netz-und informations sicherheit

NETZ-UND
INFORMATIONS
SICHERHEIT
Auf dem neuesten Stand: Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security, NIS)
Die Europäische Union (EU) einigte sich kürzlich auf eine wichtige Rechtsprechung,
die die digitale Infrastruktur signifikant stärkt. Das Ergebnis ist die Richtlinie zur
Netzwerk- und Informationssicherheit, die NIS-Richtlinie. Da dies das erste Mal ist,
dass die EU Rechtsvorschriften zur Cybersicherheit erlässt, ist die NIS-Richtlinie
wegweisend. Ihr Ziel ist es, die Cybersicherheit und die Widerstandsfähigkeit über
alle 28 EU-Mitgliedsstaaten hinweg zu erhöhen. Der Zeitraum vom ersten Vorschlag
der Richtlinie im Jahr 2013 bis heute mag außergewöhnlich lang erscheinen. Doch er
unterstreicht lediglich, wie wichtig heutzutage das Vertrauen auf eine verlässliche,
ständig wachsende digitale Welt ist.
DieNIS-Richtlinie
wird
die
EUMitgliedsstaaten und Unternehmen stark
beeinflussen. Nachfolgend finden Sie
einige Inhalte der Richtlinie.
• Festlegung von Sicherheits- und
Benachrichtigungsanforderungen
für die Betreiber wichtiger Dienste
sowie die Anbieter digitaler Services
• Verpflichtung aller Mitgliedsstaaten
zur Ausarbeitung einer nationalen NISStrategie
sowie
zur
Ernennung
nationaler
zuständiger
Behörden,
einheitlicher Ansprechpartner und
spezieller Teams, die koordiniert auf
computerbezogene Sicherheitsvorfälle
reagieren (Computer Security Incident
Response Teams, CSIRT). Diese
beschäftigen sich mit der Sicherheit von
Netzwerken und Informationssystemen
• Gründung von
Kooperationsgruppen innerhalb der
Mitgliedsstaaten, die die strategische
Kooperation und den
Informationsaustausch unterstützen
• Aufbau eines CSIRT-Netzwerks
innerhalb der Mitgliedsstaaten zur
Förderung der kooperativen
Zusammenarbeit
Palo Alto Networks | NIS Directive
Warum ergreift die EU diese Maßnahmen?
Da das BIP, die Infrastruktur und die Sicherheit der EU immer stärker von der digitalen
Welt beeinflusst und Online-Bedrohungen immer komplexer werden, suchen europäische
Politiker nach einem Weg, die Cybersicherheit und Widerstandsfähigkeit gegen CyberAngriffe zu verbessern. In Anerkennung der Tatsache, dass zum Erreichen dieses Ziels
sowohl der öffentliche als auch der private Sektor beitragen müssen, liegt ein Schwerpunkt
der Richtlinie auf den Möglichkeiten und Verpflichtungen dieser beiden Gruppen.
Wen betrifft diese Richtlinie?
Die NIS-Richtlinie deckt zwei unterschiedliche Bereiche ab.
• Betreiber wichtiger Dienste. Hierbei handelt es sich um Anbieter, deren Dienste
essenziell für die Aufrechterhaltung wichtiger gesellschaftlicher und wirtschaftlicher
Abläufe sind. Diese Dienste sind auf die reibungslose Funktion von Netzwerk- und
Informationssystemen angewiesen, und ein Vorfall im System dieses Dienstes hätte
weitreichende Auswirkungen auf die Bereitstellung des Dienstes. In der Richtlinie
werden spezifische Sektoren und Teilsektoren aufgelistet. Die unten stehende Liste
bietet einen Überblick. Die Richtlinie verfügt über mehr Granularität. Außerdem muss
jeder Mitgliedsstaat im Rahmen der Implementierung der Richtlinie die Betreiber
wichtiger Dienste identifizieren, die sich in seinem Zuständigkeitsbereich befinden.
◦ Energiesektor, einschließlich der Teilsektoren Elektrizität, Öl und Gas
◦ Transportsektor, einschließlich der Teilsektoren Luft-, Schienen-,
Wasser- und Straßenverkehr
◦ Bankwesen
◦ Finanzmarktinfrastrukturen
◦ Gesundheitswesen
◦ Trinkwasserversorgung und -verteilung
◦ Digitale Infrastruktur1
Internet-Verteilerpunkte, Anbieter von DNS-Diensten und Top-Level-DomainNamensverzeichnissen
1
1
• Anbieter digitaler Services. Die Richtlinie beinhaltet drei
Service-Arten: Online-Marktplätze, Online-Suchmaschinen und
Cloud Computing-Dienste.
Die Auswirkungen auf Unternehmen:
Die NIS-Richtlinie beinhaltet Anforderungen an Sicherheitsund Vorfallbenachrichtigungen für betroffene Stellen. Die
spezifischen Anforderungen und Durchsetzungsmechanismen
jedoch sind für die Betreiber wichtiger Dienste und Anbieter
digitaler Services unterschiedlich.
• Sicherheitsanforderungen. Sowohl die Betreiber wichtiger
Dienste als auch die Anbieter digitaler Services müssen
angemessene
und
verhältnismäßige
technische
und
organisatorische Maßnahmen ergreifen, um den Risiken zu
begegnen,
die
die
Sicherheit
der
Netzwerke
und
Informationssysteme gefährden. Dies gilt nicht nur für den
Geschäftsbetrieb, sondern auch für die Bereitstellung der von der
Richtlinie betroffenen Dienste. Diese Maßnahmen müssen den
neuesten Stand der Technik beachten und eine Sicherheitsstufe
bieten, die dem angenommenen Risiko angemessen ist. Anbieter
digitaler Services werden angewiesen, auch Aktivitäten wie die
Sicherheit von Systemen und Einrichtungen, das VorfallManagement und das Business Continuity Management zu
berücksichtigen. Außerdem müssen spezielle Maßnahmen zur
Vermeidung und Minimierung von Vorfallauswirkungen ergriffen
werden.
• Anforderungen an die Vorfallmeldung. Sowohl die Betreiber
wichtiger Dienste sowie die Anbieter digitaler Services müssen
Sicherheitsvorfälle, die definierte Auswirkungen auf die Dienste
haben, ohne unangemessene Verzögerungen (genauere Zeiträume
werden vermutlich in Durchführungsrechtsakten festgelegt) an die
zuständigen Behörden oder CSIRTSs (Computer Security Incident
Response Teams) der Mitgliedsstaaten kommunizieren. Wenn ein
Betreiber seine Dienste mithilfe eines Anbieters für digitale
Services anbietet, ist der Betreiber für die Benachrichtigung
verantwortlich.
• Durchsetzung. Die zuständigen Behörden haben das Recht, diese
Bestimmungen durchzusetzen. Die Durchsetzung für Betreiber
wichtiger Dienste ist proaktiv: Behörden haben die Möglichkeit, die
Betreiber hinsichtlich der Compliance zu überprüfen. Außerdem
kann es erforderlich sein, dass Betreiber die nötigen Informationen
für
eine
Überprüfung
ihrer
Netzwerkund
Informationssystemsicherheit
bereitstellen.
Dies
schließt
dokumentierte Sicherheitsleitlinien ein. Außerdem sind Behörden
berechtigt, Nachweise für die tatsächliche Umsetzung dieser
Sicherheitsleitlinie zu verlangen. Dazu gehören auch die Ergebnisse
einer Sicherheitsprüfung, die von einer zuständigen Behörde oder
einem Drittanbieter durchgeführt wurde.Für die Anbieter digitaler
Services ist die Durchsetzung reaktiv: Erhalten die zuständigen
Behörden einen Nachweis darüber, dass der Anbieter die
Anforderungen der Richtlinie nicht erfüllt, können sie die
entsprechenden Maßnahmen einleiten. In diesen Fällen können die
Behörden vom Anbieter digitaler Services die Vorlegung von
Informationen verlangen, die der Bewertung der Systemsicherheit
dienen. Sofern nötig, wird der Anbieter aufgefordert, die Mängel zu
beseitigen. Obwohl noch keine Strafen festgelegt wurden, finden
sich in der Richtlinie Anweisungen an die Mitgliedsstaaten, Strafen
für Verstöße festzusetzen.
Empfehlungen für Unternehmen:
• Nachdem nun der Umfang der NIS-Richtlinie bekannt ist, sollten
sich Unternehmen überlegen, wie sie den neuesten Stand der
Technik erreichen können. Am Anfang dieses Prozesses steht eine
Bewertung Ihres aktuellen Sicherheitsstatus. Diese Bewertung kann
mit dem kostenfreien Tool „Security Lifecyle Review“ von Palo Alto
Networks durchgeführt werden.
sollten
die
Implementierung
der
•
Unternehmen
Mitgliedsstaaten verfolgen. Nachdem die Richtlinie im
offiziellen Amtsblatt der Europäischen Union veröffentlicht
wurde, haben die Mitgliedsstaaten 21 Monate Zeit für die
Durchführung der Implementierung.
Palo Alto Networks | NIS Directive
Um Kompetenzlücken zu beseitigen, sollten Unternehmen einen
Übergangsplan definieren, einen internen Konsens erzielen, die
Marktfähigkeit hinsichtlich der Planungsumsetzung validieren und nach der
Implementierung die Compliance überprüfen.
• Außerdem müssen Unternehmen zu einer Einschätzung in der Lage
sein, ob sie selbst, ihre Geschäftspartner und/oder Unternehmen in ihrer
Lieferkette von der Richtlinie betroffen sind. Diese Erkenntnis ist wichtig,
um die Auswirkungen auf die Kerngeschäftsprozesse absehen zu können.
• Gleichzeitig sollten Unternehmen auch die Entwicklungen bezüglich
der Datenschutz-Grundverordnung verfolgen. Diese wird in den
kommenden Monaten in Kraft treten. Obwohl die DatenschutzGrundverordnung eine separate Rechtsvorschrift ist, behandelt sie
ähnliche Themen wie die NIS-Richtlinie. Durch ihr Inkrafttreten werden
höchstwahrscheinlich weitere IT-Anforderungen festgelegt – es ist also
ratsam, sich über ihren Umfang und Zeitrahmen zu informieren.
Der aktuelle Status
Die NIS-Richtlinie erhielt Ende Dezember 2015 die Zustimmung
von politischen Entscheidungsträgern der EU. Nach der offiziellen
Veröffentlichung durch die EU wird die Richtlinie in Kraft treten.
Darauf folgen einige zusätzliche Schritte:
Prävention vs. veraltete Compliance:
„Der Bereich der Cybersicherheit entwickelt sich rasend schnell. Umso
größer ist jedoch die Gefahr, sich nur an die Sicherheitsmaßnahmen zu
halten, die auch in der Vergangenheit ausreichend waren. Doch Sie
sollten sich fragen, wann Sie zuletzt ein Sicherheitsverfahren geändert
oder Ihre Leistungsfähigkeit überprüft haben. Und auch, ob diese Dinge
noch auf dem neuesten Stand sind. Kurz gesagt: Wie messen Sie Ihren
Erfolg? Anhand welches Maßstabes erkennen Sie, wann die Zeit für
Veränderungen gekommen ist? In der dynamischen Welt der
Cybersicherheit bedeutet das Festhalten an alten Gewohnheiten, die in
der Vergangenheit ausreichend waren, dass man sich immer weiter von
den aktuellsten Standards entfernt.”
– Greg Day, VP und CSO, Palo Alto Networks
Präventionsplattform der neuesten Generation
Für den Umgang mit der modernen Cybersicherheit ist es wichtig zu
verstehen, dass die Prävention von Cyberbedrohungen möglich ist. Die
Vergangenheit lehrt uns, dass das Festhalten an alten Sicherheitspraktiken
immer dann ein Fehler ist, wenn bereits neue und effektivere Methoden
verfügbar sind. Das Feld der Cybersicherheit ist unglaublich dynamisch. Wir
können nicht einfach warten, bis Angreifer Schwachstellen ausnutzen, die
durch veraltete Sicherheitsmaßnahmen entstanden sind. Mit der richtigen,
fein abgestimmten Kombination aus Personen und Prozessen,
fortschrittlicher Technologie und Informationsaustausch ist es möglich, den
Entwicklungen
der
Cyber-Richtlinien
zu
entsprechen
und
Bedrohungsumgebungen entgegenzutreten.
1. Mithilfe der richtigen Prozesse werden Ihre besten Mitarbeiter noch
effizienter beim Risikomanagement. Stetiges Training minimiert zudem die
Wahrscheinlichkeit eines menschlichen Fehlers.
2. Fortschrittliche Technologie umfasst Ihr komplettes Netzwerk und
reagiert automatisch auf neue Bedrohungen
3. Dank des Austauschs von Informationen innerhalb unserer
Community können wir schneller auf Angriffe reagieren als diese
gestartet werden können. Dieser Netzwerkeffekt ist eine große
Unterstützung bei der Errichtung von Abwehrmechanismen.
Palo Alto Networks läutet eine neue Ära der modernen
Cybersicherheit ein, indem Tausende Netzwerke von Unternehmen,
Behörden und Dienstanbietern vor Cyberbedrohungen geschützt
werden. Dies trägt erheblich zum Schutz unseres digitalen Lebensstils
bei. Unsere Sicherheitsplattform vereint nativ automatisierte
Präventionsfunktionen und reduziert dadurch die Anzahl
kostenintensiver eigenständiger Produkte sowie die Notwendigkeit
manueller Reaktionen. Unter www.paloaltonetworks.comerfahren Sie
mehr
über
die
Implementierung
der
modernsten
Sicherheitsmaßnahmen.
2

Download Report