Mit einer Regelung, die CISOs und anderen Sicherheitsbeauftragten unter der Abkürzung NIS2 bekannt sein sollte, will das zuständige Gremium der Europäischen Union für mehr Sicherheit und Widerstandsfähigkeit digitaler Infrastrukturen im europäischen Raum sorgen. Welche Maßnahmen dafür ergriffen werden sollten, steht in diesem Beitrag.
Update: Danke an Bernadette Schichl, die mich freundlicherweise darauf hingewiesen hat, dass das entsprechende Gesetz vom Deutschen Bundestag bzw. Bundesrat wohl erst im Frühjahr 2025 verabschiedet wird. Was aber natürlich nicht bedeutet, mit der Umsetzung von erforderlichen NIS2-Maßnahmen noch allzu lange zu warten. Mehr dazu findest du übrigens auf folgender Seite.
Was für die DSGVO (Datenschutz-Grundverordnung) der 25. Mai 2018 war, kann man getrost in Sachen NIS2 (Network and Information Security Directive) auf den 18. Oktober 2024 übertragen. An diesem Tag tritt nämlich die Europäische Richtlinie Nummer 2022/2555 in Kraft. Von diesem Tag an müssen Unternehmen und Behörden die Sicherheitsmaßnahmen ihrer gesamten Infrastruktur deutlich verbessern. Das betrifft das eigene Rechenzentrum genauso wie die zum Einsatz kommende Cloud-Infrastruktur. Das gilt zumindest für den Teil, für den das Unternehmen selbst verantwortlich ist.
Doch wen genau betrifft NIS2 und welche Bereiche müssen besonders geschützt werden? Diese zwei Fragen beantworte ich mit diesem Post.
Wichtige und wesentliche Themen
Die NIS2-Direktive unterscheidet zwei Bereiche: Wichtige und wesentliche Themen. Zum Begriff „Wichtig“ zählen für eine Volkswirtschaft relevante Wirtschaftszweige. Das sind unter anderem die Industriebereiche Chemie, Lebensmittel, Abfallwirtschaft und Post. Zu den „wesentlichen“ Segmenten gehört alles, was für ein Land und deren Bewohner von essentieller Wichtigkeit ist. Dazu zählen Einrichtungen, die für die Energieerzeugung zuständig sind, aber auch das Gesundheitswesen und der Finanzsektor, die Verkehrsinfrastruktur und alles Digitale gehören dazu.
Abgesehen von einer strikten Einhaltung der NIS2-Regeln git für diese und weitere Bereiche, die zugehörige digitale Infrastruktur so widerstandsfähig wie möglich gegen potentielle Bedrohungen zu machen. Sollten betroffene Unternehmen die NIS2-Vorgaben nicht einhalten, drohen drastische Sanktionen. Im Falle der „wichtigen“ Unternehmen und Behörden ist die Rede von 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, wohingegen „wesentliche“ Firmen und Behörden mit einer Strafzahlung in Höhe von 10 Millionen Euro (oder 2 Prozent des weltweiten Jahresumsatzes) rechnen müssen.
Wichtige Maßnahmen für die Einhaltung der NIS2-Regeln
Die Liste an erforderlichen Maßnahmen zur Einhaltung der NIS2-Regeln ist lang und komplex. Daher folgt an dieser Stelle nur eine kurze Aufzählung, mehr dazu findest du auf der zugehörigen Cubbit-Seite oder im verlinkten eBook.
Die NIS2-Direktive sieht folgende Schwerpunkte vor:
- Cybersicherheitsrisiken müssen systematisch identifiziert und benannt werden können.
- Unternehmen und Behörden müssen ihre Lieferketten kontinuierlich auf mögliche Schwachstellen überprüfen und überwachen.
- Im Falle eines Sicherheitsvorfalls muss der Betrieb weitergeführt werden können. Hierfür sind die passenden Wiederherstellungspläne unabdingbar.
- Erfolgen Angriffe, müssen unmittelbar die richtigen Maßnahmen ergriffen werden können. Hierfür ist ein funktionierendes Vorfallmanagement erforderlich.
Mit einem geo-verteilten Cloud-Ansatz wesentliche NI2-Bedingungen erfüllen
Sieht man sich typische Cloud-Services an, fällt vor allem eins auf: Dort werden Daten und Anwendungen in einigen wenigen Rechenzentren vorgehalten. Geo-verteilte Ansätze wie die vom italienischen Cloud-Anbieter Cubbit beschreiten einen ganz anderen Weg: Cloud-Infrastrukturen setzen sich aus einer Vielzahl von Cloud-Rechnern zusammen, die sich im selben Land befinden, womit die zugehörigen Regularien eingehalten werden. Obendrein schützt Cubbit die Daten seiner Kunden mithilfe von speziellen Techniken. Dazu gehört das Fragmentieren der Daten genauso wie das Verschlüsseln der Knoten.
Cubbit DS3 15 Tage lang kostenlos testen
Falls du selbst einmal die geo-verteilte Cubbit-Cloud ausprobieren möchtest, kannst du das 15 Tage lang tun, und das völlig kostenfrei. Es lassen sich in diesem Zeitraum bis zu 1 Terabyte in der Cubbit-Cloud speichern, und einen E-Mail-Support gibt es obendrein.
Disclaimer: Für das Verfassen und Veröffentlichen dieses Blogbeitrags hat mich die Firma Cubbit beauftragt. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.