Wir haben leicht verständliche Vorschläge mit Schritt-für-Schritt-Anweisungen und den damit verbundenen Kosten für die Einhaltung der Richtlinie (EU) 2022/2555 NIS2 vorbereitet.
Die Richtlinie (EU) 2022/2555, auch NIS2-Richtlinie genannt, ist ein Rechtsrahmen zur Stärkung und Harmonisierung der Cybersicherheit in der Europäischen Union (EU). Die Richtlinie verpflichtet Unternehmen wie das Ihre, spezifische Maßnahmen zum Schutz ihrer Informationssysteme, Dienste und Daten zu ergreifen. Dieser umfassende Leitfaden enthält leicht verständliche Vorschläge und schrittweise Anleitungen zur Einhaltung der NIS2-Richtlinie und zu den Kosten, die mit jeder sinnvollen Änderung verbunden sind, die Sie an Ihren Prozessen und Technologien vornehmen würden.
Denken Sie daran, dass die Umstrukturierung Ihrer gesamten IT Zeit braucht. Eines der wichtigsten Dinge, die man wissen muss, ist, dass das Projekt zwischen sechs und zwölf Monaten dauern kann. Sechs trifft nur dann auf Sie zu, wenn Ihre IT-Abteilung über die personellen und technischen Ressourcen verfügt, um sechs Monate lang jeden Tag zwei Stunden zusätzlich für Cybersicherheit aufzuwenden.
Realistischer ist es, mindestens ein Jahr mühsamer Arbeit einzuplanen, wenn nicht mehr.
Als Beispiel für die Komplexität, mit der Sie es zu tun haben könnten, finden Sie hier ein Diagramm der Cybersicherheitsarchitektur, das von Robert Campbell von Assured Control entwickelt wurde und in dem alle Elemente, die Teil der Verteidigungsbereitschaft Ihres Unternehmens sein müssen, um die Richtlinie vollständig zu erfüllen, klar dargestellt sind:
Als Erstes sollten Sie damit beginnen, die strategische Führung Ihres Unternehmens im Bereich der Cybersicherheit zu verbessern.
Stärkung der organisatorischen Cybersicherheit
Schritt 1: Einstellen eines Cybersicherheitskoordinators oder -teams
Benennen Sie eine Person oder ein Team, das für die Entwicklung, Umsetzung und Pflege der Cybersicherheitsstrategien und -richtlinien der Organisation verantwortlich ist. Dies kann ein externes Team sein, z. B. ein virtueller CISO, oder Sie können mindestens einen Vollzeitmitarbeiter als CISO einstellen und den Rest des Sicherheitsteams beschäftigen. Je nach Größe Ihres Unternehmens benötigen Sie etwa einen Mitarbeiter für Cybersicherheit pro 100-150 Vollzeitbeschäftigte, um über angemessene Verteidigungsressourcen zu verfügen. Dies hängt stark von Ihrer Branche und der Bedrohungslage ab.
Kosten: Abhängig von den Gehalts- und Ausbildungskosten des benannten Koordinators oder der Teammitglieder. Das Durchschnittsgehalt eines CISO in der EU liegt bei 70 000 bis 200 000 € pro Jahr. Die Kosten für einen Cybersicherheitsingenieur könnten höher sein, wenn er über spezielle Fähigkeiten verfügt, wie Reverse Engineering oder digitale Forensik. Das kann man auf die Kosten eines ganzen Teams hochrechnen. Ein Beispiel: Ein Unternehmen mit 5 000 Mitarbeitern könnte ein Team von mehr als 10 Sicherheitsexperten für das SOC-Team, mehr als 2 Experten für das Incident-Response-Team, einige Sicherheitsexperten für die Verwaltung anderer Sicherheitsprodukte und -lösungen sowie einen CISO benötigen. Hinzu kommen die Kosten für die Einstellung (der Preis für einen Personalvermittlungsdienst).
Schritt 2: Entwicklung eines umfassenden Cybersicherheitsplans
Erstellen Sie einen Plan, der Folgendes umfasst:
- Zugangskontrolle
- Prüfung und Rechenschaftspflicht
- Sensibilisierung und Schulung
- Konfigurationsmanagement
- Planung für Notfälle
- Identifizierung und Authentifizierung
- Reaktion auf Vorfälle
- Medienschutz
- Personelle Sicherheit
- Physikalischer Schutz und Umweltschutz
- Planung
- Programm-Management
- Risikobewertung und Risikomanagement
- Sicherheitsbewertung und Autorisierung
- System- und Kommunikationsintegrität
- System- und Informationsintegrität
- Beschaffung von Systemen und Dienstleistungen
Ein umfassender Cybersicherheitsplan würde aus mindestens 18 Kategorien von Cybersicherheitskontrollen gemäß NIST 800-53 oder ISO 27001 bestehen.
Ihr Cybersicherheitsplan sollte auch Schritt-für-Schritt-Anweisungen für die Umsetzung jeder oben aufgeführten Sicherheitskontrollkategorie enthalten. Das Dokument kann bei einem großen Unternehmen Hunderte von Seiten umfassen und bei einem kleinen Unternehmen mit 10-50 Mitarbeitern mindestens 25-50 Seiten.
Kosten: Zeit und Ressourcen, die für die Entwicklung, Dokumentation und Pflege des Plans benötigt werden.
Die Erstellung eines solchen Plans kann nicht ohne ein vorheriges umfassendes Informationssicherheitsaudit erfolgen , das je nach Komplexität Ihrer IT-Infrastruktur, der Mitarbeiterzahl Ihres Unternehmens und der Bedrohungslage in Ihrer Branche zwei Wochen bis einen Monat dauert. Ein Cybersicherheitsplan für ein Kernkraftwerk unterscheidet sich von einem Plan für ein kleines Startup mit 10 Mitarbeitern.
Identifizierung und Bewertung von Risiken
Schritt 1: Durchführung einer Risikoanalyse
Identifizierung von Vermögenswerten, Bedrohungen und Schwachstellen, die sich auf die Informationssysteme und -dienste der Organisation auswirken könnten. Denken Sie daran, dass die Identifizierung dieser Risiken und Schwachstellen ein wöchentlicher Prozess ist. Wenn Ihr Team es versäumt, eine neue Schwachstelle in Ihren nach außen gerichteten Systemen zu erkennen, könnte dies zu einer katastrophalen Sicherheitsverletzung führen. Bei der Einhaltung der NIS2-Richtlinie (EU) 2022/2555 geht es darum, Ihre Sicherheit in der Praxis zu erhöhen, nicht nur um die Einhaltung der Verordnung.
Kosten: Der Zeit- und Ressourcenaufwand für die Risikoanalyse kann je nach Größe und Komplexität des Unternehmens variieren. Hinzu kommen die Kosten für ein System zur Verwaltung von Schwachstellen, vor allem, wenn es in der Lage ist, Ihre anfälligen Systemkomponenten proaktiv zu patchen, anstatt nur deren Schwachstellen zu identifizieren.
Schritt 2: Durchführen einer Risikobewertung
Bestimmen Sie die Wahrscheinlichkeit und die Auswirkungen der verschiedenen Bedrohungen und berechnen Sie das Gesamtrisiko für das Unternehmen.
Kosten: Zeit und Ressourcen, die für den Prozess der Risikobewertung erforderlich sind und die je nach Größe und Komplexität des Unternehmens variieren können.
Schritt 3: Entwicklung von Strategien für das Risikomanagement
Erstellung von Plänen und Maßnahmen zur Risikominderung, -vermeidung oder -begrenzung unter Berücksichtigung der Kosten und des Nutzens dieser Maßnahmen. Beziehen Sie immer die wichtigsten Interessengruppen in den Entscheidungsprozess ein, denn sonst könnte es passieren, dass Sie etwas einführen, das sich negativ auf eine einzelne Abteilung oder das gesamte Unternehmen auswirkt.
Kosten: Zeit und Ressourcen, die für die Strategieentwicklung, -umsetzung und -pflege erforderlich sind und die je nach Größe und Komplexität der Organisation variieren können.
Durchführung von technischen Sicherheitsmaßnahmen
Schritt 1: Daten verschlüsseln
Verwenden Sie robuste Verschlüsselungsalgorithmen, um gespeicherte und übertragene Daten zu schützen. Denken Sie daran: Verschlüsselung erfordert eine angemessene Schlüssel- und Zugangsverwaltung. Außerdem muss sie benutzerfreundlich sein, denn wenn sie kompliziert zu bedienen ist, werden die Benutzer die Verfahren nicht befolgen und die Verschlüsselungsanforderung umgehen.
Kosten: Softwarelizenzgebühren für Verschlüsselungslösungen und mögliche Hardware-Upgrades zur Unterstützung der Verschlüsselung. Auch die Schulung der Mitarbeiter und Fehler in der Anfangsphase sind Teil der Kosten.
Schritt 2: Identifizierung und Zugangskontrolle verwalten
Entwicklung von Richtlinien und Verfahren für die Zugangskontrolle, um sicherzustellen, dass nur autorisierte Benutzer Zugang zu Informationssystemen und Ressourcen haben. Das Identitäts- und Zugriffsmanagement ist keine leichte Aufgabe. Sie benötigen möglicherweise kontinuierliche Verbesserungen in Ihrer gesamten IT, um eine gute Verteidigungsposition zu erreichen.
Kosten: Softwarelizenzgebühren für Identitäts- und Zugriffsmanagementlösungen und der Zeit- und Ressourcenaufwand für die Entwicklung und Pflege von Richtlinien und Verfahren.
Schritt 3: Implementieren eines Viren- und Malwareschutzes
Verwenden Sie aktuelle Antiviren- und Anti-Malware-Software, um Informationssysteme vor bösartiger Software und anderen Bedrohungen zu schützen.
Kosten: Softwarelizenzgebühren für Antiviren- und Anti-Malware-Lösungen und mögliche Hardware-Upgrades zur Unterstützung dieser Lösungen.
Schritt 4: Regelmäßige Updates und Patches für Sicherheitslücken
Stellen Sie sicher, dass Software und Betriebssysteme aktualisiert werden, um Schwachstellen zu vermeiden, die Hacker und andere böswillige Akteure ausnutzen könnten.
Kosten: Zeit und Ressourcen, die für regelmäßige Updates und Patches erforderlich sind, sowie mögliche Softwarelizenzgebühren und Hardware-Upgrades.
Entwicklung von Verfahren für das Management von Zwischenfällen
Man könnte meinen, dass es hier nur um die Entwicklung einer Reihe von Dokumenten für die digitale Forensik und die Reaktion auf Vorfälle geht, aber es ist viel mehr als das. Wir würden sagen, es geht darum, in Ihrem Unternehmen eine Fähigkeit zur Reaktion auf Zwischenfälle zu schaffen, die für ein Dokument so wichtig ist wie zehn Jahre Kampfsporttraining für eine Kampfsportbroschüre.
Schritt 1: Erstellen eines Notfallplans
Festlegung von Zuständigkeiten und Verfahren für Maßnahmen bei Cybersicherheitsvorfällen, einschließlich Identifizierung, Klassifizierung, Aufzeichnung und Meldung von Vorfällen.
Kosten: Zeit und Ressourcen, die für die Entwicklung, Dokumentation und Pflege des Notfallplans benötigt werden.
Schritt 2: Schulung des Personals
Schulung und Anleitung des Personals zu Verfahren für das Management von Zwischenfällen und Schaffung einer Sicherheitskultur, die die Bedeutung der Cybersicherheit betont.
Kosten: Zeit und Ressourcen, die für die Schulung des Personals und die Entwicklung und Pflege von Schulungsmaterialien erforderlich sind.
Schritt 3: Testen und üben Sie den Notfallmanagementplan
Führen Sie regelmäßig Tests und Übungen durch, um sicherzustellen, dass die Organisation auf Cybersecurity-Vorfälle vorbereitet ist.
Kosten: Zeit und Ressourcen, die für die Durchführung von Tests und Übungen erforderlich sind, sowie potenzielle Kosten für die Beauftragung externer Berater oder Experten zur Unterstützung des Prozesses.
Zusammenarbeit und Informationsaustausch
Schritt 1: Zusammenarbeit mit nationalen Cybersicherheitsbehörden und anderen relevanten Institutionen
Austausch von Informationen über Bedrohungen, Schwachstellen und Vorfälle mit nationalen Cybersicherheitsbehörden und einschlägigen Einrichtungen.
Kosten: Die Zeit und die Ressourcen, die erforderlich sind, um Beziehungen zu diesen Einrichtungen aufzubauen und zu pflegen und Informationen auszutauschen.
Schritt 2: Teilnahme an Brancheninitiativen zum Informationsaustausch und zur Zusammenarbeit
Treten Sie einschlägigen Foren, Verbänden und Gruppen zum Informationsaustausch bei.
Kosten: Mitgliedsbeiträge für Branchenverbände und Foren sowie Zeit und Ressourcen, die für die aktive Teilnahme an diesen Initiativen erforderlich sind.
Schritt 3: Übernahme internationaler Standards und bewährter Verfahren
Befolgen Sie die Empfehlungen von Organisationen wie ISO, NIST und ENISA.
Kosten: Zeit und Ressourcen, die für die Erforschung, Übernahme und Umsetzung internationaler Standards und bewährter Verfahren erforderlich sind, sowie mögliche Gebühren für die Erlangung von Zertifizierungen oder Bewertungen durch externe Prüfer.
Überwachung und Berichterstattung
Schritt 1: Überwachung der Cybersicherheitslandschaft
Bleiben Sie auf dem Laufenden über neue Bedrohungen, Schwachstellen, Trends in der Cybersicherheit und regulatorische Entwicklungen.
Kosten: Zeit, Ressourcen, die für die laufende Überwachung und Analyse benötigt werden, und mögliche Abonnementgebühren für Bedrohungsdaten-Dienste oder -Tools.
Schritt 2: Regelmäßige Sicherheitsprüfungen durchführen
Durchführung regelmäßiger interner und externer Sicherheitsprüfungen, um die Wirksamkeit der durchgeführten Maßnahmen zu bewerten und verbesserungswürdige Bereiche zu ermitteln.
Kosten: Zeit und Ressourcen, die für die Durchführung von Prüfungen erforderlich sind, sowie mögliche Kosten für die Beauftragung externer Prüfer oder Berater zur Unterstützung des Prozesses.
Schritt 3: Meldung von Vorfällen und Einhaltung der Vorschriften an die zuständigen Behörden
Einhaltung der in der NIS2-Richtlinie festgelegten Berichterstattungspflichten, einschließlich regelmäßiger Aktualisierungen des Cybersicherheitsstatus der Organisation und Meldung wichtiger Vorfälle an die zuständigen Behörden.
Kosten: Zeit und Ressourcen, die für die Erstellung und Einreichung von Berichten erforderlich sind, sowie mögliche Anwaltskosten und Strafen bei Nichteinhaltung.
Verbesserung von Governance und Management der Cybersicherheit
Schritt 1: Schaffung eines Rahmens für die Cybersicherheits-Governance
Schaffung eines Governance-Rahmens, der die Rollen, Verantwortlichkeiten und Entscheidungsprozesse in Bezug auf die Cybersicherheit innerhalb der Organisation festlegt.
Kosten: Zeit und Ressourcen, die für die Entwicklung und Pflege des Governance-Rahmens benötigt werden, sowie mögliche Beratungskosten für externe Unterstützung.
Schritt 2: Überwachung und Messung der Wirksamkeit von Cybersicherheitsmaßnahmen
Implementierung von wichtigen Leistungsindikatoren (Key Performance Indicators, KPIs) und anderen Metriken, um die Wirksamkeit von Cybersicherheitsrichtlinien, -verfahren und -kontrollen zu verfolgen.
Kosten: Zeit und Ressourcen, die für die Entwicklung und Pflege der KPIs und Metriken erforderlich sind, sowie mögliche Kosten für Software-Tools oder Plattformen für die Überwachung und Berichterstattung.
Schritt 3: Implementierung eines kontinuierlichen Verbesserungsprozesses
Einrichtung eines Verfahrens zur regelmäßigen Überprüfung und Aktualisierung der Cybersicherheitsstrategien und -maßnahmen der Organisation auf der Grundlage der Ergebnisse der Überwachungs- und Messmaßnahmen.
Kosten: Zeit und Ressourcen, die für die Durchführung von Überprüfungen, die Umsetzung von Aktualisierungen und die Aufrechterhaltung des kontinuierlichen Verbesserungsprozesses erforderlich sind.
Bewusstseinsbildung und Schulung des Personals
Schritt 1: Entwicklung eines umfassenden Programms zur Sensibilisierung für Sicherheitsfragen
Erstellen Sie ein Programm zur Förderung des Sicherheitsbewusstseins, das die Mitarbeiter über ihre Rolle beim Schutz der Informationssysteme und -dienste des Unternehmens sowie über die möglichen Risiken und Folgen von Cybersicherheitsvorfällen aufklärt.
Kosten: Zeit und Ressourcen, die für die Entwicklung und Aufrechterhaltung des Sensibilisierungsprogramms erforderlich sind, sowie mögliche Kosten für die Erstellung von Schulungsmaterialien oder die Einstellung externer Ausbilder.
Schritt 2: Anpassung der Schulung an spezifische Rollen und Verantwortlichkeiten
Rollenspezifische Cybersicherheitsschulungen für Mitarbeiter je nach ihren Aufgaben und ihrem Zugang zu sensiblen Informationen anbieten.
Kosten: Zeit und Ressourcen, die für die Entwicklung und Pflege rollenspezifischer Schulungsmaterialien erforderlich sind, sowie mögliche Kosten für externe Ausbilder oder Schulungsplattformen.
Schritt 3: Führen Sie regelmäßig Phishing- und Social-Engineering-Tests durch
Führen Sie Tests durch, um zu prüfen, ob die Mitarbeiter in der Lage sind, Phishing- und Social-Engineering-Angriffe zu erkennen und darauf zu reagieren, da dies gängige Taktiken von Cyberkriminellen sind, um sich unerlaubt Zugang zu Informationssystemen zu verschaffen.
Kosten: Zeit und Ressourcen, die für die Durchführung von Tests und die Analyse der Ergebnisse erforderlich sind, sowie potenzielle Kosten für die Beauftragung externer Berater oder die Nutzung von Testplattformen.
Implementierung von erweiterten Sicherheitsmaßnahmen
Schritt 1: Einführung der Multi-Faktor-Authentifizierung (MFA)
Implementieren Sie MFA, um die Sicherheit der Benutzerauthentifizierungsprozesse zu erhöhen und das Risiko eines unbefugten Zugriffs zu verringern.
Kosten: Softwarelizenzgebühren für MFA-Lösungen sowie mögliche Hardware-Upgrades oder zusätzliche Kosten für die Bereitstellung von MFA-kompatiblen Geräten.
Schritt 2: Netzwerksegmentierung und Sicherheitszonen einrichten
Unterteilen Sie das Unternehmensnetzwerk in separate Sicherheitszonen und isolieren Sie sensible Systeme und Daten von potenziellen Bedrohungen.
Kosten: Zeit und Ressourcen, die für die Umgestaltung des Netzes erforderlich sind, sowie mögliche Kosten für zusätzliche Netzausrüstung, Software oder Beratungsdienste.
Schritt 3: Implementierung von Systemen zur Erkennung und Verhinderung von Eindringlingen (IDPS)
Setzen Sie IDPS-Lösungen ein, um den Netzwerkverkehr zu überwachen, potenzielle Bedrohungen zu erkennen und Einbrüche in Echtzeit zu verhindern.
Kosten: Softwarelizenzgebühren für IDPS-Lösungen und mögliche Hardware-Upgrades zur Unterstützung dieser Lösungen.
Schritt 4: Einsatz von SIEM-Systemen (Security Information and Event Management)
Der Einsatz von SIEM-Systemen zum Sammeln, Analysieren und Korrelieren von Sicherheitsereignissen und -warnungen aus verschiedenen Quellen erleichtert die zentralisierte und effektive Erkennung von und Reaktion auf Vorfälle.
Kosten: Softwarelizenzgebühren für SIEM-Lösungen und mögliche Hardware-Upgrades zur Unterstützung dieser Systeme.
Schritt 5: Einführung eines Zero-Trust-Sicherheitsmodells
Implementierung eines Zero-Trust-Sicherheitsmodells, das davon ausgeht, dass alle Benutzer, Geräte und der Netzwerkverkehr standardmäßig nicht vertrauenswürdig sind, und das eine kontinuierliche Überprüfung und Validierung der Zugriffsberechtigungen und Identitäten erfordert.
Kosten: Zeit und Ressourcen, die für die Entwicklung und Implementierung einer Zero-Trust-Architektur erforderlich sind, sowie mögliche Kosten für zusätzliche Hardware, Software oder Beratungsdienste.
Entwicklung von Plänen zur Reaktion auf Zwischenfälle und zur Aufrechterhaltung des Geschäftsbetriebs
Schritt 1: Entwicklung eines umfassenden Reaktionsplans für Zwischenfälle
Erstellen Sie einen Plan für die Reaktion auf einen Vorfall, der die während eines Cybersecurity-Vorfalls zu ergreifenden Schritte beschreibt, einschließlich Rollen und Verantwortlichkeiten, Kommunikationsprotokolle und Verfahren zur Eindämmung, Ausmerzung und Wiederherstellung.
Kosten: Zeit und Ressourcen, die für die Entwicklung und Pflege des Notfallplans erforderlich sind, sowie mögliche Ausgaben für externe Unterstützung oder Schulungen.
Schritt 2: Regelmäßige Übungen zur Reaktion auf Zwischenfälle durchführen
Führen Sie regelmäßig Übungen durch, um die Wirksamkeit des Notfallplans zu testen und sicherzustellen, dass alle Beteiligten mit ihren Aufgaben und Verantwortlichkeiten im Falle eines Vorfalls vertraut sind.
Kosten: Zeit und Ressourcen, die für die Planung, Durchführung und Analyse der Ergebnisse von Übungen erforderlich sind, sowie potenzielle Kosten für die Beauftragung externer Berater oder die Nutzung von Simulationsplattformen.
Schritt 3: Erstellung eines Plans für Geschäftskontinuität und Notfallwiederherstellung
Entwickeln Sie einen Plan, der die Schritte zur Wiederherstellung kritischer Geschäftsfunktionen und -dienste während eines Cybersecurity-Vorfalls oder anderer Störereignisse enthält.
Kosten: Zeit und Ressourcen, die für die Entwicklung und Aufrechterhaltung des Geschäftskontinuitäts- und Notfallwiederherstellungsplans erforderlich sind, sowie mögliche Kosten für externe Unterstützung, Backup-Systeme oder redundante Infrastruktur.
Schritt 4: Testen und Aktualisieren des Plans zur Aufrechterhaltung des Geschäftsbetriebs und der Notfallwiederherstellung
Testen Sie regelmäßig die Wirksamkeit des Plans zur Aufrechterhaltung des Geschäftsbetriebs und der Notfallwiederherstellung und aktualisieren Sie ihn bei Bedarf, um Änderungen im Umfeld der Organisation oder potenziellen Bedrohungen Rechnung zu tragen.
Kosten: Zeit und Ressourcen, die für die Planung, Durchführung und Analyse der Testergebnisse erforderlich sind, sowie mögliche Kosten für die Beauftragung externer Berater oder die Nutzung von Simulationsplattformen.
Die Verbesserung der Verwaltung und des Managements der Cybersicherheit erfordert einen vielschichtigen Ansatz, der sich mit Politik, Sensibilisierung, fortschrittlichen Sicherheitsmaßnahmen und der Reaktion auf Zwischenfälle befasst. Auch wenn diese Schritte mit unterschiedlichen Kosten verbunden sind, ist die Investition in eine solide Cybersicherheitsstrategie unerlässlich, um das Vermögen und den Ruf des Unternehmens zu schützen und die Geschäftskontinuität angesichts der sich ständig weiterentwickelnden Cyberbedrohungen zu gewährleisten.
Die Einhaltung der Richtlinie (EU) 2022/2555 NIS2 ist für Organisationen, die in der Europäischen Union tätig sind, unerlässlich, um die Sicherheit und Widerstandsfähigkeit ihrer Informationssysteme, Dienste und Daten zu gewährleisten. Indem sie die in diesem umfassenden Leitfaden beschriebenen Schritte befolgen, können Organisationen robuste Cybersicherheitsmaßnahmen umsetzen und gleichzeitig die Richtlinie einhalten. Die mit den einzelnen Phasen verbundenen Kosten variieren je nach Größe und Komplexität des Unternehmens, aber Investitionen in die Cybersicherheit sind entscheidend für den Schutz wertvoller Vermögenswerte, die Verringerung potenzieller Schäden durch Zwischenfälle und die Aufrechterhaltung des Vertrauens bei Kunden, Partnern und Aufsichtsbehörden.
