Leitfaden für KMU zu den NIS2-Bestimmungen zur Cybersicherheit in der EU
Die Cybersicherheit in der EU ist auf dem besten Weg, eine gesetzliche Vorschrift zu werden. Diese Woche hat Belgien einen Gesetzesentwurf vorgelegt, der die Anforderungen an die Cybersicherheit auf der Grundlage der NIS2-Richtlinie in ein Gesetz umwandelt. Wie der Sicherheitsgurt im Auto sind auch die Bemühungen um die Cybersicherheit auf dem besten Weg, zu einer obligatorischen Vorsichtsmaßnahme für große und kleine Unternehmen zu werden. In diesem Blog erklären wir, warum NIS2 für KMU wichtig ist.
1. Was ist NIS2 und warum ist es für KMU wichtig?
2. Der geschäftliche Grund für KMU, NIS2 zu nutzen
3. Wie können Sie die Anforderungen erfüllen?
1. Was ist NIS2 und warum ist es für KMU wichtig?
– NIS2 ist die Aktualisierung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS). Sie ist die erste EU-weite Gesetzgebung zur Cybersicherheit. NIS2 soll Unternehmen dazu bringen, ihre Informationssicherheit ab Oktober 2024 ernst zu nehmen, vorbehaltlich der Verabschiedung durch die nationalen Regierungen. Die Unternehmen müssen nachweisen, dass ihre IT und ihre Infrastruktur sicher und widerstandsfähig gegenüber Online-Bedrohungen sind. Der Geltungsbereich umfasst 30 Branchen, die „wesentlich“ und „wichtig“ sind, sowie die mittleren und großen Unternehmen innerhalb dieser Branchen.
– NIS2 ist für KMUs wichtig, denn obwohl es zunächst auf größere wesentliche und Schlüsselindustrien, Infrastruktur und größere Unternehmen abzielt, werden auch deren Lieferketten angeglichen werden. Das liegt daran, dass größere Unternehmen verpflichtet sind, die Cybersicherheit ihrer Zulieferer, einschließlich KMU, zu überwachen.
– Der Hauptnutzen für KMU, die sich auf die NIS2 konzentrieren, besteht darin, dass das Cyber-Risiko durch die Gewährleistung einer besseren Kontrolle der Cybersicherheit verringert wird. Insgesamt führen Verbesserungen bei der Sicherheit zu einer allgemeinen Qualitätssteigerung.
– Die Kosten für KMUs, um die Einhaltung der Vorschriften zu gewährleisten, basieren auf grundlegenden Richtlinien, Prozessen und einer Basis von kontinuierlicher Schwachstellenüberwachung und Sicherheitskontrollen.
– Die Kosten steigen mit dem Risiko, wenn Menschen, Technologie und Prozesse Lücken für Cyberkriminelle hinterlassen.
Im Einzelnen: Zu den zu berücksichtigenden Maßnahmen des EU NIS2 Cybersecurity-Risikomanagements gehören
– Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme;
– Umgang mit Vorfällen;
– Business Continuity, wie z.B. Backup-Management und Disaster Recovery, sowie Krisenmanagement;
– Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen jedem Unternehmen und seinen direkten Lieferanten oder Dienstleistern;
– Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen, einschließlich der Handhabung und Offenlegung von Schwachstellen;
– Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken;
– Grundlegende Praktiken der Cyber-Hygiene und Schulungen zur Cybersicherheit;
– Richtlinien und Verfahren für den Einsatz von Kryptographie und, wo anwendbar, Verschlüsselung;
– Personelle Sicherheit, Zugangskontrollpolitik und Vermögensverwaltung;
– Die Verwendung von Multi-Faktor-Authentifizierungs- oder kontinuierlichen Authentifizierungslösungen, sicherer Sprach-, Video- und Textkommunikation und sicheren Notfallkommunikationssystemen innerhalb des Unternehmens, falls zutreffend.
2. Der Business Case für NIS2 für KMU
Vorteile
– Der größte Vorteil von NIS2 ist ganz bewusst die Sicherheit – für den Ruf eines Unternehmens, seine Einnahmen und die Kontinuität seiner Ressourcen. Es wird sichergestellt, dass Unternehmen das Wesentliche getan haben, um jeden Tag für die Sicherheit von Menschen, IT und Prozessen zu sorgen. Unternehmen mit geringer Sicherheit laufen Gefahr, nach einem ernsthaften Cyberangriff nicht mehr existieren zu können.
– Die Einhaltung der Vorschriften wird den Zugang zu mehr Geschäften in der EU ermöglichen. Wenn Unternehmen ihre Lieferketten überprüfen, können KMU, die ihre Standards transparent machen, mit mehr Erfolg rechnen. (In Großbritannien war das Programm ‚Cyber Essentials‘ erfolgreich, weil alle Regierungsaufträge ausgeschrieben werden müssen).
– Die Einhaltung der Vorschriften wird für viele Unternehmen in Zukunft unerlässlich werden. Einige größere Unternehmen haben bereits damit begonnen, diese Anforderung in ihre Beschaffungspolitik aufzunehmen, indem sie von ihren Lieferanten den Nachweis einer grundlegenden Sicherheit verlangen (siehe Cyber Trust in Österreich).
– Markenbildung – wie oben erwähnt, sind die Cyber Fundamentals jetzt ein anerkanntes Abzeichen für die Online-Qualität und das Vertrauen von Unternehmen, die zeigen, dass sie ihre Cyber-Risiken unter Kontrolle haben.
– Darüber hinaus sehen IT-Prüfexperten, darunter Charde Janse van Vuuren von Schuiteman in den Niederlanden, Überschneidungen bei der Arbeit an den Standards NIS2 und ISA315.
Kosten
– Compliance-Risiko – eine fehlende Anpassung an die Lieferketten kann für Unternehmen ein Risiko darstellen, insbesondere für größere Unternehmen, die die NIS 2 einhalten müssen.
– Bußgelder – Unternehmen, die die Vorschriften einhalten müssen, dies aber nicht tun, müssen mit Geldbußen in Millionenhöhe rechnen. Im Moment sind das nicht die meisten KMU.
Möglichkeiten
-Überschneidungen
o Die Arbeit für ISA315 kann in einigen Fällen die NIS2-Anforderungen erfüllen
o Die Einhaltung der Cyber Fundamentals umfasst auch einige (nicht alle) Anforderungen
– Ein übersichtliches Dashboard von Lupasafe zeigt Ihnen, wo Sie die wichtigsten Anforderungen für NIS 2 erfüllen, einschließlich Netzwerksicherheit, Schwachstellen, Cyber-Hygiene und -Schulungen, Asset Management und Multi-Faktor-Authentifizierung.
– Eine gründliche Sicherheitsbewertung für das Unternehmen und sogar die Lieferkette mit dem EU-Projekt „CYSSME“ zur Cybersicherheit für KMU. Dieses Projekt nimmt derzeit Anträge auf Sicherheitsunterstützung von KMUs in der EU entgegen und stellt bis zu 20.000 € pro Unternehmen für die Cybersicherheit zur Verfügung. Siehe www.cyssme.eu.
3. Wie können Sie die Anforderungen erfüllen?
Das Dashboard von Lupasafe ist ein einfacher Weg, um mit Ihrer NIS2-Compliance zu beginnen. Es zeigt alle Ihre Schwachstellen in Bezug auf Mitarbeiter, IT und Prozesse an. Das bedeutet, dass Sie jeden Punkt in Ihrem Unternehmen, der gefährdet ist, schnell erkennen können, ob es sich um Mitarbeiter handelt, die von zu Hause aus arbeiten, Cloud-Software, die nicht aktualisiert wurde, kompromittierte Passwörter oder Phishing-Risiken.
Die EU-Länder führen derzeit spezifische Standards ein, an denen sie sich orientieren können.
Die Niederlande haben kürzlich diese NIS2-Checkliste eingeführt
Buchen Sie eine Demo von Lupasafe, um zu sehen, wie unser Dashboard NIS2 visualisiert und Ihnen bei der Verwaltung von NIS2 hilft – für Sie, Ihre Kunden und Lieferketten.
Vermeiden Sie Geldstrafen wie 1/3 der großen Unternehmen, die noch nicht bereit dafür sind
Anhang
Ergänzendes Material zur Unterstützung der Implementierung von NIS2-Kontrollen
- NIS2-Richtlinie Ursprüngliche EU-Richtlinie zu NIS 2
- Schnellstart-Anleitung: NIST Cybersecurity Framework für kleine Unternehmen
- Umgang mit Vorfällen https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
- Sicherheitskontrollen ISO/IEC 27002:2013 Verhaltenskodex für Informationssicherheitskontrollen
- Kryptographie-Politik https://iso-docs.com/products/isms-cryptographic-policy
- Leitlinien zur Geschäftskontinuität https://www.thebci.org/certification-training/good-practice-guidelines.html
- Risiken in der Lieferkette https://csrc.nist.gov/Projects/cyber-supply-chain-risk-management/publications
