Unbemerkt im Schatten der DSGVO – Handlungsbedarf bei der NIS-Richtlinie

Illustration: Absmeier, Geralt

Werden Cybersicherheitsexperten aktuell befragt, welche wichtige gesetzliche Neuerung 2018 bevorsteht, lautet die Antwort meist: »Die DSGVO«. Das ist korrekt, aber im Mai tritt ebenfalls die Richtlinie über die Netz- und Informationssicherheit (NIS) in Kraft. Diese wurde in der öffentlichen Wahrnehmung nach Meinung von Palo Alto Networks stark von der Datenschutzgrundverordnung überschattet. PAN gibt deshalb eine kurze Zusammenfassung:

 

  • Die NIS ist eine Richtlinie, was bedeutet, dass jedes Mitgliedsland der Europäischen Union (EU) diese in seine eigenen Rechtsvorschriften umsetzen muss.
  • Die DSGVO konzentriert sich auf den Schutz der Daten von EU-Bürgern. Die NIS-Richtlinie hingegen konzentriert sich darauf, sicherzustellen, dass Dienste mit einer Technologieabhängigkeit (was heute die meisten Dienste umfasst) und die für das Funktionieren der Gesellschaft von zentraler Bedeutung sind, widerstandsfähig gegen Cyberangriffe sind. Die Richtlinie enthält die Anforderung, sicherheitskritische Vorfälle zu vermeiden, um die Widerstandsfähigkeit dieser Dienste zu gewährleisten. Im Gegensatz dazu geht es bei der DSGVO darum, wie das Vertrauen in die Verarbeitung personenbezogener Daten gewährleistet werden kann.
  • Anders als die DSGVO, die eine Meldepflicht von Sicherheitsvorfällen im Zusammenhang mit personenbezogenen Daten innerhalb von bis zu 72 Stunden verlangt, sieht die NIS eine Meldepflicht (in diesem Fall von Sicherheitsvorfällen bestimmter Größenordnung) »ohne unangemessene Verzögerung« vor. Wie bei der DSGVO wird vorgeschlagen, Sanktionen zu verhängen, wenn Unternehmen die Anforderungen der Richtlinie nicht einhalten. Obwohl die EU-Mitgliedstaaten Spielraum haben, ihre Strafbestimmungen für Verstöße gegen nationale Bestimmungen zu erlassen, die gemäß der Richtlinie erlassen wurden, hat zumindest das Noch-EU-Land Großbritannien mögliche Geldbußen vorgeschlagen, die der DSGVO entsprechen.
  • Die NIS-Richtlinie definiert die Arten von Unternehmen, für die sie gelten wird, unterteilt in zwei Kategorien: Betreiber wesentlicher Dienste und Anbieter digitaler Dienste. Obwohl Letztere in der Richtlinie selbst definiert sind, muss jede Nation genau festlegen, welche Unternehmen in ihren Hoheitsgebieten als Betreiber wesentlicher Dienste gelten. Die Richtlinie umreißt die Kategorien, beispielsweise Versorgungsunternehmen, Verkehrsbetriebe, bestimmte Arten von Finanzdienstleistern und das Gesundheitswesen, aber der genaue Umfang bleibt jedem Land überlassen.

 

Kurz gesagt: Es geht bei der NIS effektiv um den Schutz des Netzwerks und der Informationssysteme, die der nationalen Infrastruktur und den digitalen Diensten zugrunde liegen. Sie hat in Bezug auf die Sicherheit einen breiteren Geltungsbereich als die Datenschutzgrundsätze, die auf dem Vertrauen in Technologie basieren, die für die zunehmend digitale Gesellschaft von zentraler Bedeutung ist. Nun aber scheint die DSGVO viel Aufmerksamkeit zu bekommen, während das Bewusstsein für die NIS vergleichsweise gering ist.

 

»Man könnte argumentieren, dass dies auf das engere Spektrum von Unternehmen zurückzuführen ist, für die letztere Richtlinie gilt, oder dass die eingeschlossenen Unternehmen besser auf ihre Anforderungen vorbereitet sind als auf die DSGVO«, erklärt Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. »Dies mag für einige Branchen zutreffen, wie zum Beispiel die Finanzdienstleistungsbranche, die in der Regel an vorderster Front steht, wenn es um den Schutz vor Cyberangriffen geht. Daher verfügt sie in der Regel auch über die modernsten Fähigkeiten, um gegen sie resistent zu sein.«

 

Am anderen Ende des Spektrums gibt es Branchen, die bis dato über viel geringere Cybersicherheitsfähigkeiten verfügten. Die Nachrichten der letzten zwölf Monate über Vorfälle im Gesundheitswesen und in Versorgungsunternehmen zeigen dies, um nur zwei solcher Branchen hervorzuheben. Daraus ist auch ersichtlich, dass die NIS ein bedeutender Schritt nach vorne sein wird. Nun dreht sich alles um die Finanzierung erforderlicher Maßnahmen vor dem Hintergrund chronischen Sparzwangs.

 

In vielen betroffenen Unternehmen wollen die Verantwortlichen mehr Klarheit darüber haben, wie sie die Einhaltung der DSGVO erreichen können. Da die NIS erst in nationales Recht umgesetzt werden muss, gibt es auch hier den Wunsch nach konkreten Leitfäden. Angesichts dessen und unter Berücksichtigung der Budgetfrage bleibt die Sorge, dass die NIS nicht die Aufmerksamkeit erhält, die sie bekommen sollte. Ähnlich wie die DSGVO sollte die NIS-Richtlinie jedoch als positive Chance gesehen werden, um den Wandel voranzutreiben. Gegenüber der DSGVO wird es vielleicht noch mehr Kreativität seitens der Führungskräfte aus Wirtschaft und Cybersicherheit erfordern, um die Ziele zu erreichen, zumal die Zeit knapp wird.

 

Anders als die DSGVO, die sich auf die Verarbeitung (und den Schutz) personenbezogener Daten konzentriert, erfordert die NIS noch mehr Expertenwissen. Es sollte jedoch daran erinnert werden, dass kritische Dienste von Experten auf ihrem jeweiligen Gebiet erbracht werden, die aber nicht zwangsläufig auch Experten für Cybersicherheit sind. Die Herausforderung hierbei ergibt sich aus der Erwartungshaltung, dass diese zu Experten für Cybersicherheit avancieren oder die Betreiber entsprechende Fachleute einstellen und deren Fähigkeiten weiter aufbauen.

 

Fortschrittliche Unternehmen von heute, die in der digitalen Welt Schritt halten, erkennen, dass es nicht darum geht, die richtigen Leute einzustellen, sondern darum, sie richtig einzusetzen. Gleichermaßen geht es nicht um große Kapitalinvestitionen, sondern um die Nutzung der richtigen gemeinschaftlichen Ressourcen. Technologie ist ein Weg, um diese Effizienz umzusetzen.

Während die DSGVO viele Unternehmen dazu veranlasst, sich zu überlegen, ob sie ein Sicherheitsbetriebszentrum (SOC, Security Operations Center) benötigen und ob sie ein Incident-Response-Team (IR) haben sollten, ist dies im Kontext der NIS-Richtlinie fragwürdig. Einige, die sich gerade mit den neuen Anforderungen der Cybersicherheit befassen, werden über den Tellerrand blicken müssen, um die Hürden auf skalierbare und kosteneffiziente Weise zu überwinden.

 

Hier wird die NIS eine positive Wirkung entfalten. Sie zwingt die Unternehmen dazu, einige der grundlegendsten Prinzipien der Cybersicherheit zu überdenken, etwa das zentrale Thema, ein SOC- und IR-Team einzurichten: Was ist wirklich das Ziel? Ist es, auf Vorfälle zu reagieren oder zu verhindern, dass sie überhaupt auftreten? Viele Unternehmen konzentrieren sich mehr auf die Reaktion, obwohl die Richtlinie die Notwendigkeit zur Prävention hervorhebt.

 

Die Verantwortlichen für die Lösung dieser Probleme sind oft zwischen einem Erbe historischer IT-Systeme und der Innovation neuer Fähigkeiten gefangen, und das ist bei einem SOC nicht anders. Wenn noch keines besteht, lässt es sich aufbauen. Es gibt zudem immer mehr spezialisierte Serviceanbieter, die Zugang zu einem hohen Maß an Know-how und hochmodernen Tools bieten.

Unternehmen sollten auch darüber nachdenken, wie sie ihre Cybersicherheit anwenden. Die wachsende Cloud-First-Kultur, die in den meisten Fällen durch Agilität und Kosteneinsparungen angetrieben wird, macht es sinnvoll, Cybersicherheit als Native-Embedded-Fähigkeit zu nutzen, um die gleichen Vorteile zu erzielen. Unternehmen werden jedoch in der Regel mehrere Cloud-Services einsetzen und ihre Legacy-Systeme »mitziehen«.

 

»Jedes Unternehmen muss zudem in der Lage sein, die erforderliche Transparenz zu erreichen und die erforderlichen Kontrollelemente in diesem heterogenen Ökosystem zu definieren. Dies erfordert Überlegungen darüber, was nativ sein sollte, was als Service in Anspruch genommen werden sollte und wo noch Expertise benötigt wird. Ein Beispiel hierzu: Es ist entscheidend, in der Lage zu sein, alle Vorgänge in der eigenen IT-Umgebung zu erfassen und die Sichtbarkeit zu haben, um kritische Ereignisse zu erkennen«, so Thorsten Henning. »Doch wie lassen sich alle diese Daten sammeln und konsolidieren, um Vorfälle in einer zunehmend verfügbaren IT-Umgebung zu erkennen und zu verhindern? Neue Cloud-Dienste bieten neue Methoden, um Cybersicherheitserkenntnisse in der Cloud zu sammeln, zu verarbeiten und umzusetzen.«

 

In der zunehmend digitalen Welt sind die richtigen Fähigkeiten aber nur ein Teil der Gleichung sind. Immer wichtiger ist, diese Fähigkeiten zu nutzen, um agil und kosteneffizient zu sein. Die Cybersicherheit sollte sich in dieser Hinsicht nicht von anderen Geschäftsfunktionen unterscheiden.

 

Empfehlungen von Palo Alto Networks zur NIS:

 

  1. Lassen Sie sich nicht von der relativen Ruhe täuschen: Die NIS kommt, und Ihr Unternehmen könnte betroffen sein.
  2. Führen Sie für jede Regulierung eine Lückenanalyse durch und stellen Sie sicher, dass Sie die richtige Unterstützung für Ihre Führungskräfte haben.
  3. Denken Sie über den Tellerrand hinaus: Sie sind Teil einer Gemeinschaft, die für die Gesellschaft wichtige Dienste erbringt. Suchen Sie nach neuen und innovativen Wegen, um eine bessere Cybersicherheit durch den Trend zu Managed Services zu erreichen, um die Fähigkeiten und Abhängigkeiten von Kapitalkosten zu reduzieren.
  4. Denken Sie in größeren Zusammenhängen nach: Wie stellen Sie sicher, dass Sie die Transparenz behalten und Klarheit darüber haben, wie und wo die Kontrollelemente sowohl bei neuen Cloud-Services als auch bei Ihren vorhandenen IT-Systemen eingesetzt werden?
  5. Suchen Sie nach neuen Verbrauchsmodellen, die sich an Ihren zukünftigen IT-Verbrauchsmodellen orientieren.
  6. Gewinnen Sie Klarheit über die Ziele, die Sie im Rahmen der NIS erreichen müssen, und wie Sie die Umsetzung für sich selbst, Ihr Unternehmen und Dritte, die dies beurteilen werden, messbar machen.

 


 

Gesetz zur Umsetzung der NIS-Richtlinie und BSI-Kritisverordnung in Kraft getreten

Kritische Beurteilung der Ausfallsicherheit für jedes vierte Unternehmensnetzwerk

Governance, Risk und Compliance – Risikoanalysen für kritische IT-Infrastrukturen

Branchen nach ihrer Abhängigkeit von kritischen IT-Infrastrukturen klassifiziert

Erfolgshindernisse: unflexible Unternehmenskultur; ineffiziente Technologien sowie starre Prozesse

Bausteine der digitalen Neuausrichtung: Zur idealen IT-Organisation geht’s hier lang!

Wir brauchen eine »Immunisierung der Gesellschaft gegen Cyberattacken«