NIS2 verstehen, Sicherheit gewinnen mit ESET : Europäische Union macht Cyber-Security nun zur Chefsache
– Advertorial –
Die EU macht Ernst: Am 17. Oktober 2024 ist Schluss mit laxen IT-Security-Vorkehrungen und Larifari-Schutz. Ab diesem Zeitpunkt wird die deutsche Umsetzung der NIS2-Richtlinie („Netzwerk- und Informationssicherheit 2“) zur Sicherheit von Netz- und Informationssystemen voraussichtlich in Kraft treten. Grundlage dafür ist die seit Mitte Januar 2023 geltende europäische Richtlinie, welche die Sicherheit von IT-Infrastrukturen in neue Resilienz-Bahnen lenken soll.
Vor dem Hintergrund der fortschreitenden Digitalisierung und der sich verschärfenden Bedrohungslage hat die Europäische Kommission die Mindeststandards für technische und organisatorische Maßnahmen zum Schutz vor Cyberbedrohungen angepasst. Gleichzeitig erweitert sie den Kreis der Organisationen, die als schützenswerte Einrichtung unter NIS2 fallen. Waren bisher rund 3.000 Unternehmen und Kritische Infrastrukturen in Deutschland betroffen, so schätzen Experten die Zahl auf bis zu 40.000. Besonders gefordert: Geschäftsführer und Vorstände, die zur Umsetzung verpflichtet sind und persönlich haften.
Unternehmen kennen NIS2 zu selten
In einer aktuellen Umfrage von ESET gaben mehr als die Hälfte der befragten deutschen Unternehmen an, dass sie NIS2 gar nicht oder nur den Begriff an sich kennen. Die deutsche Unternehmenslandschaft, insbesondere der Mittelstand, ist also auf die kommenden Herausforderungen durch die Richtlinie schlecht vorbereitet. Gut die Hälfte aller Entscheider in Organisationen mit mehr als 50 Mitarbeitern, die NIS2-relevant sein könnten, wissen gar nicht, welche Anforderungen auf sie zukommen. Auch zwei von drei Vorständen oder Geschäftsführern fehlt das Wissen, obwohl sie in der kommenden Richtlinie ein wichtiges Element sind und persönliche Haftungsrisiken im Schadensfall tragen. Bei IT-Entscheidern sieht es nicht besser aus: Jeder Vierte kennt die Richtlinie nicht. Weitere 13 Prozent haben zwar davon gehört, kennen aber die Inhalte nicht.
Entscheider müssen sich beeilen
Wer von NIS2 betroffen ist, hat alle Hände voll zu tun. Die Richtlinie verlangt unter anderem Maßnahmen zur Risikoanalyse, zum Umgang mit Sicherheitsvorfällen, zur Aufrechterhaltung des Geschäftsbetriebs nach einem Cyberangriff, zur Sicherheit der Lieferkette und zur Schulung in IT-Sicherheit. Viele Unternehmen haben in der Vergangenheit beim Thema Sicherheit eher gespart und könnten nun in Zeit- und Geldnot geraten. Fällige Neuanschaffungen oder Updates lassen sich nicht von heute auf morgen realisieren. Entscheider sollten sich rechtzeitig mit IT-Dienstleistern in Verbindung setzen und explizit nach Lösungen fragen, die „NIS2-ready“ sind. Sicherheitsanbieter wie ESET bieten ein umfangreiches Portfolio, mit dem sich die Richtlinie sicher umsetzen lässt.
NIS2 durch die Hintertür
Die Sicherheit in der Lieferkette ist von zentraler Bedeutung und sollte dringend in die eigenen Überlegungen einbezogen werden. Wer selbst unter NIS2 fällt, muss Zulieferer darüber informieren und kann auch von ihnen die Einhaltung der Richtlinie einfordern. Umgekehrt gilt: Wer als Unternehmen von NIS2 unberührt bleibt, kann wegen der sogenannten Supply Chain dennoch verpflichtet sein, die Anforderungen zu erfüllen.
Geschäftsführung haftet persönlich
Insgesamt betont die NIS2-Richtlinie die Bedeutung der persönlichen Verantwortung des Managements für die IT-Sicherheit im Unternehmen. Konkret bedeutet dies, dass Geschäftsführung und Vorstand aktiv Maßnahmen zur IT-Sicherheit ergreifen und diese im Unternehmen überwachen müssen. Damit wird Cyber-Security zur Chefsache. Dazu gehört auch die eigene Aus- und Weiterbildung im Bereich Sicherheit. Bei Verstößen gegen die Cybersicherheitspflichten werden nicht nur Unternehmen, sondern auch die Verantwortlichen persönlich haftbar gemacht. Dies kann zu empfindlichen Bußgeldern und bei schwerwiegenden Verstößen auch zur Suspendierung durch die Aufsichtsbehörden führen.
ESET Aufklärungskampagne: Informieren und Branding nutzen
ESET hat eine umfassende Aufklärungskampagne unter dem Motto „Flicken reicht in der IT-Sicherheit nicht aus“ gestartet. Diese möchte Organisationen objektiv über NIS2 informieren und Ratschläge für die technische Umsetzung geben. Die dafür eingerichtete Landingpage www.eset.de/nis2 bietet Zugang zu einem umfangreichen Angebot an Ressourcen, darunter Whitepaper, Webinare und Podcasts. Hier können sich Interessierte über die wichtigsten Aspekte der NIS2-Richtlinie informieren und erfahren, wie sie ihre Unternehmen auf die neuen Anforderungen vorbereiten können.
Darüber hinaus bietet ESET weitere Möglichkeiten an:
- Wissensaustausch über unsere Kanäle Digital Security Guide, Corporate Blog oder WeLiveSecurity
- Interaktive Veranstaltungen wie Workshops
- Unterstützung bei der Einhaltung und Umsetzung von NIS2-Maßnahmen
- Informationen zu Sicherheitslösungen, die zur Einhaltung der Vorschriften beitragen
- ESET Spezialisten stehen zur Verfügung, um Fragen zu beantworten
ESET Business Portfolio ist „NIS2-ready“
ESET hat sein Produktportfolio kürzlich aktualisiert und ist bereits NIS2-ready. Es bildet die ideale Grundlage, um Kunden maßgeschneiderte Lösungen anzubieten. Besonders im Fokus steht dabei das Angebot im Bereich Managed Detection and Response (MDR). Dabei übernimmt ESET für KMU rund um die Uhr Systemüberwachung, Bedrohungserkennung und -verfolgung, Vorfallreaktion sowie erweiterte Erkennungs- und Reaktionsfunktionen. Alle ESET MDR-Kunden sind mit dem ESET eigenen Security Information and Event Management (SIEM) Tool verbunden, sodass Bedrohungen erkannt und mit vordefinierten Reaktionsmaßnahmen gestoppt werden können. Gefahren werden innerhalb von 20 Minuten erkannt und ermöglichen eine schnelle, optimale Reaktion. Dazu nutzt ESET eigene innovative Cybersicherheitstechnologien und Telemetriedaten, die das Unternehmen weltweit sammelt und auswertet.
Mit dem Service ESET MDR sowie den Bundles ESET PROTECT MDR (für SMB) und ESET PROTECT MDR Ultimate (für Enterprise) stehen gleich drei Varianten je nach Budget und Einsatzzweck parat:
- ESET MDR übernimmt für KMU rund um die Uhr Systemüberwachung, Bedrohungserkennung und -verfolgung, Vorfallreaktion sowie erweiterte Erkennungs- und Reaktionsfunktionen. Dabei handelt es sich um einen KI-basierten Dienst, der das Netzwerk überwacht und prüft.
- ESET PROTECT MDR ist ein umfassendes Cybersicherheitspaket, das rund um die Uhr und an 365 Tagen im Jahr kleine und mittlere Unternehmen vor digitalen Gefahren schützt. Dazu gehören Sicherheitslösungen für Endgeräte, E-Mail und Cloud-Anwendungen, Schwachstellenerkennung und Patching sowie Managed Threat Monitoring, Hunting und Response. So kann man den Anforderungen von Cyberversicherungspolicen nachkommen und Konformität zu Sicherheitsgesetzen wie NIS2 gewährleisten.
- Für Großunternehmen bietet ESET PROTECT MDR Ultimate kontinuierlichen proaktiven Schutz und verbesserte Sichtbarkeit in Verbindung mit maßgeschneiderter Bedrohungsjagd und digitaler Forensik. Dieser umfassende Service wurde entwickelt, um überlastete SOC-Teams zu unterstützen und ihnen rund um die Uhr Zugang zu erstklassiger Cybersicherheitsexpertise zu bieten. Es stellt sicher, dass Organisationen allen bekannten und neu aufkommenden Bedrohungen immer einen Schritt voraus sind.