Cybersicherheitsvorschriften: Was Sie wissen müssen
„Cybersicherheitsvorschriften nicht einzuhalten kann viel teurer sein als sie einzuhalten“ – Neil Armstrong
Auch wenn die Einhaltung von Vorschriften als lästige Pflicht oder als eine Reihe von Checklisten und Kästchen zum Ankreuzen erscheinen kann. Eine Rahmenregelung kann zum Beispiel leicht 300 Seiten umfassen. Rahmenregelungene sind jedoch wichtig, weil sie dabei helfen, das Geschäftsrisiko in Richtlinien zu übersetzen, um Ihr Unternehmen vor Cyber-Bedrohungen zu schützen. Die Einhaltung von Vorschriften mag komplex erscheinen, aber der Umgang mit einer Sicherheitslücke ist noch viel komplizierter.
Wer ist durch die Einhaltung von Vorschriften betroffen?
Mit der Zunahme von Cyber-Bedrohungen betrifft die Einhaltung von Vorschriften heute fast alle Branchen und Unternehmen jeder Größe. Nachfolgend einige Beispiele für Vorschriften:
> HIPAA für den Gesundheitssektor zum Schutz der Patientendaten (USA).
> PCI-DSS für Finanzorganisationen und E-Commerce-Unternehmen zum Schutz von Kartendaten.
> Datenschutz-Grundverordnung (DSGVO) für alle Unternehmen, die mit personenbezogenen Daten europäischer Bürger umgehen.
> NIS 2, DORA und NIST 2.0, auf die wir weiter unten eingehen werden.
Warum brauchen wir die Einhaltung von Vorschriften?
> Datenschutz und Erhöhung der Sicherheit: Durch die Einhaltung gesetzlicher Vorschriften wird sichergestellt, dass Unternehmen die erforderlichen Maßnahmen zum Schutz wichtiger Daten ergreifen. Datenschutzverletzungen, die zu enormen finanziellen Verlusten und Reputationsschäden führen können, werden verhindert.
> Gesetzliche Anforderungen: Die meisten Cybersicherheitsvorschriften sind verbindlich oder werden es in Kürze sein. Die Nichteinhaltung dieser Vorschriften kann schwerwiegende Folgen für Unternehmen haben, z. B. Geldstrafen und ernsthafte rechtliche Konsequenzen.
> Kundenvertrauen: Die Einhaltung gesetzlicher Vorschriften gibt Kunden und Partnern Sicherheit. Der Schutz von Daten und Privatsphäre Ihrer Kunden hilft Ihrem Unternehmen, Vertrauen aufzubauen.
Cyber-Versicherung: Neben den gesetzlichen Anforderungen verlangen Cyber-Versicherungsgesellschaften die Einhaltung von Vorschriften, um hohe Versicherungskosten zu vermeiden. Die Nichteinhaltung kann zur Ablehnung von Ansprüchen führen.
Werfen wir einen Blick auf die jüngsten Richtlinien und Rahmenregelungen.
NIS2:
Die NIS-2-Richtlinie wurde im Januar 2023 von der Europäischen Union für Netz- und Informationssicherheit (NIS) veröffentlicht, um die ursprüngliche NIS-Richtlinie von 2016 zu aktualisieren. Die neue Richtlinie sieht strengere Sicherheitsanforderungen vor und deckt ein breiteres Spektrum an Branchen ab, einschließlich aller sie unterstützenden Drittanbieter und Dienstleister. Die Nichteinhaltung der NIS-2-Richtlinie kann erhebliche Folgen haben, die bis zu 10 Mio. EUR oder 2 % der Einnahmen eines Unternehmens betragen können. Bis Oktober 2024 werden alle EU-Länder die NIS-2-Richtlinie in ihre Gesetze aufnehmen und der Kommission bis Anfang April 2025 eine Liste ihrer „essentiellen“ und „wichtigen“ Einrichtungen vorlegen.
Die wichtigsten Maßnahmen:
> Neue Sektoren wurden in die Liste der „essentiellen“ und „wichtigen“ öffentlichen und privaten Einrichtungen aufgenommen: Digitale Anbieter, Abfall- und Wasserwirtschaft, Lebensmittel, kritische chemische Produktion (z. B. Pharmazie und Medizin), Raumfahrt, Postdienste, Social-Media-Plattformen, öffentliche Verwaltungen usw.
Für alle Organisationen mit 50 oder mehr Mitarbeitern gilt NIS 2. Jedes europäische Land kann jedoch entscheiden, ob ein bestimmtes kleines Unternehmen die Anforderungen erfüllen muss oder nicht. Jedes Land kann seine eigenen „essentiellen Einrichtungen“ schaffen.
Einrichtungen, die bereits gleichwertigen Regelungen wie NIS 2 unterliegen, sind nicht betroffen.
> Die Unterscheidung zwischen essentiellen Betreibern von Diensten und Anbietern digitaler Dienste ist nicht länger gültig, sodass es jetzt zwei Kategorien von Einrichtungen gibt: „Essentiell“ und „Wichtig“.
> Die Stärkung der Sicherheit für die Lieferketten und die Lieferantenbeziehungen durch die Forderung nach Risikobewertungen der betroffenen Länder in Zusammenarbeit mit der ENISA.
> Die NIS-2-Richtlinien finden keine Anwendung, sofern andere sektorspezifische Richtlinien strenger sind als die NIS-2-Richtlinien.
Da die NIS-2-Richtlinien nicht alle Sicherheitsanwendungen für den Finanzsektor abdecken, kommt der DORA (Digital Operational Resilience Act) ins Spiel, um die Sicherheitsanforderungen unter den EU-Mitgliedern zu verbessern und zu harmonisieren. Daher werden die Richtlinien auch in Bezug auf den Finanzsektor in Betracht gezogen.
Der Digital Operational Resilience Act – DORA
Der erste Entwurf von DORA wurde im September 2020 im Rahmen des Digital Finance Package (DFP) von der Europäischen Kommission veröffentlicht. DORA trat dann im Jahr 2023 in Kraft und verpflichtet die Unternehmen, ab Januar 2025 die Vorschriften einzuhalten und die Richtlinien für das Risikomanagement, die Prüfung der Widerstandsfähigkeit und die Sicherheit von Drittanbietern zu befolgen. Damit werden die Finanzunternehmen verpflichtet, ihre Lieferanten vollständig zu kontrollieren, um die gesamte Lieferkette zu sichern.
Auch wenn die DORA-Vorschriften für europäische Unternehmen bestimmt sind, müssen also alle internationalen Lieferanten, die mit der EU zusammenarbeiten, die Vorschriften ebenfalls einhalten.
Die wichtigsten Maßnahmen:
DORA stützt sich auf 5 wesentliche Säulen, um die Cybersicherheit des Finanzsektors zu gewährleisten:
> IKT-Risikomanagement: DORA macht die Verwaltungseinheiten der Finanzinstitute für das Management von Cyberrisiken verantwortlich: Kontrolle und Überwachung ihrer IKT-Systeme.
> Meldung von Vorfällen: Zusätzlich zum Risikomanagement sind die Geschäftsleitungen der Institute verpflichtet, die Behörden über größere IKT-bezogene Vorfälle zu informieren. In dieser Säule von DORA wird das Verfahren zur Unterrichtung der Europäischen Aufsichtsbehörden (ESA) im Falle eines Vorfalls erläutert.
> Prüfung der digitalen Widerstandsfähigkeit: Die Finanzinstitute sind verpflichtet, ihre Fähigkeit zur Gefahrenabwehr zu bewerten, indem sie mindestens einmal im Jahr eine externe, unabhängige Partei zur Prüfung hinzuziehen.
> Informationsaustausch: Beitrag zur Sensibilisierung der Finanzinstitute und zur Verbreitung der besten Präventions- und Wiederherstellungspraktiken.
> IKT-Risikomanagement für Dritte: Angesichts der Zunahme von Angriffen auf die Lieferkette konzentrieren sich die DORA-Richtlinien auf das Risikomanagement für Dritte. Sie verlangen spezifische Klauseln in Verträgen über Zugang und Datensicherheit sowie das Recht auf Prüfung und Inspektion. Ein aktuelles Register dieser Verträge muss geführt werden
Das NIST Cybersecurity Framework 2.0 (NCF 2.0)
Das National Institute of Standards and Technology (NIST) legt weltweite Standards fest, die in der Branche höchste Anerkennung finden. Cyber-Versicherungsunternehmen stützen sich darauf, um ihre Richtlinien und Anforderungen zu definieren. Das irische National Cyber Security Center (NCSC) verwendet die NIST-Standards als Grundlage für die Aufstellung seiner Cyber-Vorschriften für den öffentlichen Sektor.
NIST hat im August 2023 einen Entwurf des NCF 2.0 veröffentlicht, der erhebliche Änderungen an den Versionen 1.0 und 1.1 vorsieht. Ähnlich wie bei der DORA-Verordnung wurde der Geltungsbereich auf alle Organisationen jeder Größe und für alle geografischen Standorte ausgeweitet. Darüber hinaus wurde den 5 bestehenden Säulen (Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen) eine weitere Säule hinzugefügt, nämlich Steuern.
Die 6 Säulen des NCF 2.0
cyberelements kann Sie bei der Einhaltung des NCF 2.0 unterstützen:
> Kontinuierliche Überwachung und Analyse unerwünschter Ereignisse:
Mit der Sitzungsüberwachung und der Echtzeit-Analysefunktion der cyberelements-Plattform können Sie Sicherheitseinstellungen vornehmen, auf deren Grundlage jede verdächtige Aktivität erkannt und automatisch gestoppt wird.
> Widerstandsfähigkeit der Technologieinfrastruktur – PR.IR-02: Die Netzwerke und Umgebungen des Unternehmens sind vor unbefugtem logischen Zugriff und unbefugter Nutzung geschützt:
Eine richtlinienbasierte Zugangskontrolle, unterstützt durch Multi-Faktor-Authentifizierung und Just-in-Time-Zugriff, stellt sicher, dass der richtige Nutzer Zugriff auf die benötigten Ressourcen erhält und unnötige Zugriffe vermieden werden.
> Plattformsicherheit – PR.PS-01: Es finden Praktiken des Konfigurationsmanagements Anwendung (geringste Rechte und geringste Funktionalität):
Die cyberelements-Plattform basiert auf einer doppelten Barriere-Architektur ohne ständigen Fluss zum Netzwerk, flüchtigen Tunneln und bedarfsgesteuerter Portöffnung. Im Rahmen dieses Zero-Trust-Ansatzes werden dem Nutzer die geringstmöglichen Rechte einräumt.
– PS-04: Für Cybersecurity-Ereignisse werden Protokolldateien erstellt und für die kontinuierliche Überwachung zur Verfügung gestellt. – PR.PS-08: Die Sicherheitspraktiken der Lieferkette sind integriert, und ihre Leistung während des gesamten Lebenszyklus der Technologieprodukte und -dienste wird überwacht:
Die wichtigsten Funktionen entsprechend dieser Regel sind die Sitzungsaufzeichnung in Videoformat und die granularen Protokolle, die durchsucht und zur weiteren Verwendung gespeichert werden können.
> Identitätsmanagement, Authentifizierung und Zugangskontrolle: Der Zugang auf physische und logische Ressourcen ist auf autorisierte Nutzer, Prozesse und Geräte beschränkt und wird entsprechend dem bewerteten Risiko eines unbefugten Zugriffs verwaltet:
cyberelements deckt diese Kategorie des NCF 2.0 durch die Verwendung einer Reihe von Funktionen des Identitäts- und Zugriffsmanagements ab. Mit seiner Politik identitätsbasierter Zugriffsrichtlinien, Single-Sign-On und dem Passwort-Tresor ermöglicht cyberelements es Unternehmen, Anmeldeinformationen mit modernsten Technologien zu sichern.
> Risikomanagement der Lieferketten: Die Risiken der Lieferketten des Unternehmens werden identifiziert, bewertet und in Übereinstimmung mit den Prioritäten, Beschränkungen, Risikotoleranzen und Prognosen des Unternehmens verwaltet:
cyberelements sichert als Zero-Trust-PAM-Lösung den Zugriff von Dritten, egal ob aus der Ferne oder vor Ort. Sie können Dritten einen temporären Zugang zu einer streng überwachten Sitzung gewähren. Dank der Passwort-Rotations-Technologie und der automatischen Einspeisung werden Ihre Anmeldedaten nicht an Ihre Service-Provider weitergegeben.
cyberelements ist die Sicherheitsplattform für Business Performance. Sie wurde entwickelt, um Ihre Sicherheitsbedürfnisse zu decken, ohne Kompromisse bei der Benutzererfahrung einzugehen. Cyber-Compliance sollte keine lästige Pflicht sein, sondern die Unternehmensleistung fördern, wobei die Sicherheit mit einer besseren Benutzererfahrung einhergeht und die Mitarbeiter dazu ermutigt werden, die entsprechenden Sicherheitsmaßnahmen anzuwenden.