Neue Sicherheitsanforderungen der EU eröffnen spannende Möglichkeiten - Sie sind genauso wichtig wie die DSGVO.

Im Oktober 2024 wird die NIS-2 Richtlinie in Kraft treten. Ab diesem Zeitpunkt müssen Unternehmen der meisten großen Branchen mit mehr als 50 Beschäftigten und einem Umsatz von über 10 Millionen Euro eine Richtlinie umsetzen, die sie resilienter gegen digitale Bedrohungen machen soll. Anfang 2025 wird auch die DORA-Richtlinie in Kraft treten, die sich speziell an den Banken- und Finanzsektor sowie an IKT-Dienstleister richtet.

Monica Verma
Group Chief Information Security Officer

"In vielerlei Hinsicht sind DORA und NIS2 für die Cybersicherheit das, was die DSGVO für den Schutz personenbezogener Daten ist. Diese Vorschriften geben vor, was Unternehmen tun müssen, um Risiken zu verringern und zu vermeiden, dass sie Opfer von Cyberangriffen werden, sowie auch die Verfahren im Falle eines Angriffs, einschließlich der Benachrichtigung von Behörden", sagt Monica Verma.

Muss sich innerhalb von 24 Stunden melden.

Verma ist Chief Information Security Officer (CISO | Head of Security & Privacy) für Orange Business’ europäische Service-Organisationen. Sie ist seit über 20 Jahren im Bereich IT-Sicherheit tätig, insbesondere in Branchen, in denen die Anforderungen am strengsten sind und es die meisten Vorschriften gibt: im Banken- und Finanzwesen und im Gesundheitswesen. Sie weiß daher sehr genau, was zu tun ist, wenn neue Richtlinien eingeführt werden.

"NIS2 und DORA konzentrieren sich eindeutig auf die erforderlichen Sicherheitsmaßnahmen, das Risikomanagement und die Meldung von Sicherheitsverletzungen an die Behörden", sagt sie.

In Deutschland wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) für NIS2 zuständig sein, und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird eine wichtige Rolle im Zusammenhang mit DORA haben. Bei NIS2 muss die Meldung innerhalb von 24 Stunden nach Aufdeckung eines Verstoßes/Angriffs erfolgen. Für DORA sind die Meldepflichten noch nicht bekannt. Wenn der Angriff zu einem unbefugten Zugang zu sensiblen personenbezogenen Daten führt, gelten die Vorschriften der Datenschutz-Grundverordnung, und die Datenaufsichtsbehörde muss eingeschaltet werden.

"Die Geldbußen für die Nichteinhaltung von NIS2 werden ähnlich hoch sein wie bei der GDPR, nämlich bis zu zwei Prozent des weltweiten Umsatzes des Unternehmens. Für DORA ist dies noch nicht festgelegt worden", sagt Verma.

Die Verantwortung liegt bei der obersten Führungsebene.

Verma sagt, dass das Risikomanagement in der Verantwortung der obersten Führungsebene liegt. Dies ist etwas, das Banken und Finanzunternehmen bereits gut beherrschen. Mit NIS2 und DORA ist es nun noch wichtiger sicherzustellen, dass diese Verantwortung von der obersten Führungsebene des Unternehmens gut verstanden und umgesetzt wird.

"DORA und NIS2 verlangen von der obersten Leitung den Nachweis, dass Risiken gründlich behandelt werden. Man muss nachweisen können, dass genügend Zeit, Ressourcen und Notfallpläne bereitgestellt werden. Eine gründliche Durchführung dieser Aufgabe hilft mehr Menschen, die Risiken zu verstehen, denen sie ausgesetzt sind, und Sicherheitsmaßnahmen zu priorisieren", sagt sie.

Um diese Aufgabe zu bewältigen, sind auf Unternehmen mit kritischen Infrastrukturen zugeschnittene Rahmenwerke für das Risikomanagement erforderlich.

"Ich empfehle meinen Kunden, verschiedene Risikoszenarien zu identifizieren und zu bewerten, wie sich die Bedrohungen auf das Unternehmen auswirken", sagt sie.

Zusätzlich zu den geschäftlichen Konsequenzen wird die Bewertung der Bedrohungslandschaft zu einem äußerst wichtigen Bestandteil des Risikomanagements.

Wie stabil ist Ihre Bank?

Bei der Bewertung von Bedrohungen ist es wichtig zu berücksichtigen, woher die Bedrohungen kommen könnten. Wenn Sie zu einem großen Unternehmen oder einer öffentlichen Einrichtung gehören, könnte der Angriff von einem ausländischen Staat ausgehen. Ansonsten sind Unternehmen jeder Größe potenzielle Ziele für alles, von professionellen kriminellen Netzwerken, die ständig nach potenziellen Sicherheitslücken suchen, bis hin zu Jugendlichen, die es vielleicht nicht besser wissen - und die im Internet leicht Rezepte für digitale Angriffe finden.

Im Falle von DORA wird besonderer Wert auf die Resilienz von Banken und Finanzinstituten gegen digitale Angriffe gelegt. Hier kommt auch der TIBER-EU-Rahmen ins Spiel. Er wurde von der Europäischen Zentralbank entwickelt, um die Fähigkeit von Finanzinstituten zu testen, digitale Angriffe zu erkennen und zu entschärfen. Ebenso wichtig ist die Anforderung an diese Branche, relevante Bedrohungs- und Sicherheitsinformationen untereinander in Netzwerken auszutauschen.

"Es ist wichtig, Antworten darauf zu haben, wie sich die Bank schnell von einem Angriff erholen kann und welche Maßnahmen ergriffen werden, um sicherzustellen, dass die Infrastruktur mit allen Transaktionen nicht zusammenbricht. Sollte ein solches Ereignis eintreten, würden die Verluste in die Milliarden gehen. Deshalb verlangt die DORA, dass die Resilienz der Banken getestet wird", sagt sie.

Sie müssen die Kontrolle über Ihre gesamte Wertschöpfungskette haben.

Daher muss man auch besonders auf die Sicherheit seiner Lieferanten achten, wobei die Banken im Rahmen von DORA für die Sicherheit ihrer Lieferanten verantwortlich sind. Für Kriminelle ist es oft einfacher, über Lieferanten anzugreifen, die nicht über die gleichen strengen Sicherheitsmechanismen verfügen.

"Cyberkriminelle werden versuchen, sich über Dritte wie zum Beispiel Dienstleister in der Lieferkette Zugang zur Bank zu verschaffen. Damit diese Anbieter weiterhin Banken und Finanzinstitute beliefern können, müssen sie nachweisen, dass sie alle Regeln von DORA erfüllen. Das ist etwas, das wir bei Orange Business gerade implementieren", sagt Verma.

Sicherheit entwickelt sich daher zu einem bedeutenden Wettbewerbsvorteil bei Ausschreibungen, bei denen potenzielle Lieferanten ihre Verfahren und Mechanismen rund um die Sicherheit dokumentieren müssen, wenn sie an Organisationen liefern wollen, die DORA und NIS2 einhalten müssen.

Verma ist der Ansicht, dass die Voraussetzung für die Einhaltung der Vorschriften darin besteht, sich zunächst ein Bild von der eigenen Sicherheitssituation zu machen und eine Lückenanalyse im Vergleich zu den Anforderungen der Richtlinie durchzuführen.

Haben Sie den Plan schon fertig?

"Es ist wichtig, das Management einzubeziehen, damit es versteht, was auf sie zukommt. Sie müssen verstehen, dass die neuen Vorschriften eine sehr wirksame Versicherung gegen einige der schlimmsten Dinge sind, die dem Unternehmen passieren können.

Sobald die Analyse vorliegt, muss man sich darüber klar werden, dass man nicht alles auf einmal tun kann, und dass es darum geht, einen festen Aktionsplan zu haben. Was muss getan werden? Von wem? Welche Ressourcen brauchen Sie? Wer ist geeignet, Ihnen zu helfen? Wie hoch ist der Preis für das Projekt?

"Gehen Sie die Arbeit in Phasen an. Kümmern Sie sich zunächst um die größten oder am einfachsten zu behebenden Risiken. Denken Sie daran, dass Banken und andere Anbieter vom Vertrauen der Kunden leben. Bei DORA und NIS2 geht es darum, Sicherheit zu schaffen, und gute Sicherheit ist daher ein Wettbewerbsvorteil."

Sie betont, dass Orange Business sowohl Beratung anbietet, um den Kunden zu helfen, die strengen Vorschriften zu erfüllen, als auch die Dienstleistungen selbst, die die Anforderungen erfüllen, sobald sie implementiert sind.

"Für die meisten im Bank- und Finanzwesen wird DORA ein logischer nächster Schritt bei den Investitionen sein, um die Maturität und Robustheit des Finanzsektors zu erhöhen. Viele sind in diesen Bereichen bereits sehr gut ausgebildet und beherrschen das Risikomanagement, aber einige brauchen vielleicht Hilfe, um zu testen, wie robust und widerstandsfähig sie tatsächlich sind", schließt sie ab.

 

Mehr über Sovereign Cloud-Lösungen erfahren

 

Die Autorin:

Monica Verma
Group CISO
Kontakt