Die Sicherheitsrichtlinien NIS2 und DORA der EU: Was Sie wissen müssen

Der Finanzsektor und der Sektor der wesentlichen Dienstleistungen waren im Jahr 2022 die Hauptziele für Ransomware.

Organisationen in diesen Branchen stehen unter enormem Druck. Sie müssen transformieren und digitalisieren, um die Effizienz zu steigern – und das schnell bei gleichzeitiger Aufrechterhaltung von Verfügbarkeit und Sicherheit.

Gleichzeitig haben es Ransomware-Akteure absichtlich auf Finanz- und Betreiber wesentlicher Dienstleistungen abgesehen. Sie wissen, dass sich diese Branchen keine Ausfallzeiten leisten können und im Gegenzug die größten Chancen auf die Auszahlung eines Lösegelds bieten.

Im letzten Jahr haben wir unzählige Cybersicherheitsvorfälle in den Bereichen Banken, Finanzdienstleistungen und wesentliche Dienstleistungen wie Energie, Wasser und Transport erlebt. Diese Angriffe haben enorme finanzielle Verluste verursacht und das Potenzial für enorme Schäden für die Wirtschaft, die zugrunde liegende Infrastruktur und die Sicherheit der Verbraucher verursacht.

Warum Finanzdienstleistungen und grundlegende Dienstleistungen Cyber-Resilienz benötigen

Jedes Jahr gibt es ein neues Business-Buzzword, das im Mittelpunkt steht.

Heurig? Resilienz. Und das aus gutem Grund.

In den letzten 12 Monaten hat sich die Art und Weise, wie Unternehmen mit Cyberrisiken umgehen, erheblich verändert. Cyberangriffe haben sich vom einfachen Diebstahl von Daten zu Auswirkungen auf die Geschäftsverfügbarkeit entwickelt. Bei durchschnittlichen Kosten einer Datenschutzverletzung von mittlerweile 4,35 Millionen US-Dollar reicht es nicht mehr aus, nur auf Angriffe zu reagieren, sondern darum, sie zu überleben.

Erfahren Sie, warum Resilienz derzeit die oberste Sicherheitspriorität des Bankensektors ist.

Das Problem wird durch das mangelnde Vertrauen der Führungskräfte in die Widerstandsfähigkeit ihres Unternehmens im Falle eines Angriffs noch verschärft. Laut einer aktuellen Studie der Enterprise Strategy Group sind nur 19 % der Führungskräfte der Meinung, dass ihr Unternehmen auf die Auswirkungen eines Cyberangriffs vorbereitet ist. Und mehr als die Hälfte glaubt, dass ein Angriff katastrophale Folgen für das Geschäft haben würde.

Erfahren Sie hier, wie Illumio Zero Trust Segmentation Cyber-Resilienz bietet.

Die Antwort der Europäischen Union auf die Cyberresilienz - NIS2 und DORA

Um die Resilienz und die Reaktionsfähigkeit bei Vorfällen in ganz Europa zu verbessern, hat die Europäische Union (EU) kürzlich Aktualisierungen der Richtlinie über Netz- und Informationssysteme (NIS) für wesentliche Dienste ( NIS2) verabschiedet, die voraussichtlich in den nächsten Jahren in Kraft treten wird.

Obwohl das Vereinigte Königreich nicht mehr Teil der EU ist, hat es die NIS-Richtlinie übernommen und bestätigt, dass es ebenfalls Aktualisierungen vornehmen wird. Die Aktualisierung wird die bestehende Richtlinie stärken, um sicherzustellen, dass grundlegende und digitale Dienste des Vereinigten Königreichs vor immer ausgefeilteren und häufigeren Cyberangriffen geschützt sind.

Darüber hinaus hat die EU den Digital Operational Resilience Act (DORA) erlassen, der sicherstellen soll, dass Banken und Finanzdienstleister Sicherheitsvorfällen standhalten, darauf reagieren und sich davon erholen können.

Nach der Veröffentlichung der Richtlinien erhalten Organisationen eine 24-monatige Umsetzungsfrist. Aber proaktive Veränderungen sind immer besser als reaktive Brandschutzübungen. Führungskräfte empfehlen, jetzt damit zu beginnen, um Compliance zu erreichen.

Was ist NIS2?

Das Hauptziel der neuen NIS2-Richtlinie besteht darin, den Wissensaustausch zu verbessern und die Reaktion grundlegender Dienste wie Energie, Verkehr, Banken und Gesundheitswesen nach Sicherheitsverletzungen zu stärken. Es handelt sich um eine Weiterentwicklung der ursprünglichen NIS-Richtlinie, die rechtliche Maßnahmen für die Sicherheit von Netzwerk- und Informationssystemen umriss.

Den Entwurf der NIS2-Richtlinie finden Sie hier.

Warum NIS2 für grundlegende Dienste wichtig ist

Ziel dieser Richtlinie ist es, die Resilienz und die Reaktionsfähigkeit bei Sicherheitsvorfällen sowohl des öffentlichen und des privaten Sektors als auch der EU als Ganzes zu verbessern.

Aber es ist auch ein Signal für einen breiteren Trend - die Akzeptanz, dass es zu Verstößen kommen wird. Die Richtlinie trägt nicht nur zum Schutz kritischer IT-Ressourcen bei, belastet aber auch die Anbieter wesentlicher Dienste mit einer neuen Herausforderung bei der Einhaltung von Vorschriften.

Was ist DORA?

Während NIS2 Bank- und Finanzdienstleistungsorganisationen als Teil seiner Richtlinie umfasst, ist DORA speziell für den Finanzsektor gedacht.

Die bevorstehende DORA-Richtlinie soll sicherstellen, dass Unternehmen Verstößen standhalten, darauf reagieren und sich davon erholen können. Der Bankensektor stützt die Weltwirtschaft, und ohne starke Cybersicherheitsmaßnahmen können Sicherheitsverletzungen schnell katastrophale Ausmaße annehmen. DORA verlangt von den Banken, ihre Cyber-Resilienz zu stärken, Kundendaten zu schützen und die Geschäftskontinuität angesichts einer Sicherheitsverletzung zu gewährleisten.

DORA, das Anfang 2023 in Kraft treten und bis 2025 anwendbar sein soll, wird die Finanzdienstleistungsbranche grundlegend verändern.

Hier geht es zur DORA-Direktive.

Warum DORA für Bank- und Finanzdienstleistungen wichtig ist

Seit vielen Jahren bemüht sich die Branche, Geschäfts- und Sicherheitsergebnisse miteinander zu verbinden. DORA verbessert nicht nur die Resilienz von Finanzorganisationen, sondern wird auch die Verbindung zwischen Sicherheitsfunktionen und betrieblicher Resilienz deutlicher machen.

Unternehmen, die in den Geltungsbereich fallen, müssen in der Lage sein, Risiken schnell zu managen und anzugehen. In Kapitel II, Abschnitt II von DORA heißt es sogar, dass Unternehmen ein angemessenes Risikomanagement-Framework entwickeln, um Sicherheitsrisiken schnell, effizient und umfassend anzugehen und ein hohes Maß an digitaler betrieblicher Resilienz zu gewährleisten.

Aber das ist keine leichte Aufgabe - und Unternehmen müssen jetzt damit beginnen, die Grundlagen zu legen, sonst riskieren sie, ins Hintertreffen zu geraten.

3 Möglichkeiten, wie Illumio Zero Trust Segmentation dazu beitragen kann, NIS2- und DORA-Compliance zu erreichen

Was sollten Unternehmen sofort tun, um Resilienz aufzubauen und NIS2- und DORA-konform zu sein? Beginnen Sie mit der Zero-Trust-Segmentierung (ZTS).

1. Verschaffen Sie sich einen Überblick über die Anwendungs- und Workload-Kommunikation

Als ersten Schritt ist es wichtig, eine Lückenanalyse durchzuführen, bei der die aktuellen Sicherheitsinitiativen und -risiken Ihres Unternehmens mit den NIS2- und DORA-Anforderungen verglichen werden.

Ein wichtiges Werkzeug in diesem Prozess ist das Application Dependency Mapping , das von der Illumio ZTS-Plattform angeboten wird. Verschaffen Sie sich einen schnellen, leicht verständlichen Einblick in den Anwendungs- und Workload-Traffic und die Kommunikation über die gesamte hybride Angriffsfläche. Sehen Sie sich beispielsweise an, welche Server mit geschäftskritischen Ressourcen kommunizieren oder welche Anwendungen offene Verbindungen zum Internet haben, um böswilligen Akteuren einfachen Zugriff auf das Netzwerk Ihres Unternehmens zu ermöglichen.

Diese Transparenz ermöglicht es Ihrem Sicherheitsteam, seine Arbeit im Hinblick auf die NIS2- und DORA-Compliance zu priorisieren. Sie können sehen, wo das Unternehmen bereits konform ist und wo bessere Sicherheitskontrollen eingerichtet werden müssen.

2. Legen Sie eine flexible, granulare Segmentierungsrichtlinie fest

Nachdem Sie Einblick in Ihr hybrides Netzwerk erhalten haben, können Sie Prioritäten für die Festlegung fundierter Sicherheitsrichtlinien setzen, die Ihre Cyber-Resilienz erhöhen und Ihnen helfen, NIS2- und DORA-Compliance zu erreichen.

Mit Illumio ZTS können Sie automatisch flexible, granulare Segmentierungsrichtlinien festlegen, die die Kommunikation zwischen Workloads und Geräten steuern. Dies erlaubt nur das, was notwendig und gewollt ist. Sie können z. B. die Kommunikation zwischen Server und Anwendung, von der Entwicklung bis zur Produktion oder von der IT zur OT einschränken.

Die Festlegung von Segmentierungsrichtlinien ist ein wichtiger Schritt zum Aufbau einer Zero-Trust-Architektur - einem Sicherheitsmodell, das in den NIS2- und DORA-Direktiven implizit enthalten ist.

3. Proaktive Isolierung von Assets oder reaktive Eindämmung der Ausbreitung von Sicherheitsverletzungen

Die Segmentierung Ihres Netzwerks mit Illumio ZTS bietet sowohl proaktive als auch reaktive Sicherheit gegen unvermeidliche Sicherheitsverletzungen und erreicht damit das Kernziel der Angriffsresilienz aus den NIS2- und DORA-Direktiven.

Isolieren Sie proaktiv hochwertige Assets, um den Zugriff auf das zu beschränken, was kritisch und notwendig ist. Das bedeutet, dass Sie sicher sein können, dass sich Ransomware oder andere Sicherheitsverletzungen nicht auf diese Assets ausbreiten, den Geschäftsbetrieb stoppen und katastrophale Schäden anrichten können.

Während eines aktiven Angriffs können Sie die Ausbreitung einer Sicherheitsverletzung reaktiv stoppen und sie innerhalb von Minuten auf einen kleinen Teil Ihres Netzwerks eindämmen. Tatsächlich ergab eine kürzlich durchgeführte Emulation eines Cyberangriffs von Bishop Fox , dass Illumio ZTS die Ausbreitung einer Sicherheitsverletzung in weniger als 10 Minuten stoppen kann. Das ist viermal schneller als Endpoint Detection and Response (EDR)-Lösungen allein.

• Lesen Sie mehr darüber , wie Illumio die NIS2-Anforderungen erfüllt.
• Laden Sie unser kostenloses E-Book herunter, Strategies for DORA Compliance: Key Role of Zero Trust Segmentation.