sicherheit die IT-Infrastruktur betreffend.…

Datensicherheit jenseits des Netzwerks: SASE-Plattformen

Unternehmen sind überaus anpassungsfähig, wie sich in der Pandemiekrise gezeigt hat. Schnell wurden neue Workflows geschaffen, die den Geschäftsbetrieb vollständig digital aufrecht erhalten. Die Zusammenarbeit erfolgt über Collaboration-Tools, die Bearbeitung von wichtigen Dokumenten über Cloudanwendungen und die persönliche Abstimmung in Einzelfällen über Messenger-Dienste auf privaten Mobilgeräten. Die Veränderungen in der digitalen Arbeitsumgebung machen es für…

Sicherheit Vor-Ort oder in der Cloud – Die Cloud im Kreuzfeuer der Cyberkriminalität

Zum vierten Mal in Folge hat die Thales Group ihren Cloud Security Report veröffentlicht. Eine wichtige Erkenntnis daraus: Unternehmen weltweit äußern Bedenken an der Sicherheit von Cloud-Lösungen. Björn Orth, Geschäftsführer beim Microsoft-Reseller VENDOSOFT, stellt in Anbetracht dessen die Frage: Ist sie dann das Mittel der Wahl?

Whitepaper: Schützen Sie Ihr Unternehmen vor Netzwerkangriffen

Die digitale Transformation hat die Anforderungen an die Cybersicherheit in Unternehmen grundlegend verändert. Die Zahl der angeschlossenen Geräte nimmt weiter zu, Grenzen zwischen den Netzwerken verschwinden, und die alten Methoden der Netzwerksicherheit können nicht mehr mithalten. Viele Jahre lang boten moderne Technologien keinerlei Sicherheit. Täglich wurde von neuen Gefahren für die IT-Sicherheit berichtet. Sie gingen…

Zero Trust gegen KI-basierte Cyberangriffe

Das Thema künstliche Intelligenz ist weiterhin omnipräsent. KI wird ein ähnliches Potenzial nachgesagt wie der Dampfmaschine oder dem elektrischen Strom. Auch der Bereich der Cybersicherheit wird durch KI umgekrempelt.   Insbesondere KI-basierte Angriffe und die beste Verteidigung dagegen stehen in vielen Diskussionen im Fokus. KI-basierte Angriffe sind sehr wahrscheinlich noch raffinierter, zielgerichteter und hartnäckiger als…

Cybercrime-as-a-Service weiterhin größte Gefahr

In der ersten Jahreshälfte 2024 dominieren Malware- und Ransomware-as-a-Service. Von 17,8 Millionen Phishing-Mails konnten 62 % die DMARC-Prüfungen umgehen. Neue Ransomware und verstärkte Ausnutzung von Schwachstellen in der Edge-Infrastruktur.   Darktrace stellt in seinem neuen »First 6: Half-Year Threat Report 2024« die größten IT-Gefahren für Unternehmen in der ersten Jahreshälfte 2024 vor. Demnach dominiert Cybercrime-as-a-Service…

Cyberkriminelle nutzen CrowdStrike-Outage

Nach der CrowdStrike-Panne vom 19. Juli 2024 entdeckten Akamai-Forscher mehr als 180 neu erstellte schädliche Domains. Diese gaben vor, Betroffenen bei der Navigation durch ihre IT-Ausfälle behilflich zu sein. Mit mehr als 20 Prozent des beobachteten Angriffsverkehrs gehörten gemeinnützige Organisationen und das Bildungswesen zu den am stärksten betroffenen Branchen. Der Sicherheitsexperte Akamai hat die am…

Wie intelligente Datenstrategien den Finanzsektor transformieren können

Traditionelle Geldinstitute haben es häufig schwer, in der digitalen Welt mit Neobanken und FinTechs zu konkurrieren. Letztere haben oft die innovativeren Angebote und können damit vor allem bei jungen Zielgruppen punkten. Otto Neuer, Regional VP und General Manager von Denodo zeigt, in welchen Bereichen etablierte Institute aufholen können und sollten und warum eine solide Datenstrategie…

EDR vs. XDR vs. MDR: Die passende Sicherheitslösung finden

Bedrohungen durch Hacker werden immer raffinierter, umfangreicher und effizienter. Über die Hälfte deutscher Unternehmen fühlt sich durch Cyberangriffe in ihrer wirtschaftlichen Existenz bedroht – so eine Umfrage des Branchenverbands Bitkom. Zum Vergleich: 2021 waren es nur 9 Prozent. Unternehmen erkennen zunehmend die Gefahren, die Cyberangriffe auf ihren Geschäftsbetrieb haben können und reagieren mit Abwehrmaßnahmen. Auf…

IT-Sicherheit als zentrale Herausforderung

Unternehmen in Deutschland und weltweit stufen laut des Allianz Risk Barometer 2024 Cybervorfälle als ihr größtes Risiko ein. Managed Security Service Provider wie byon unterstützen mit Herstellern wie Fortinet gerade mittelständische Unternehmen dabei, dieses Risiko in den Griff zu bekommen.   Die IT-Sicherheit ist für mittelständische Unternehmen in Deutschland eine zentrale Herausforderung. Sie ist mit…

Homeoffice ja – wenn möglich

Infografik: Homeoffice ist gekommen, um zu bleiben | Statista Wenn die Corona-Pandemie in ihrer Folge etwas Positives für Arbeitnehmer hinterlassen hat, dann ist es sicherlich die weitgehende Akzeptanz des Homeoffice. Das Homeoffice ist für viele Beschäftigte mittlerweile nicht mehr aus dem Arbeitsalltag wegzudenken.   Laut dem neuen »Trends in der Arbeitswelt«-Report von Statista, Xing und…

Personalabteilung, HR, People & Culture oder People Operation?

Hippe Namen für die Personalabteilung fallen bei den meisten Beschäftigten durch.   In vielen Unternehmen und Organisationen haben sich die Personalabteilungen schon mehrmals umbenannt. Hippe Bezeichnungen wie »People & Culture« werden jedoch von einer Mehrheit als eher unglaubwürdig empfunden. Das ist das Ergebnis einer aktuellen softgarden-Untersuchung. Für die Studie wurden 4.312 Bewerbende online befragt. Zur…

Multi-Cloud-Umgebungen verzeichnen zunehmende Nutzung

Anstieg von 47 Prozent bei SD-WAN- und 25 Prozent bei SASE-Adoption. Sicherheit, nahtlose Integration und Compliance haben für Unternehmen Priorität in hybriden Cloud-Umgebungen, mit Cisco, Palo Alto Networks, AWS und Microsoft Azure als Marktführer .   AlgoSec, ein Anbieter von Cybersicherheitslösungen, hat die diesjährige Ausgabe seines »The State of Network Security Report« veröffentlicht. Der Report…

Déjà-vu bei Move-IT?

Ein Kommentar von Richard Werner, Security Advisor bei Trend Micro Vor fast genau einem Jahr im Mai und Juni 2023 stand Move-IT ganz oben in den IT-Security-Schlagzeilen. Auch damals ging es um Schwachstellen. Auch damals gab es schnell Angriffe. Auch damals warnte das BSI davor und riet den betroffenen Kunden in Deutschland, schnellstmöglich zu aktualisieren.…