Gesetzliche Vorschriften wie die DSGVO und seit kurzem die NIS2-Richtlinie sollen für mehr Datenschutz und Cybersicherheit in der Europäischen Union sorgen. NIS2 ist die bisher umfassendste Cybersicherheitsrichtlinie der EU und eine Aktualisierung der 2016 eingeführten Vorschriften. Sie soll strengere Anforderungen an das Risikomanagement und die Meldung von Cybersecurity-Vorfällen für ein breiteres Spektrum von Sektoren durchsetzen, wobei die Strafen bei Nichteinhaltung nun wesentlich härter ausfallen. Bis zum 17. Oktober 2024 soll NIS2 in nationales Recht umgesetzt werden. Da die typischen Compliance-Prozesse etwa 12 Monate dauern, ist keine Zeit zu verlieren.
NIS2 – Enorme Herausforderung für Unternehmen
Mit der zunehmenden Intelligenz und Leistungsfähigkeit von Technologien werden auch die Methoden der Angreifer immer ausgefeilter. NIS2 soll dafür sorgen, dass Unternehmen besser gegen die Flut an fortschrittlichen Cyberangriffen geschützt sind. Die strengen Anforderungen sind jedoch eine enorme Herausforderung, vor allem für die Sektoren und Organisationen, die bisher keine derart strengen Vorschriften einhalten mussten.
So sieht NIS2 beispielsweise sehr enge Fristen für die Meldung von Cybersicherheitsvorfällen vor. Organisationen sind verpflichtet, innerhalb von 24 Stunden eine Frühwarnung über einen Cybersicherheitsvorfall abzugeben und innerhalb von 72 Stunden eine ausführlichere Meldung zu machen. Diese muss eine erste Bewertung des Vorfalls mit Angaben zu Schweregrad, Auswirkungen und Indikatoren für eine Kompromittierung enthalten. Nach einem Monat ist ein Abschlussbericht vorzulegen, der sicherstellen muss, dass Lehren aus früheren Vorfällen gezogen werden können.
Diese Anforderungen unterstreichen, dass es nicht mehr ausreicht, wenn eine Organisation nur fähig ist nachzuweisen, dass sie bei Bedarf einem Audit unterzogen werden kann. Unternehmen müssen Sicherheitsvorfälle schnell und effektiv untersuchen und darauf reagieren können. Diese Fristen sind fast unmöglich einzuhalten, wenn Sicherheitsteams nicht über die richtigen Werkzeuge verfügen.
NIS2 wird Fachkräftemangel weiter verschärfen
Wenn Unternehmen mit neuen Sicherheits- und Compliance-Anforderungen konfrontiert werden, besteht ihre erste Reaktion allzu oft darin, das Problem mit mehr Personal zu lösen. Es ist zwar wichtig, dass die richtige Expertise im Unternehmen vorhanden ist, um eine Einhaltung der Vorschriften zu erreichen und aufrechtzuerhalten, aber mehr Personal ist keine langfristige oder nachhaltige Lösung, da es einfach nicht genügend Sicherheitsspezialisten gibt. NIS2 wird den Fachkräftemangel noch weiter verschärfen, da eine große Anzahl von Organisationen betroffen ist. Die Unternehmen, die es sich leisten können, große Sicherheitsteams einzustellen, werden sich alle auf dem Markt verfügbaren Fachkräfte sichern, bevor andere eine Chance dazu bekommen.
Die Komplexität von Multi-Cloud-Umgebungen und Cloud-Native-Delivery-Praktiken stellt eine weitere Herausforderung für die NIS2-Compliance dar, da sie die Art und Weise, wie Sicherheitsteams an die Cybersicherheit herangehen, dramatisch verändert hat. Die Softwareentwicklung erfolgt nun kontinuierlich, mit mehr Releases und kürzeren Testzyklen für Sicherheitsteams. Infolgedessen ist die Wahrscheinlichkeit größer, dass Teams Schwachstellen übersehen.
Intelligente Automatisierung
Um die Anforderungen von NIS2 zu erfüllen und ein robustes Schwachstellen- und Vorfallmanagement zu ermöglichen, müssen die Sicherheitsanalyse- und Berichterstattungsprozesse optimiert und automatisiert werden. Es ist unmöglich, die von NIS2 geforderte Detailliertheit und Genauigkeit bei Cybersecurity-Vorfällen innerhalb des vorgegebenen Zeitrahmens durch manuelle Ansätze zu erreichen. Unternehmen benötigen Echtzeitdaten über ihre Sicherheitslage und einen durchgängigen Einblick in ihre hybride Multi-Cloud-Umgebung.
Dies kann nur durch die Verbindung von Sicherheits- und Observability-Daten und die Automatisierung von Runtime-Schwachstellenanalysen erreicht werden, um Erkenntnisse über den Schweregrad und die Auswirkungen von Sicherheitsvorfällen zu gewinnen. Mit diesen Erkenntnissen können Teams sofort die Dringlichkeit von Schwachstellen einschätzen und feststellen, welche Systeme während eines Vorfalls betroffen waren – eine wichtige Voraussetzung für Frühwarnberichte. Außerdem erhalten sie Einblicke in die Priorisierung und Lösung von Problemen und können so schnell handeln. Um diese Informationen in dem kurzen Zeitrahmen zu sammeln, der für die Einhaltung von NIS2 erforderlich ist, müssen Sicherheitsteams jedoch den Prozess automatisieren, um diese Erkenntnisse zu gewinnen und sie in Berichten und Meldungen zu Sicherheitsvorfällen zusammenzufassen.
Über die Einhaltung von Vorschriften hinausgehen
Anstatt sich nur darauf zu konzentrieren, Probleme aufzuspüren und zu melden, sollten Unternehmen versuchen zu verhindern, dass diese Probleme überhaupt erst entstehen. Das bedeutet, dass die Sicherheit zu einer kritischen Komponente im Lebenszyklus der Softwareentwicklung wird. Viele Unternehmen würden behaupten, dass sie diesen Ansatz bereits umsetzen, aber die meisten tun dies manuell und ohne End-to-End-Transparenz, was die Effektivität einschränkt.
So müssen beispielsweise Security- und Entwicklungsteams zusammenarbeiten, um sicherzustellen, dass Software nicht bereits in frühen Entwicklungsphasen durch die Pipeline weitergeschickt wird, wenn nicht beide Teams davon überzeugt sind, dass sie sicher ist. Automatisierte Qualitäts- und Sicherheitskontrollen sind eine gute Möglichkeit, manuelle Arbeit in diesem Prozess zu vermeiden. Durch die Kombination dieser Funktionen mit Observability-Daten können Schwachstellen oder Fehler automatisch erkannt werden, so dass Entwickler sie beheben können, bevor der Code in die nächste Phase der Bereitstellung geht.
Die Frist für NIS2 rückt rasch näher, daher ist es für Unternehmen jetzt an der Zeit zu handeln und sicherzustellen, dass sie über die nötige Transparenz verfügen, um angemessen auf die Compliance-Anforderungen vorbereitet zu sein.
Von Ben Todd, RVP Security Solutions EMEA bei Dynatrace
