Willkommen zurück bei CSC Coffee Chats – einer Reihe von Interviews mit Experten von CSC Digital Brand Services, bei denen wir über Branchenthemen wie Cybersicherheit, Domains, Markenschutz und Betrugsbekämpfung sprechen.
Ich treffe mich mit unseren Fachexperten auf eine Tasse Kaffee und wir besprechen aktuelle Themen. Diesen Monat diskutierten Mark Flegg, Global Director of Security Services bei CSC, und ich die Richtlinie zur Netzwerk- und Informationssicherheit 2022 (NIS-2), die im Oktober 2024 in Kraft tritt. Mark Flegg entschied sich für koffeinfreien Lavazza-Kaffee mit Milch (andere Kaffeemarken erhältlich!), ich für einen kräftigen koffeinfreien Tee mit Milch und Zucker.
Holen auch Sie sich ein Getränk Ihrer Wahl und legen Sie eine kurze Pause ein, um unsere Diskussion zu lesen.
An einem sonnigen Donnerstagmorgen mache ich es mir mit einer Tasse Tee und meinem Headset auf meinem Stuhl bequem, um mich mit Mark Flegg zu unterhalten. Nach einer kurzen Diskussion darüber, wie „Lavazza“ richtig ausgesprochen wird, gehen wir unmittelbar zu unserem brandaktuellen Thema NIS-2 über. Ich bitte Mark um einen kurzen Überblick von 60 Sekunden.
„Kurz gesagt ist NIS-2 eine Richtlinie des Europäischen Parlaments, um die Cyberhygiene für die Mitgliedstaaten zu verbessern. Die einfachste Art, NIS-2 zu erklären, ist, dass sie die Datenschutzgrundverordnung (DSGVO) der IT ist“, erklärt er. Anschließend sehe ich mir die offizielle Zusammenfassung der NIS-2 an. Darin wird ein „hohes gemeinsames Maß an Cybersicherheit in der gesamten Union“ gefordert, das nationale Strategien für Cybersicherheit, die Einrichtung von Behörden für das Krisenmanagement, die Einführung von Maßnahmen für das Management von Cyberrisiken, eine klare Berichterstattung und Durchsetzungsmaßnahmen umfasst.
„Früher gab es ähnliche Richtlinien, wie z. B. : ‚Hallo Unternehmen, man sollte eine bessere Cyberhygiene haben‘, aber das waren eher Hinweise oder Empfehlungen. Bei NIS-2 geht es im Wesentlichen um eine Weiterentwicklung dieser Maßnahmen, die zu gesetzlichen Richtlinien wurden.“ Und dies geschah im Dezember 2022. Die EU-Mitgliedstaaten haben bis zum 17. Oktober dieses Jahres Zeit, um festzulegen, wie sie dies für ihre jeweiligen Regionen in ihre eigenen Gesetze aufnehmen werden.
Zunächst wird eine Auswahl von zehn Branchen von NIS-2 betroffen sein, nämlich solche, die das Europäische Parlament für das Funktionieren der Gesellschaft als wesentlich erachtet: wirtschaftliche Sicherheit, elektronische Kommunikation (E-Mail), Finanzen, Datenanbieter, Gesundheitswesen, Lebensmittel und Wasser, Recht und Sicherheit, Transport, Energie und Schutzdienste. „Auch wenn diese Liste relativ begrenzt erscheinen mag, deckt sie wirklich alle Personen oder Unternehmen ab, die einen Einfluss auf die Gesellschaft haben könnten“, fügt Mark hinzu. Obwohl dies den EU-Mitgliedstaaten vorgeschrieben ist, deckt es darüber hinaus auch alle Unternehmen ab, die in der EU Geschäfte tätigen – genau wie die DSGVO.
Die NIS-2-Richtlinie ist ein 60-seitiges Dokument – für Leute wie Mark bestimmt eine Standard-Bettlektüre, aber vielleicht nicht für alle anderen. Deshalb frage ich ihn, was die wichtigsten Punkte sind, die Unternehmen innerhalb der EU bzw. Unternehmen, die in der EU Geschäfte tätigen, berücksichtigen müssen. Mark wählt drei Handlungsweisen aus, die er für wichtig hält.
Nummer eins. „Überarbeiten Sie Ihre Risikomanagementrichtlinien! Und stellen Sie sicher, dass Domain-Registrare und DNS-Dienste darin enthalten sind. Stellen Sie sicher, dass die Unternehmen, mit denen Sie zusammenarbeiten, NIS-2-kompatibel sind. Ansonsten könnten Sie Gefahr laufen, die Vorschriften nicht einzuhalten“, rät Mark. Ähnlich wie bei der DSGVO führt die Nichteinhaltung von Vorschriften zu Geldstrafen in Höhe von 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist. „Stellen Sie sicher, dass Sie auch über DNS und DNS-Redundanz der Enterprise-Klasse verfügen“, fügt er hinzu, „Sie brauchen einen Plan B!“
Nummer zwei. „Prüfen Sie Ihre Lieferanten auf ihre NIS-2-Konformität, je früher, desto besser.“ Wenn es um Cybersicherheit geht, sind Sie nur so stark wie Ihr schwächstes Glied. Daher ist es wichtig, Drittanbieter in Ihrer Lieferkette zu bewerten. Mark schlägt vor, die Lieferanten anhand eines Fragebogens zur Risikobewertung zu bewerten. Oder es könnte eine NIS-2-Konformitätserklärung angefordert oder ein paar geeignete SLAs eingeführt werden.
Und Nummer drei? „Ernennung eines CSIRT“, rät Mark. Was ist das, frage ich. „Es steht für Cybersecurity Incident Response Team (Computersicherheits-Ereignis- und Reaktionsteam), also ein Team, das im Falle eines Ereignisses mit dem CSIRT der jeweiligen Regierungsbehörde in Verbindung steht.“ Unternehmen in den angegebenen Branchen haben nur 24 Stunden Zeit, um ein Ereignis zu melden. Daher ist es wichtig, dieses Team aufzustellen, damit alle gleichziehen. Ich frage ihn, wer im CSIRT sein soll. „Es muss ein multidisziplinäres Team sein, das sich mit Cybersicherheit, IT, Recht, Governance und Compliance befasst. Cybersicherheit liegt in der Verantwortung aller – Vertreter aus all diesen Bereichen müssen sich nicht nur dessen bewusst sein, sondern auch bereit sein, entsprechend zu handeln“, so Mark.
Bei NIS-2 spielt die Zeit eine entscheidende Rolle – da es nur noch weniger als vier Monate bis zur Frist im Oktober sind, ist es für alle von der Richtlinie betroffenen Unternehmen wichtig, ihre Cyberhygiene blitzsauber zu machen.
—
Vielen Dank, dass Sie unseren Coffee Chat zur NIS-2 gelesen haben. Halten Sie Ausschau nach dem nächsten Beitrag in der Reihe, in dem ich mit CSC-Experten über weitere relevante Branchenthemen sprechen werde.
Übrigens…
Hier erfahren Sie mehr über die Domainsicherheit und DNS-Dienste von CSC. Oder Sie füllen dieses Formular aus, um mit einem unserer Experten zu chatten.
