en sv fr
Kontakt
Close Menu
PH_wp_[EN]_Blog listing - banner
News & Insights Verpassen Sie keine Entwicklungen, Tipps oder Insights rund um Qualitätssicherung mit unserem Blog.
Zum Blog
en sv fr
Unsere Dienstleistungen
icon-software_testing

Softwaretests
icon-test_automation Testautomatisierung icon-performance_testing Perfomance-Tests icon-ai_testing KI-Tests icon-sap_testing Testen von SAP-Systemen
icon-qa_methodology

QS-Methoden
icon-agile Agile Arbeitsmethoden icon-continuous_integration CI/CD icon-risk_based_testing Risikobasiertes Testen icon-embedded_testing Testen von eingebetteten Systemen
icon-management

QS-Management
icon-strategy Teststrategie icon-additional_services Testmanagement
icon-cybersecurity

Cybersecurity
icon-security_governance Governance icon-security_compliance Compliance icon-security_architecture Sicherheitsarchitektur icon-penetration_testing Penetrationstests icon-software_testing Schwachstellenscan icon-operational_security Operative Cybersicherheit
icon-systems

System- und Anlagentests
icon-additional_services

Weitere Dienstleistungen
icon-security_compliance Anforderungsanalyse icon-development Softwareprogrammierung icon-ux_design UX Design icon-training-1 QS-Schulungen
Über uns
Karriere
icon-culture

Lernen sie uns kennen
icon-personal_development

Wir bringen sie voran
icon-profile

Teil der Gemeinschaft
icon-job_board

Offene Stellen
Info-Hub
icon-news

News & Insights
icon-blog

Blog
Kontakt

NIS2 Bereitschaft – Vom Bewusstsein zum Handeln

Die Richtlinie über die Netz- und Informationssicherheit 2 (NIS2), die am 27.12.2022 als EU-Richtlinie beschlossen und bis Oktober 2024 in nationales Recht umgesetzt werden musste, stellt einen bedeutenden Wandel im Cybersicherheitskonzept der Europäischen Union dar. Aufbauend auf der ursprünglichen NIS-Richtlinie führt NIS2 strengere Sicherheitsmaßnahmen, kürzere Fristen für die Meldung von Vorfällen und einen stärkeren Fokus auf die Sicherheit der Lieferkette ein. Organisationen, die die Anforderungen nicht erfüllen, können nun mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Umsatzes belegt werden, je nachdem, welcher Betrag höher ist.

 

Eine kürzlich von SANS durchgeführte Umfrage bietet wertvolle Einblicke, wie sich Organisationen auf NIS2 vorbereiten und welche Herausforderungen sie zu bewältigen haben. Die Umfrage sammelte Antworten von rund 500 Fachleuten, darunter Sicherheitsadministratoren, Analysten, CSOs und CTOs. Sie deckt ein breites Spektrum europäischer Perspektiven ab und enthält zusätzliche Beiträge aus Nordamerika und Asien, was die globale Relevanz von NIS2 für Organisationen unterstreicht, die in der EU tätig sind oder Dienstleistungen erbringen.

 

Das Bedrohungsumfeld verstehen

Die Umfrage zeigt, dass fast die Hälfte der Befragten (47%) die aktuelle Bedrohungslage als „hoch“ einschätzt, während 37% sie als „ernst“ oder „kritisch“ bezeichnen. Dies verdeutlicht die zunehmende Besorgnis der Organisationen über die sich verändernde Bedrohungslandschaft. Trotz dieser Herausforderungen herrscht jedoch auch Optimismus hinsichtlich der Rolle von NIS2 bei der Verbesserung der Cybersicherheit. Immerhin 60 % der Befragten sehen in der Richtlinie einen positiven und notwendigen Schritt zur Verbesserung der Sicherheit kritischer Infrastrukturen und digitaler Dienste.

 

Fortschritte und Herausforderungen bei der Implementierung

Die Umsetzung der Anforderungen von NIS2 ist keine leichte Aufgabe. Laut der Umfrage haben 35% der Organisationen bereits mit dem Prozess begonnen, während weitere 50% aktiv an der Einhaltung arbeiten. Der Weg dorthin ist jedoch nicht frei von Hindernissen: Fast die Hälfte der Organisationen nennt fehlende Ressourcen als große Herausforderung, 37% kämpfen mit unzureichenden Budgets, um die notwendigen Sicherheitsmaßnahmen zu unterstützen. Darüber hinaus berichten 32% von Schwierigkeiten aufgrund mangelnder interner Expertise, was wiederum den klaren Bedarf an spezialisierter Ausbildung und Expertise unterstreicht.

 

Branchenspezifischer Fokus

Bestimmte Branchen gelten als besonders anfällig für Cyber-Bedrohungen. Die Umfrage identifizierte den Energiesektor, das Gesundheitswesen und die öffentliche Verwaltung als die drei Sektoren, die am ehesten von schwerwiegenden Cyber-Vorfällen betroffen sein könnten, wobei der Energiesektor mit 52% an erster Stelle steht. Dies unterstreicht die entscheidende Bedeutung des Schutzes wichtiger Dienste, deren Unterbrechung weitreichende soziale und wirtschaftliche Folgen haben könnte.

 

Reaktion auf Zwischenfälle und Berichterstattung

Ein zentrales Element der NIS2-Richtlinie ist die Betonung einer schnellen und effektiven Reaktion auf Sicherheitsvorfälle. Der Umfrage zufolge verfügen 70% der Organisationen über formale Reaktionspläne, die für die rechtzeitige Erkennung und Behebung von Cybervorfällen von entscheidender Bedeutung sind. Etwa 30% der Organisationen verfügen jedoch nicht über ein strukturiertes Berichtswesen, was die Einhaltung der strengen 24-Stunden-Meldepflicht gemäß NIS2 erschweren könnte. Positiv zu vermerken ist, dass 26% der bekannten Vorfälle innerhalb von 6 bis 24 Stunden nach ihrer Entdeckung eingedämmt werden, auch wenn die vollständige Behebung häufig 2 bis 7 Tage in Anspruch nimmt. Dies deutet darauf hin, dass die erste Reaktion schnell erfolgt, das gesamte Vorfallmanagement jedoch noch verbesserungsfähig ist.

 

Bereitschaftsunterschiede zwischen IT und ICS/OT

Die Umfrage zeigt eine bemerkenswerte Diskrepanz in der Bereitschaft zwischen IT-Systemen und industriellen Kontrollsystemen (ICS) bzw. Betriebstechnologien (OT). Während 75% der Organisationen jährliche Sicherheitsbewertungen für ihre IT-Systeme durchführen, tun dies nur 38% für ihre ICS/OT-Umgebungen. Diese Lücke ist für Betreiber kritischer Infrastrukturen besonders besorgniserregend, da sie die Notwendigkeit häufiger und maßgeschneiderter Bewertungen für den Schutz industrieller Prozesse unterstreicht.

 

Die Rolle von Ausbildung und Sensibilisierung

Eine der praktischsten Maßnahmen zur Einhaltung der NIS2-Norm, die von 26% der Befragten genannt wurde, ist die Verbesserung des grundlegenden Cyber-Bewusstseins und der Mitarbeiterschulung. Regelmäßige Schulungsprogramme können das Risiko von Social-Engineering-Angriffen wie Phishing, das nach wie vor ein beliebter Bedrohungsvektor ist, erheblich verringern. Investitionen in umfassende Sensibilisierungsinitiativen sind entscheidend für den Aufbau einer widerstandsfähigeren Organisationskultur.

 

Wichtige Empfehlungen zur Erfüllung der Anforderungen

Um die Komplexität von NIS2 zu bewältigen, sollten Unternehmen einige wichtige Maßnahmen priorisieren. Die Stärkung der Sicherheit der Lieferkette ist von entscheidender Bedeutung, da dies nach wie vor das Hauptanliegen ist und von 25% der Befragten als der herausforderndste Aspekt der Richtlinie genannt wird. Dies beinhaltet die Implementierung intensiverer Lieferantenprüfungsprozesse, regelmäßige Audits und die Sicherstellung, dass Cybersicherheitsanforderungen in Lieferverträge integriert werden.

Organisationen werden auch ermutigt, dedizierte Incident Response Teams einzurichten, um ihre Fähigkeit zu verbessern, effektiv mit Sicherheitsvorfällen umzugehen. Dies kann besonders wertvoll sein, um Reaktionszeiten zu verkürzen und die Auswirkungen von Vorfällen auf IT- und ICS/OT-Umgebungen zu minimieren. Darüber hinaus können ausreichende Ressourcen und höhere Budgets für Cybersicherheit die Einführung fortschrittlicher Instrumente wie SIEM-Systeme (Security Information and Event Management) und XDR-Lösungen (Extended Detection and Response) unterstützen.

 

Ein Blick in die Zukunft - Vom Bewusstsein zum Handeln

Da die erste Frist für die Einhaltung von NIS2 am 18. Oktober 2024 abgelaufen ist und in naher Zukunft mit der Verabschiedung länderspezifischer Gesetze zu rechnen ist, müssen Organisationen unbedingt sicherstellen, dass sie die Anforderungen der Richtlinie erfüllen. Dies beinhaltet die Ausrichtung des Managements auf die Ziele der Richtlinie, die Sicherstellung der notwendigen Ressourcen und die Sensibilisierung aller Beteiligten für die Konsequenzen einer Nichteinhaltung. Auf diese Weise erfüllen Organisationen nicht nur ihre rechtlichen Verpflichtungen, sondern stärken auch ihre gesamte Cybersicherheitsstrategie und werden widerstandsfähiger gegenüber modernen Bedrohungen.

 

Zum vollständigen Bericht: NIS2 Directive Readiness: Compliance, Challenges, and Recommendations

Shahin Imanverdiyev

Shahin bringt seine Leidenschaft für Cybersicherheit in eine Vielzahl von spannenden Projekten ein. Gemeinsam mit seinen Kunden entwickelt er praktische und maßgeschneiderte Sicherheitslösungen – sei es vor Ort oder aus der Ferne. Er legt großen Wert darauf, sein Wissen zu teilen und Herausforderungen im Team erfolgreich zu meistern. Immer gespannt auf neue Entwicklungen bleibt er am Puls der Branche und geht jede Aufgabe mit Begeisterung und frischen Ideen an.

Bleiben Sie informiert! Verpassen Sie keine News und Updates mehr.

Holen Sie sich exklusive Insights, Tipps und Know-how rund um Qualitätssicherung direkt in Ihr Postfach.

Diesen Artikel teilen

Jetzt Newsletter abonnieren
Firmenzentrale

QESTIT

20 rue d’Athènes
75009 Paris, France

QESTIT AG

Thurgauerstrasse 54
8050 Zurich, Switzerland

Alle unsere Standorte im Überblick
Folgen Sie uns auf Social-Media:
linkedin linkedin instagram instagram youtube youtube
Unsere Dienstleistungen
Softwaretests QS-Methoden QS-Management Cybersecurity System- und Anlagentests Weitere QS-Dienstleistungen
Über uns
Mehr zu QESTIT Karriere Offene Stellen Kontakt
Info-Hub
News & Insights Blog
Copyright© 2024 Qestit
Datenschutz Impressum