NIS2 und DORA: Die neuen EU-Security-Vorschriften

NIS2 baut auf der bestehenden NIS-Richtlinie auf und erweitert deren Anwendungsbereich auf weitere Sektoren wie öffentliche Verwaltung und Abfallwirtschaft. DORA (Digital Operational Resilience Act) zielt darauf ab, die Cybersicherheitsvorschriften für den Finanzsektor zu harmonisieren. Gemeinsam verpflichten die Verordnungen Unternehmen zur Einführung robuster Governance-Strukturen, zur Durchführung von Cyberrisikoanalysen, zum Austausch von Vorfalldaten und zur Nutzung geeigneter Technologien zur Absicherung der IT-Systeme.

Für betroffene Unternehmen mit Sitz in der EU bedeuten DORA und NIS2 eine weitere Erhöhung der Compliance-Komplexität. Hinzu kommt für Organisationen mit Niederlassungen in der Schweiz die besondere Herausforderung, die neuen EU-Vorgaben mit bestehenden Gesetzgebungen wie beispielsweise der FINMA-Richtlinie in Einklang zu bringen. Hier zeigen sich viele Überschneidungen aber auch Unterschiede im Detailgrad der Regulierungen.

NIS2 und DORA – Eine zeitnahe und belastbare Implementation ist gefragt

Mit der Einführung von NIS2 und DORA sieht sich eine Vielzahl von Unternehmen in der Europäischen Union und darüber hinaus mit einem zunehmend komplexen Compliance-Umfeld konfrontiert. Insbesondere für Unternehmen im Finanzsektor kommen durch DORA weitere Anforderungen hinzu, die mit zum Teil bereits bestehenden Regulierungen wie der Schweizer FINMA-Richtlinie abgeglichen werden müssen.

NIS2 baut auf der bereits bestehenden NIS-Richtlinie auf und erweitert den ursprünglichen Geltungsbereich deutlich. So kommen unter anderem öffentliche Verwaltung und Abfallwirtschaft hinzu, was für viele Organisationen in der EU eine umfangreiche Anpassung erforderlich macht. DORA zielt speziell auf den Finanzsektor ab und legt verbindliche Cybersicherheits-Standards fest, die in der Folge auch für viele IT-Dienstleister dieses Sektors gelten.

Um in diesem komplexen regulatorischen Umfeld erfolgreich zu sein, müssen Unternehmen strategisch vorgehen. Dies beinhaltet kontinuierliches Monitoring, den Einsatz von Automatisierung, die Nutzung von Threat Intelligence sowie eine enge Zusammenarbeit von Cybersicherheits- und IT-Spezialisten mit anderen Unternehmensbereichen. Partnerschaften mit Managed Security Providern können durch deren große Expertise die Widerstandsfähigkeit gefährdeter Systeme zusätzlich erhöhen.

Durch die Implementierung adaptiver Plattformen für das Management von Cyberrisiken, die auf NIS2 und DORA ausgerichtet sind, können Unternehmen ihre Cyberresilienz ausbauen und sich gleichzeitig auf Innovation und Wachstum im Tagesgeschäft konzentrieren. Ein proaktiver, kollaborativer Ansatz positioniert Unternehmen so, dass sie strategischen Mehrwert aus der Einhaltung regulatorischer Vorgaben ziehen können.

„NIS2 und DORA erhöhen die Komplexität der Cybersicherheits-Compliance weiter. Um das Dickicht an neuen Vorschriften erfolgreich zu navigieren, müssen Unternehmen ihre Herangehensweise an Cyberrisiken ganzheitlich und proaktiv ausrichten.“

Jan Schlosser, Tanium

Immer im Fokus steht auch die unternehmerische Sorgfaltspflicht, finanziellen Schaden durch Unterbrechungen im Tagesgeschäft sowie Compliance-Strafzahlungen zu vermeiden und den guten Ruf der eigenen Organisation vor negativen Schlagzeilen zu schützen.

Strategischer Ansatz für erfolgreiches Management von Cyberrisiken

Angesichts dieser unübersichtlichen Gemengelage sind Unternehmen gut beraten, frühzeitig einen strategischen und proaktiven Ansatz für den Umgang mit Cyberrisiken im Kontext dieser neuen Regulierungen zu entwickeln. Dieser sollte insbesondere folgende Aspekte umfassen:

• Kontinuierliches Monitoring der eigenen Cybersicherheitslage, um Risiken und Vorfälle früh zu erkennen
• Automatisierung von Prozessen durch den Einsatz moderner Technologien zur Steigerung der Effizienz
• Nutzung von Threat Intelligence, um neue Bedrohungen schnell zu erfassen und sich präventiv dagegen zu schützen
• Enge Abstimmung und Zusammenarbeit der Cybersicherheits-, IT- und Fachbereiche zur ganzheitlichen Betrachtung von Cyberrisiken
• Partnerschaften mit Profis der IT-Sicherheitsbranche zum Know-how-Transfer durch Managed Security Services
• Einführung robuster Governance-Strukturen zur Einhaltung rechtlicher Vorgaben
• Regelmäßige Durchführung von Cyberrisikoanalysen zur Identifizierung von Schwachstellen
• Etablierung von Incident-Response-Prozessen und Austausch von Informationen zu den jeweiligen Vorfällen

Dabei gibt es keine Standardlösung. Vielmehr muss für jedes Unternehmen individuell der passende Mix an technischen, organisatorischen und personellen Maßnahmen gefunden werden.

Bei der Entwicklung eines geeigneten Ansatzes kommt Partnerschaften mit IT-Sicherheitsanbietern große Bedeutung zu. Deren Expertise und technische Lösungen ermöglichen es, Wahrnehmungslücken in der Cybersicherheit aufzudecken und die Widerstandsfähigkeit gegen Cyberbedrohungen signifikant zu erhöhen.

Fazit: Proaktives Management von Cyberrisiken entscheidend

NIS2 und DORA erhöhen die Komplexität der Cybersicherheits-Compliance weiter. Um das Dickicht an neuen Vorschriften erfolgreich zu navigieren, müssen Unternehmen ihre Herangehensweise an Cyberrisiken ganzheitlich und proaktiv ausrichten. Dies gelingt durch den gezielten Einsatz moderner Technologien, die enge Zusammenarbeit aller Bereiche sowie die Einbindung erfahrener Partner. Nur so kann aus regulatorischer Komplexität strategischer Mehrwert werden und echte Cyberresilienz aufgebaut werden.

Über den Autor:
Jan Schlosser ist Regional Vice President der Alps Region bei Tanium.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.