IT-SICHERHEIT 3-2024 Special_KRITIS

IT-SICHERHEIT 3-2024 Special_KRITIS_NIS

EDITORIAL IMPRESSUM www.itsicherheit-online.com SPECIAL: NIS-2 | KRITIS Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11 A · 50226 Frechen www.datakontext.com Chefredaktion: Sebastian Frank (S.F.) EMail: s.frank@kes.de Online-Redaktion: Jessica Herz (Leitung Online) herz@datakontext.com +49 2234 9894980 Lisa Bieder Konstantin Falke Silvia Klüglich Janek Mazac Chiara Schönbrunn Grafik/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 EMail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 9894960 EMail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 30 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 9894999 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 139, inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die PrintAusgabe sowie eine Lizenz für das OnlineArchiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des OnlineArchivs ist auf der Abonnement rechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 837110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschick te Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Ver öffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Genderhinweis: Gleichberechtigung ist uns wichtig! Für eine bessere Lesbarkeit unserer Fachtexte verzichten wir jedoch auf die genderge rechte Schreibweise und nutzen das generische Maskulinum als neutrale grammatikalische Form. Personenbezeichnungen beziehen sich auf alle Geschlechter. Titelbild: tongpatong stock.adobe.com, venusvi stock.adobe.com Fotos: Firmenbilder; DATAKONTEXT; adam121 stock.adobe.com, LALAKA stock.adobe.com, metamorworks stock.adobe.com, tongpatong stock. adobe.com, venusvi stock.adobe.com, ภัทรชัย รัตนชัยวงค์ stock.adobe. com, Connect world stock.adobe.com, ImageFlow stock.adobe.com; iStock.com/Gorodenkoff Productions OU Sebastian Frank 30. Jahrgang 2024 · ISSN: 1868-5757 2 SPECIAL_3/2024 NIS-2 | KRITIS Bereit für NIS-2?Die im Jahr 2023 verabschiedete EU-Richtlinie zur Stärkung der Netz- und In-formationssicherheit (NIS-2) soll die Widerstandsfähigkeit der europäischen Staaten gegen Cyberangriffe erhöhen. In Deutschland wird NIS-2 durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Das Gesetz soll am 17. Oktober 2024 in Kraft treten – derzeit wird jedoch mit einer Verzögerung gerechnet. Es erweitert die bisherigen Pﬂichten für Betreiber kritischer Infrastrukturen (KRITIS) erheblich und verpﬂichtet darüber hinaus weitere Unternehmen und Organisationen, für ein höheres Cybersicherheits-niveau zu sorgen. Eine von ESET in Auftrag gegebene und von YouGov durchgeführte repräsen-tative Umfrage unter Unternehmensentscheidern zeigt jedoch, dass die Be-fragten die NIS-2-Richtlinie entweder gar nicht kennen (36 Prozent) oder ihnen die Inhalte unbekannt sind (20 Prozent). Insgesamt zeigt sich laut ESET hier ein großer Aufklärungsbedarf, denn mehr als die Hälfte der Befragten weiß dem-nach nichts von einem wichtigen Gesetzgebungsverfahren und kann die not-wendigen Schritte nicht einleiten. Die Ergebnisse sind erstaunlich. Denn mit der NIS-2-Richtlinie kommen per-sönliche Haftungsrisiken auf Geschäftsführer und Vorstände zu. Bei Verstößen gegen die Einhaltung der Richtlinie werden sie verantwortlich gemacht. Das geht so weit, dass Aufsichtsbehörden Leitungsaufgaben untersagen können. Dennoch kennen zwei von drei Vorständen oder Geschäftsführern die NIS-2- Richtlinie gar nicht oder inhaltlich nicht. Dabei sind sie für die Umsetzung der Cybersicherheitsmaßnahmen verantwortlich. Aber selbst in der Berufsgruppe der IT-Entscheider, von der man eigentlich annehmen könnte, dass sie die Richtlinie bereits beschäftigt und bei denen zu-mindest die baldige Umsetzung auf der Agenda steht, zeigen die Zahlen das Gegenteil: Jeder Vierte kennt die Richtlinie nicht. Weitere 13 Prozent haben zwar davon gehört, kennen aber die Inhalte nicht.Die Studie hat jedoch auch gute Nachrichten: Wenn Entscheidungsträger NIS-2 kennen und seine Bedeutung verstehen, kommt die Realisierung voran. Ein Drittel der Befragten beﬁndet sich bereits in der Umsetzung, weitere 38 Prozent stehen kurz davor. 15 Prozent der Umfrageteilnehmer haben sich schon mit NIS-2 auseinandergesetzt und sehen sich nicht betroffen.„Die deutsche Unternehmenslandschaft, insbesondere der Mittelstand, ist auf die kommenden Herausforderungen durch die NIS-2-Richtlinie schlecht vor-bereitet“, sagt Maik Wetzel, Strategic Business Development Director DACH bei ESET. „Es ist höchste Zeit, dass Unternehmen mit der Umsetzung beginnen.“ Die Umsetzung der neuen Anforderungen ist allerdings für viele Unternehmen eine Herausforderung. Es gibt jedoch zahlreiche Hilfestellungen, die sie dabei unterstützen. Unter anderem kann man sich in diesem Special einen Überblick über die aktuelle Situation und praktische Lösungen rund um das Thema NIS-2/KRITIS verschaffen. Viel Spaß beim Lesen!IhrSebastian Frank

Inhalt 2 4 Editorial Doppelt hält besser? Mehrfachregulierung durch NIS-2 10 NIS2Richtlinie Wie sage ich es meinem CEO? 12 IT und OTCybersicherheitslücken überwinden OT-Sicherheit mit fortschrittlichen SOC-Funktionen stärken Anbieter 14 NIS2Richtlinie Die richtigen Cyber-Defense-Tools 16 NIS-2 in der Operational Technology in den Griff bekommen 17 NIS-2-Richtlinie nimmt UnternehmenindiePflicht Wettbewerbsfähigkeit sichern durch ITSicherheit 18 NIS-2 verstehen, Sicherheit gewinnen mit ESET Europäische Union macht Cybersecurity zur Chefsache 20 Mit Zero-Trust- Segmentierung NIS-2- ready werden 22 Cybersecurity Evolution: NIS2 Mit Sieben meilen stiefeln in die Zukunft der IT-Sicherheit 23 Gesetzliche Vorgaben stellen ITDienstleister auf den Prüfstand KRITIS und NIS-2: Königs disziplin für IT-Dienstleister und deren Rechenzentren 24 Zur Miete/zum Mietkauf oder auch direkt zum Kauf Mobiles Outdoor-DataCenter „asfm-TMC-09s mobile DataCenter“ und deren Rechenzentren SPECIAL_3/2024 NIS-2 | KRITIS 3 Bild: tongpatong - stock.adobe.com, venusvi - stock.adobe.com

Doppelt hält besser? Mehrfachregulierung durch NIS-2 Mit der NIS-2-Regulierung, die neue Cybersecurity-Pflichten fordert, entsteht für viele Firmen eine Mehrfachregulierung. Gründe dafür können die Doppelrolle von Unterneh- men oder parallel anzuwendende sektorspezifische Regelungen sein. Für die betroffenen Firmen stellen sich nun die Fragen nach den anwendbaren Gesetzen und Vorgaben, nach deren Geltungsbereichen im Unternehmen und schließlich nach den verschiedenen, nicht immer gleichen Anforderungen an Cybersecurity – von mehrfachen Pflichten zu Regis- trierung und Meldungen ganz zu schweigen. Wie kann man hier den Überblick behalten? A nfang Mai hat das Bundesministerium des Innern und für Heimat (BMI) den ersten offiziellen Entwurf des Gesetzes zur Umsetzung der EU NIS-2-Richtlinie veröffentlicht (NIS-2-Umsetzungs- und Cybersicherheitsstär- kungsgesetz, kurz NIS2UmsuCG). Das Gesetz soll im Oktober 2024 in Kraft treten und ändert als Artikelgesetz viele wei- tere deutsche Gesetze. Inhaltlich knüpft es an die bestehende Regulierung der Betreiber kritischer Infrastrukturen (KRITIS) an. Diese sind in Deutschland seit 2015 durch das BSI-Gesetz verpflichtet, für ein angemessenes Niveau von Cybersecurity in ihren kritischen Anlagen zu sorgen. Die folgenden Ausfüh- rungen beruhen auf dem NIS-2-Entwurf vom Mai 2024.[1] Än- derungen der Vorgaben im Rahmen des Gesetzgebungsver- fahrens sind möglich. Mit dem NIS-2-Umsetzungsgesetz erweitert sich die bis- herige KRITIS-Regulierung beträchtlich. Die deutsche Ge- setzgebung übernimmt die EU-Methodik zur Festlegung re- levanter Unternehmen und definiert in Anlage 1 und 2 des Gesetzentwurfs dazu Sektoren (zum Beispiel „Transport und . m o c . e b o d a k c o t s - 1 2 1 m a d a : d l i B 4 SPECIAL_3/2024 NIS-2 | KRITIS

Verkehr“) und Einrichtungsarten (zum Beispiel „Eisenbahn- infrastrukturbetreiber“) sowie einheitliche Firmengrößen für die Betroffenheit: Mitarbeiteranzahl, Umsatz und Bilanz- summe (§ 28 Abs. 1, 2 NIS2UmsuCG (BSIG-E)). Durch die neue Regulierung werden künftig etwa 30.000 Unternehmen in Deutschland reguliert. Gleichzeitig bleibt die bisherige KRITIS- Methodik parallel bestehen, sodass Unternehmen sowohl NIS-2-Einrichtung als auch KRITIS-Betreiber – dann Betrei- ber kritischer Anlagen genannt – sein können. Zusätzlich zu der großen Zahl an betroffenen Unterneh- men erweitert das NIS-2-Umsetzungsgesetz auch den Gel- tungsbereich, in welchem Maßnahmen umgesetzt werden müssen. Im Gegensatz zum eher engen Geltungsbereich von KRITIS-Anlagen mit kritischer Dienstleistung treffen die NIS-2-Pflichten in Zukunft praktisch das gesamte Unterneh- men, so die aktuelle Gesetzesbegründung. Bei der Analyse der eigenen Betroffenheit sollten Firmen berücksichtigen, dass das NIS-2-Umsetzungsgesetz einige Ausnahmen für bestimmte Sektoren und Einrichtungsarten definiert. Diese führen dazu, dass manche Unternehmen von einigen NIS-2-Pflichten ausgenommen werden, da sie auf- grund anderer Gesetze inhaltlich ähnliche Anforderungen umsetzen müssen. Je nach genauer Betroffenheit müssen sie dann in verschiedenen Unternehmensteilen unterschiedli- che Anforderungen realisieren: als NIS-2-Einrichtung im ganzen Unternehmen NIS-2-Pflichten sowie KRITIS- und gegebenenfalls spezialgesetzliche Pflichten in einem Unter- nehmensteil. Die folgenden Beispiele beleuchten das mehrfache Betrof- fensein unter NIS-2 in Deutschland. Die Referenzen stützen sich auf Paragrafen des für die NIS-2-Umsetzung geänderten BSI-Gesetzes (BSIG-E). i r e b e r t e B Governance Leitung Entwicklung Dienstleistung (kDL aus BSIG) KRITIS-Anlage Dienstleistung (NIS-2-Service) Dienstleistung (non-NIS-2) Kritische Anlage (KRITIS) Zusätzliche NIS-2-Anforderungen + KRITIS-DachG-Anforderungen + ggf. Spezialgesetze (TKG, EnWG etc.) NIS-2-Einrichtung: NIS-2-Risikomanagement Prozesse Prozesse Prozesse Prozesse Auch NIS-2? Anlagen IT Anlagen IT Anlagen IT OT Standorte Standorte Standorte Externe Personal Wartung Betriebsmittel Abbildung 1: Geltungsbereich NIS-2 und KRITIS (Bild: OpenKRITIS, Mai 2024) SPECIAL_3/2024 NIS-2 | KRITIS 5 Unabhängig von der konkreten mehrfachen Betroffenheit unter NIS-2 empfiehlt es sich, relevante Vorgaben im Detail zu analysieren und die Geltungsbereiche klar abzugrenzen. Fol-gende Fragen sollten dabei mindestens beantwortet werden: Ist das Unternehmen eine NIS-2-Einrichtung nach § 28 BSIG-E in einem NIS-2-Sektor (Anlage 1 und 2)? Ist das Unternehmen von NIS-2-Ausnahmeregelungen in § 28 Abs. 4 oder 5 betroffen? Welche sektorspezifischen Gesetze gelten zusätzlich oder alternativ zu NIS-2? Auf welche Unternehmensteile und Geltungsbereiche wirkt sich welche Regulierung aus? Welche Legaleinheiten in Konzerngruppen sind genau betroffen? Welche konkreten Pflichten ergeben sich in den verschiedenen Geltungsbereichen? NIS-2 und KRITIS Die bisherigen KRITIS-Betreiber werden in der kommen-den NIS-2-Gesetzgebung zu Betreibern kritischer Anlagen (§ 28 Abs. 6), wenn sie (wie bisher auch) eine in der KRITIS-Verordnung definierte Anlage über definierten Schwellen-werten betreiben (§ 28 Abs. 7). Als Betreiber kritischer Anla-gen gelten sie unabhängig von ihrer Größe auch als besonders wichtige Einrichtung – sie vereinen also zwei regulierte Un-ternehmenstypen in sich.1. Als besonders wichtige Einrichtung unterliegen die-se Unternehmen der NIS-2-Regulierung. Im Geltungsbereich

des gesamten Unternehmens (der Legaleinheit) müssen sie unter anderem Risikomanagement, Informationssicherheits- management, Incident Management, Business Continuity Management oder Lieferantenmanagement nach Stand der Technik wirksam implementieren (§ 30). Daneben müssen sie ein Meldewesen für Sicherheitsvorfälle (§ 32) einrichten und sich beim Bundesamt für Sicherheit in der Informationstech- nik (BSI) registrieren (§ 33). 2. Als Betreiber kritischer Anlagen müssen Unterneh- men im Geltungsbereich ihrer KRITIS-Anlage zusätzlich er- höhte Anforderungen umsetzen. Dass für KRITIS-Anlagen auch aufwendigere Maßnahmen als verhältnismäßig gel- ten, muss im Risikomanagement berücksichtigt werden (§ 31 Abs. 1). Im Geltungsbereich der kritischen Anlage müssen Pro- zesse und Systeme zur Angriffserkennung (§ 31 Abs. 2) im- plementiert werden. Prozesse zur Meldung von Sicherheits- vorfällen müssen angepasst werden, da für KRITIS-Anlagen zusätzliche Angaben zur Art der betroffenen Anlage, zu den kritischen Dienstleistungen sowie zu den Auswirkungen ei- nes Vorfalls auf die Dienstleistung notwendig sind. Auch bei der Registrierung von KRITIS-Anlagen müssen zusätzliche In- formationen angegeben werden. Die Maßnahmen im KRITIS- Geltungsbereich müssen alle drei Jahre geprüft und gegen- über dem BSI nachgewiesen werden (§ 39). Außerdem gilt für den Geltungsbereich der kritischen Anlage vermutlich auch das künftige KRITIS-Dachgesetz. Daraus ergeben sich weitere Anforderungen im Krisen- und Risikomanagement und bei der Ausgestaltung dedizierter Maßnahmen zu Resilienz, Busi- ness Continuity Management, Personalsicherheit, physischer Sicherheit et cetera, die hier nicht weiter betrachtet werden. Für Betreiber kritischer Anlagen ergeben sich durch NIS-2 mindestens zwei Geltungsbereiche mit unterschied- lichen Anforderungen: Im gesamten Unternehmen gelten (wahrscheinlich) die NIS-2-Pflichten, während der bisherige KRITIS-Geltungsbereich in der kritischen Anlage mit leicht erweiterten Pflichten, die über die NIS-2-Pflichten hinausge- hen, bestehen bleibt. Darüber hinaus könnte in diesem Gel- tungsbereich zukünftig noch das KRITIS-Dachgesetz hinzu- kommen (siehe Abbildung 1). NIS-2 und Sektor-Regulierung Bereits jetzt unterliegen Unternehmen in einigen Sekto- ren sektorspezifischen Regulierungen, die Anforderungen an Cybersicherheit beinhalten, konkret das Telekommunikati- onsgesetz (TKG), das Energiewirtschaftsgesetz (EnWG) oder für Finanzinstitute der Digital Operational Resilience Act (EU DORA). Die NIS-2-Regulierung nimmt daher Unternehmen in bestimmten Sektoren und Einrichtungsarten von einigen Pflichten aus, § 28 Abs. 4 und 5 BSIG-E: „(4) Die §§ 31, 32, 35 und 39 gelten nicht für: 1. Besonders wichtige Einrichtungen und wichtige Einrichtungen, soweit sie a) ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbrin- gen, und b) den Regelungen des Telekommunikationsgesetzes unterliegen; 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes […], soweit sie den Regelungen des § 5c des Energiewirtschaftsge- setzes unterliegen. (5) Die §§ 30, 31, 32, 35, 36, 38 und 39 gelten nicht für […] Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 [DORA] und Unternehmen, für welche die An- forderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versiche- rungsaufsichtsgesetz gelten.“ NIS-2-Einrichtungen, die als Energiebetreiber unter das EnWG fallen, und NIS-2-Einrichtungen, die als TK-Anbieter unter das TKG fallen, sind von einigen NIS-2-Pflichten ausgenommen. DORA-regulierte Finanzunternehmen sind von allen NIS-2- Pflichten bis auf die Registrierung beim BSI ausgenommen. Die genannten Einrichtungsarten werden neben NIS-2 in bestimmten Anlagen oder Unternehmensteilen durch das TKG, das EnWG oder EU DORA „spezialgesetzlich reguliert“. Diese Regelungen enthalten die Anforderungen aus NIS-2 sowie zusätzliche sektorspezifische Anforderungen für die- se Einrichtungen. Im TKG und im EnWG sind die Anforde- rungen noch im Entwurf enthalten – diese sollen analog zum BSIG durch das NIS2UmsuCG als Artikelgesetz geändert werden. Firmen, die von den Ausnahmen in NIS-2 betroffen sind, müssen damit nicht unbedingt weniger tun – sie erben äqui- valente Vorgaben für bestimmte Anlagen und einzelne Sekto- ren aus anderer Quelle. Interessant ist die Erklärung des Ge- setzgebers zu den NIS-2-Ausnahmen bei spezialgesetzlicher Regulierung: Im TKG und im EnWG beziehen sich diese nur auf jene IT-Systeme, die zur Erbringung der kritischen Versor- gungsdienstleistung notwendig sind, zum Beispiel IT-Syste- me für einen sicheren Netz- beziehungsweise Anlagenbetrieb oder Datenverarbeitungssysteme für den Betrieb von TK-Net- zen. Für alle anderen IT-Systeme, Komponenten und Prozesse außerhalb der spezialgesetzlichen Regelung gelten nach wie vor die allgemeinen NIS-2-Anforderungen und die Zuständig- keit des BSI (Abschnitt B. Besonderer Teil, Anmerkung zu § 28 Abs. 4, NIS2UmsuCG-Entwurf, Stand Mai 2024). Die Ausnahmen von den NIS-2-Pflichten gelten nur für die Orga- nisationsteile beziehungsweise konkret die Anlagen, in denen spezialgesetzliche Regelungen angewendet werden – und dort auch nur für die spezifisch ausgeschlossenen NIS-2-Pflichten. In den übrigen Unternehmensteilen müssen alle NIS-2-Anforderun- gen umgesetzt werden. Beispiel: Stadtwerk mit Mehrfachregulierung durch NIS-2 und EnWG Zur Verdeutlichung der Mehrfachregulierung dient bei- spielhaft ein Stadtwerk, bei dem wir davon ausgehen, dass alle Dienstleistungen in einer Legaleinheit erbracht wer- 6 SPECIAL_3/2024 NIS-2 | KRITIS

k r e w t d a t S Governance Leitung Entwicklung Stromversorgung (kDL aus BSIG) Entsorgung (NIS-2-Service) Straßenbahn (non-NIS-2) Energieanlage (EnWG) Prozesse Prozesse Prozesse Prozesse Anlagen IT Anlagen OT Anlagen IT OT Standorte Standorte Standorte Externe Personal Wartung Betriebsmittel Abbildung 2: Geltungsbereich NIS-2 und EnWG Energieanlage (EnWG) • • §5c EnWG-E Vorgaben (Sicherheit) IT-Sicherheitskatalog-neu BNetzA Kritsche Anlage (NIS-2 und DachG) • Resilienz aus KRITIS-DachG • Risiko-Management §30, Registrierung §33 aus NIS-2 Einrichtung Entsorgung (NIS-2) • Risiko-Management und Maßnahmen • Meldungenpichten, Informationen • Registrierung, ggf. Nachweise Straßenbahn (ÖPNV) nicht NIS-2 • NIS-2-Pichten etwas unklar • Möglicherweise trotzdem betroen den, also in einer GmbH oder AöR. Teilen sich die Dienst- leistungen auf verschiedene Legaleinheiten auf, ist die Be- troffenheit noch kleinteiliger und teilt sich analog auf. Mit über 50 Mitarbeitern erbringt das Stadtwerk unterschied- liche Dienstleistungen in der Entsorgung (NIS-2-relevanter Sektor und Einrichtungsart) und im öffentlichen Personen- nahverkehr (ÖPNV) (nicht NIS-2-relevante Einrichtungs- art). Zusätzlich betreibt es ein Stromverteilnetz, das einer NIS-2-Einrichtungsart aus einem NIS-2-Sektor entspricht. Das Stromverteilnetz ist gleichzeitig eine Anlage nach KRITIS-Verordnung und überschreitet die Schwellenwer- te aus der Verordnung – wird deshalb kritische Anlage im Energiesektor. Als Energieanlage fällt es ebenfalls unter die Regelungen des EnWG. In dieser Konstellation ist das Unternehmen durch die Entsorgung mindestens eine wichtige NIS-2-Einrichtung; durch den Betrieb einer kritischen Anlage erhält es jedoch die zuvor beschriebene Doppelrolle „Betreiber kritischer Anlagen und besonders wichtige NIS-2-Einrichtung“. Das Stromver- teilnetz wiederum stellt eine besondere Form von kritischen Anlagen dar, mit sektorspezifischer Regulierung durch das EnWG, weshalb die Ausnahmeregelung aus § 28 Abs. 4 ange- wendet wird. 1. Als besonders wichtige Einrichtung unterliegt das Stadtwerk der NIS-2-Regulierung und muss, wie zuvor für Betreiber kritischer Anlagen dargestellt, die NIS-2-Pflichten erfüllen. 2. Als Betreiber eines Stromverteilnetzes mit EnWG- Regulierung muss das Stadtwerk im Geltungsbereich des Stromverteilnetzes nur grundlegende NIS-2-Pflichten erfül- len: Risikomanagementmaßnahmen (§ 30), Registrierung beim BSI (§ 33) sowie Billigungs-, Überwachungs- und Schu- lungspflichten (§ 38). Darüber hinaus gelten die Anforderun- gen aus dem EnWG und dem zugehörigen IT-Sicherheitskata- log der Bundesnetzagentur (BNetzA): ein ISMS nach ISO/IEC 27001 implementieren mit Gover- nance, Risikomanagement, regelmäßiger Überprüfung und kontinuierlicher Verbesserung (IT-Sicherheitskata- log BNetzA) einen Netzstrukturplan erstellen (IT-Sicherheitskatalog BNetzA) Prozesse zum Incident Management, Business Con- tinuity Management, Lieferantenmanagement nach Stand der Technik implementieren – spezifisch für den Netzbetrieb (inhaltlich recht deckungsgleich zu den NIS-2-Anforderungen, § 5c Abs. 3 EnWG-E) Prozesse zum Meldewesen implementieren, die inhalt- lich vermutlich ähnlich zu den NIS-2-Anforderungen aus § 32 sind, formal aber aus § 5c Abs. 6 EnWG abge- leitet sind Prozesse zum Nachweis der Erfüllung der Anforderun- gen implementieren (§ 5c Abs. 4 EnWG-E) Zusätzlich zu NIS-2 und dem EnWG gilt für den Geltungs- bereich der kritischen Anlage vermutlich auch das künftige KRITIS-Dachgesetz. Für das Stadtwerk ergeben sich also unter NIS-2 zwei ver- schiedene Geltungsbereiche mit unterschiedlichen Anforde- rungen und Maßnahmen. Zum einen bestehen für den Gel- tungsbereich des (wahrscheinlich) gesamten Unternehmens SPECIAL_3/2024 NIS-2 | KRITIS 7

die NIS-2-Pflichten. Zum anderen gibt es den (KRITIS-)Gel- tungsbereich für den Betrieb der kritischen Anlage „Strom- verteilnetz“, in dem das EnWG und der zugehörige (noch für NIS-2 anzupassende) IT-Sicherheitskatalog der BNetzA gelten. In diesem Bereich greift die Ausnahmeregelung von den NIS- 2-Pflichten nach § 28 Abs. 4, sodass nur einzelne NIS-2-Pflich- ten umgesetzt werden müssen. Darüber hinaus gelten in die- sem Bereich künftig gegebenenfalls die Pflichten aus dem KRITIS-Dachgesetz. NIS-2 und EU DORA Einige Finanzunternehmen können nach den NIS-2-Defi- nitionen von besonders wichtigen und wichtigen Einrichtun- gen in § 28 und den Einrichtungsarten in Anhang 1 grundsätz- lich als NIS-2-Einrichtungen gelten. Sofern sie auch durch EU DORA reguliert werden, gilt für sie die Ausnahmeregelung in § 28 Abs. 5. Sie sind dann von fast allen Pflichten befreit. Le- diglich die Verpflichtung zur Registrierung beim BSI nach § 33 bleibt bestehen. Eine umfangreiche Doppelregulierung durch DORA und NIS-2 ist allerdings für Unternehmen im Sektor IT und TK möglich, die als NIS-2-Einrichtung gelten und als kritische IKT-Drittdienstleister in DORA eingestuft werden. Das kann zum Beispiel Cloud Provider, Anbieter von TK-Lösungen oder Managed Services Provider betreffen. Auch gruppeninter- ne IT-Dienstleister sind im aktuellen NIS-2-Entwurf nicht ausgenommen und könnten damit sowohl DORA- als auch NIS-2-Pflichten umsetzen müssen. IKT-Drittdienstleister er- halten durch DORA teils eigene Pflichten mit EU-Aufsicht, so- fern sie kritisch eingestuft werden. Ferner werden Finanz- unternehmen viele eigene Pflichten vertraglich an ihre Dienstleister weitergeben (müssen) – unabhängig davon, ob diese als kritische Dienstleister gelten oder nicht. Neben den DORA-Pflichten bleiben die NIS-2-Pflichten für besonders wichtige oder wichtige Einrichtungen im Sektor IT und TK bestehen. Empfehlungen für betroffene Unternehmen Mit dem NIS-2-Umsetzungsgesetz wird für viele betrof- fene Unternehmen eine Mehrfachregulierung entstehen. Die dadurch entstehenden Fragen nach den anwendbaren Vorga- ben, deren Geltungsbereichen und schließlich nach den unter- schiedlichen Anforderungen an Cybersecurity sind zum Teil sehr komplex. Im Rahmen des Gesetzgebungsverfahrens der NIS-2-Umsetzung insbesondere auch für das EnWG und das TKG können sich durchaus noch Änderungen an den Vorga- ben ergeben. Unternehmen sollten aufgrund des Umfangs der Regulie- rung bereits damit begonnen haben, sich auf die vielschichte Umsetzung vorzubereiten. Vor den Herausforderungen von Mehrfachregulierung erleichtern folgende Vorgehensweisen die Arbeit bei der Umsetzung der verschiedenen Pflichten: 1. Eine genaue Analyse der Anforderungen der anwend- baren Gesetze je nach Sektor und Einrichtungsart sowie die klare Festlegung der jeweiligen Geltungsbereiche zum 8 SPECIAL_3/2024 NIS-2 | KRITIS Beispiel beim Betrieb kritischer Anlagen schaffen eine belast- bare Basis für die nachfolgenden Aktivitäten. Der Tätigkeits- rahmen ist dann für alle Beteiligten klar. Die Rechtsabteilung hilft hier sicherlich mit der juristisch notwendigen Expertise. 2. Ein Mapping der verschiedenen Anforderungen der unterschiedlichen Regulierungen und die Analyse der Ab- deckung erleichtert die spätere risikoorientierte Implemen- tierung von Maßnahmen und das Schließen notwendiger Lücken. Wenn es im Unternehmen bereits ein internes Kon- trollsystem oder ein passendes Managementsystem (ISMS) gibt, können die externen Anforderungen diesem zugeordnet werden. Unternehmen in Sektoren mit bestehender und zukünf- tiger Sektor-Regulierungen stehen mit NIS-2 vor vielfältigen Herausforderungen. Die bestehenden Vorgaben, Kontrollen und Zertifizierungen reichen möglicherweise für die erwei- terten Geltungsbereiche von NIS-2 und Sektor-Regulierungen sowie die neuen Cybersecurity-Pflichten nicht mehr aus. Be- stehende Nachweise für KRITIS-Anlagen (beziehungsweise EnWG-/TKG-Anlagen) bilden voraussichtlich nur noch eine Untermenge der notwendigen Anforderungen ab. Hier sind Betreiber gut beraten, die notwendigen Analysen basierend auf den aktuellen Gesetzesentwürfen baldmöglichst abzu- schließen, um Programme für die erweiterte Umsetzung zu starten. n Literaturhinweis [1] Bundesministerium des Innern und für Heimat, Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/ DE/Downloads/referentenentwuerfe/CI1/NIS-2-RefE.html, 7. Mai 2024 Paul Weissmann begleitet als Geschäftsführer der Insignals GmbH und Gründer von OpenKRITIS Betreiber beim Weg durch KRITIS und EU NIS2 mit dem Schwer punkt ISMS. Er hat über 20 Jahre Berufserfahrung in der Informations sicherheit und der IT. EMail: paul@insignals.net Hanna Lurz ist als Senior Beraterin bei der Insignals GmbH für die Schwerpunkte kritische Infrastrukturen und zertifizierungsreife ISMS verantwortlich. Sie hat über zehn Jahre Beratungserfahrung und war lange Fachbereichsleiterin ISM in einer Zertifizierungsorganisation. EMail: hanna@insignals.net

NIS2Richtlinie Wie sage ich es meinem CEO? Cyber-Risikomanagement wird mit der NIS-2-Richtlinie für KRITIS- Organisationen zur Pflicht. Doch viele CISOs scheitern an der Kommunikation mit der Geschäftsleitung. Wie gelingt es, diese Lücke zu schließen? S agt der CISO zum CEO: Wir stehen vor dem Abgrund. Antwortet der CEO: Dann gib mir Bescheid, wenn wir einen Schritt weiter sind. Dieser Witz steht program- matisch für ein Grundproblem in der Kommunikation zwi- schen Sicherheitsverantwortlichen (CISOs) und der Geschäfts- führung (CEOs). Was der CISO eigentlich meint, ist: „Die Lage ist kritisch, wir müssen dringend handeln.“ Beim CEO kommt dagegen an: „Wir stehen noch auf sicheren Füßen.“ Wenn es IT-Sicherheitsverantwortlichen nicht gelingt, Cyberrisiken richtig an die Geschäftsleitung zu kommunizieren, bringen sie sich selbst in eine Zwickmühle. Nicht nur steht die Sicherheit des Unternehmens auf dem Spiel, was angesichts der gegen- wärtigen Situation sehr ernst zu nehmen ist. Denn laut dem aktuellen Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist die Bedrohung im Cyberraum so hoch wie nie zuvor. CISOs sehen sich auch mit der Frage kon- frontiert, ob sie im Fall eines Cyberangriffs wegen einer Fehl- einschätzung verantwortlich gemacht werden können. Die Verunsicherung ist groß Dass ein solches Szenario denkbar ist, zeigt der Fall So- larwinds, der in der Branche für ein kleines Erdbeben sorg- te: Im Oktober 2023 hat die US-Börsenaufsicht Security and Exchange Commission (SEC) gegen den Softwareanbieter Solarwinds Anklage wegen Betrugs erhoben. Auch der CISO steht persönlich am Pranger, weil er von Cyberrisiken und Schwachstellen im Unternehmen gewusst haben soll. Statt die Probleme zu lösen und zu kommunizieren, habe er An- legern vorgetäuscht, das Unternehmen sei gut abgesichert. Der Solarwinds-Hack ging 2020 als einer der spektakulärsten Supply-Chain-Angriffe in die Geschichte ein. Cyberkriminel- len war es gelungen, ein Update der Netzwerk-Management- Plattform Orion zu manipulieren. Kunden, die das Update in- stallierten, öffneten damit unwissentlich eine Hintertür in ihre IT-Umgebung. Betroffen waren mehr als 18.000 Orga- nisationen, darunter zahlreiche Regierungseinrichtungen. Infolge des Angriffs erlitten auch die Solarwinds-Anleger erhebliche finanzielle Verluste, denn der Aktienpreis sank in- nerhalb von zwei Tagen um 25 Prozent. Die SEC wirft dem Softwareanbieter jetzt vor, er habe bereits 2018 beim Börsen- gang von entscheidenden Security-Mängeln Kenntnis gehabt und diese bewusst verschwiegen. CISO oder CEO: Wer ist verantwortlich? Wäre eine solche Klage auch in Deutschland möglich? Diese Frage dürfte im Hinblick auf die NIS-2-Richtlinie span- nend werden. Denn sie schreibt Cyber-Risikomanagement für KRITIS-Unternehmen vor. Grundsätzlich ist zunächst die Ge- schäftsleitung in der Pflicht, zu deren Aufgaben seit jeher das unternehmerische Risikomanagement zählt. Darunter fällt mit NIS-2 auch die Bewertung von Cyberrisiken. Im zweiten Referentenentwurf des Bundesinnenministeriums von An- fang Mai steht: „Geschäftsleitungen besonders wichtiger Ein- richtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risiko- managementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.“ CEOs, die die- sen Aufgaben nicht nachkommen, haften laut NIS-2 persön- lich für die entstandenen Gefährdungen und/oder Schäden. Die Rolle des CISO wiederum besteht darin, Cyberrisiken zu erkennen, zu beurteilen und an den CEO zu berichten, damit dieser die richtigen Entscheidungen treffen kann. CEO und CISO müssen beim Cyber-Risikomanagement also eng zusammenarbeiten und miteinander kommunizie- ren. Beide Partner stehen hier vor Herausforderungen. Für . m o c . e b o d a k c o t s - A K A L A L : d l i B 10 SPECIAL_3/2024 NIS-2 | KRITIS

viele Geschäftsleiter ist das Thema Cybersicherheit noch Neu- land. Laut einer aktuellen Studie von Trend Micro sagt die Hälfte der CISOs in Deutschland, dass ihr CEO Cyber security nicht als seine Verantwortung sieht. Und nur 51 Prozent der Befragten sind der Ansicht, dass ihre Geschäftsleitung die Cyberrisiken, mit denen das Unternehmen konfrontiert ist, komplett versteht. Umgekehrt fühlen sich drei Viertel der deutschen IT-Sicherheitsverantwortlichen von ihrem CEO un- ter Druck gesetzt, Cyberrisiken herunterzuspielen. Wenn sie auf Bedrohungen hinweisen, werden sie der Nörgelei oder Schwarzmalerei bezichtigt. Offensichtlich gelingt es den CISOs nicht, den Zusammenhang zwischen Cybersicherheit und Business glaubhaft darzustellen – und das, obwohl 62 Pro- zent der IT-Sicherheitsverantwortlichen in Deutschland sa- gen, dass Cyberrisiken ihr größtes Geschäftsrisiko sind. Wo liegt das Problem? Einerseits ist die Kommunikation an sich schwierig, ande- rerseits ist die Risikobewertung sehr komplex. CISOs müssen die Sprache der Geschäftsleitung sprechen und Eintrittswahr- scheinlichkeit sowie die Auswirkungen von Cyberbedrohun- gen besser darstellen. Welche Folgen hat es für das Unter- nehmen, wenn eine Schwachstelle angegriffen wird? Fallen Systeme aus, und wenn ja, wie viele? Wie lange steht die Arbeit still? Wie weit verbreitet ist das Risiko? All das sind Informationen, die die Geschäftsleitung braucht, um Ent- scheidungen zu treffen. Doch diese Fragen sind schwer zu beantworten. Wie gefährlich eine Schwachstelle wirklich für das Unternehmen ist, lässt sich nicht allein anhand des CVSS- Werts (Common Vulnerability Scoring System, CVSS) beurtei- len. Eine neue, als kritisch eingestufte Sicherheitslücke kann im Einzelfall weniger dringlich sein als eine ältere, vermeint- lich harmlose, die von Hackergruppen gerade häufig angegrif- fen wird. Um Risiken realistisch zu bewerten, müssen CISOs die Eintrittswahrscheinlichkeit und das mögliche Schadens- ausmaß individuell für ihr Unternehmen ermitteln. Dafür ist es nötig, sowohl interne Informationen zur eigenen An- griffsfläche als auch externe Threat Intelligence zu aktiven Hackergruppen und Angriffsmustern im Zusammenhang zu betrachten. Da sich sowohl die interne IT-Umgebung als auch die Lage im Cyberraum dynamisch ändern, muss die Risiko- bewertung zudem kontinuierlich erfolgen. Eine Risikodiskussion zu führen, bedeutet nicht, alle Risi- ken zu beseitigen. Das wird in der Praxis nie möglich sein und wäre unwirtschaftlich. Vielmehr geht es darum, angemessen im Verhältnis zum Risiko zu agieren. Wenn eine Sicherheits- maßnahme mehrere Millionen kostet, das Schadenspotenzial aber nur bei einigen Tausend Euro liegt, würde man mit Ka- nonen auf Spatzen schießen. Die Geschäftsleitung muss daher immer entscheiden, bis zu welchem Grad das Unternehmen mit welchen Risiken leben kann. Auch wenn man eine Sicher- heitslücke nicht schließen will oder kann, darf man die Be- drohung aber nicht ignorieren, sondern muss sie zumindest beobachten. Nur so ist das Unternehmen in der Lage, einen Cyberangriff frühzeitig zu erkennen und zu stoppen, bevor größerer Schaden entsteht. Cyber-Risikomanagement und Angriffserkennung spielen hier eng zusammen. Nicht um- sonst schreibt die NIS-2-Richtlinie beides verpflichtend vor. Die wichtigsten Neuerungen von NIS-2 auf einen Blick Die NIS-2-Richtlinie überarbeitet die NIS-Richtlinie von 2016 und löst sie ab. Das sind die wichtigsten Änderungen: Erheblich mehr Unternehmen sind betroffen. Die Zahl der Sektoren wächst insgesamt auf 18. Sieben neue „Important Entities“ (wichtige Einrichtungen) kommen hinzu und Schwellenwerte werden gesenkt. Unternehmen müssen das Risiko eines Cyberangriffs über ihre Lieferkette beurteilen können. Cyber-Risikomanagement wird Pflicht. Unternehmen müssen Mitarbeiterschulungen und Audits zur Cybersicherheit durchführen. Geschäftsführer haften persönlich für den Schaden, der durch Missachtung ihrer Pflicht zum Cyberrisikomanagement entsteht. Bei Verstößen drohen empfindliche Strafen. Es gelten strenge Meldepflichten. Aufsichtsbehörde ist das BSI. Die Mitgliedstaaten richten ein nationales Computer Security Incident Response Team (CSIRT) ein. In Deutschland übernimmt diese Rolle wahrscheinlich das BSI. Die CSIRTs arbeiten EUweit zusammen und berichten an die übergreifende, koordinierende Cybersecurity Behörde ENISA (European Union Agency for Cybersecurity). Richard Werner ist Business Consultant bei Trend Micro. SPECIAL_3/2024 NIS-2 | KRITIS 11 Ein Plattformansatz ist gefragtDer Übergang zwischen Cyber-Risikomanagement und Angriffserkennung ist ﬂießend. Beides muss ineinander-greifen und beeinﬂusst sich gegenseitig. Daher ist eine Platt-form-Lösung empfehlenswert, die Attack Surface Risk Ma-nagement (ASRM) und Extended Detection & Response (XDR) verzahnt und unter einer zentralen Konsole vereint. Beide Si-cherheitstechnologien arbeiten möglichst mit künstlicher In-telligenz und hoch automatisiert. Sie sollten interne und ex-terne Sicherheitsinformationen auswerten, analysieren und korrelieren. So berechnet das ASRM kontinuierlich den aktu-ellen Risiko-Score des Unternehmens, während das XDR die Angriffsﬂäche über alle Vektoren der IT-Umgebung hinweg überwacht. Wenn das ASRM ein Risiko identiﬁziert, kann das XDR das Problem genauer untersuchen. Umgekehrt passt das ASRM sofort den Risikostatus an, sobald das XDR Anzeichen für einen Cyberangriff erkennt. Eine solche Plattformlösung schafft Transparenz über die gesamte Angriffsﬂäche und dient als „Single Source of Truth“. IT-Sicherheitsverantwortliche haben dort alle wichtigen In-formationen im Blick – und zwar managementgerecht auf-bereitet. So können sie die Kommunikationslücke überwin-den und schaffen die Basis, um die NIS-2-Anforderungen zum Cyber-Risikomanagement zu erfüllen. n

IT und OTCybersicherheitslücken überwinden OT-Sicherheit mit fortschrittlichen SOC- Funktionen stärken Heutzutage sind IT und OT immer stärker miteinander verbunden. Die Verschmelzung bringt zwar Vorteile, führt aber auch zu neuen Schwachstellen in der Cybersicherheit. Die Diskrepanz zwischen IT und OT stellt insbesondere für kritische Infrastrukturen eine Herausforderung dar – eine Sicherheitslücke, die geschlossen werden muss. I m Zuge der digitalen Transformation von Unternehmen ist eine zunehmende Verschmelzung von IT- und OT- Netzwerken zu beobachten. Dieser Übergang birgt je- doch diverse Herausforderungen, zum Beispiel in Bezug auf erhöhte Cybersicherheitsrisiken. Aspekte wie Fernzugriff, ge- teilte Anmeldeinformationen und unkontrollierte Kommu- nikation können erhebliche Bedrohungen für kritische in- dustrielle Kontrollsysteme (ICS) und OT-Anlagen darstellen, besonders wenn eine Netzwerksegmentierung fehlt. Neu- este Untersuchungen verdeutlichen, dass nur 21 Prozent der Industrieunternehmen über eine angemessene OT-Cybersi- cherheit verfügen, wobei die Diskrepanz zwischen IT und OT eine zentrale Hürde für Fortschritte ist. Die IT-OT-Cybersicherheitslücke Mehrere Faktoren tragen zur IT-OT-Cybersicherheits- lücke bei: Kulturelle Unterschiede: Es bestehen oft erhebliche Unterschiede im Verständnis und in der Herangehens- weise an Cybersicherheit zwischen OT-Ingenieuren, Si- cherheitsexperten und IT-Mitarbeitern. Technische Unterschiede: Traditionelle IT-Best-Practi- ces für Cybersicherheit lassen sich möglicherweise nicht direkt auf OT-Umgebungen übertragen, die spezielle 12 SPECIAL_3/2024 NIS-2 | KRITIS

Anforderungen wie Patchmanagement und Kompati- bilität mit Anbietern von Industrieautomatisierungsge- räten haben. Wachsende Angriffsﬂäche: Die zunehmende Komple- xität der Bedrohungen und die Entwicklung hybrider Netzwerke stellen ein erhöhtes Risiko dar. Fehlende Eigenverantwortung: Es ist oft unklar, wer die Verantwortung für das Management industrieller Cyberrisiken übernehmen sollte und wer die Imple- mentierung notwendiger Kontrollen unterstützen soll. Um die Diskrepanz zwischen IT- und OT-Cybersicherheit zu überbrücken und die Entwicklungsstufe von OT-Cybersi- cherheitsprogrammen zu verbessern, sollten Unternehmen die Fähigkeiten ihres Security Operations Centers (SOC) stär- ken. Der Aufbau spezialisierter SOC-Kompetenzen und -Tools für die Industrie sowie deren Integration in ein breit ange- legtes SOC-Programm für das gesamte Unternehmen, schafft eine verteidigungsfähige Architektur, die die Bereitschaft für OT-Cybersicherheitsrisiken beschleunigt. Einbindung der OT-Sicherheit in das SOC Die Zeitspanne zur Erkennung, Untersuchung und Behe- bung von Cybersecurity-Vorfällen in ICS- und OT-Umgebun- gen ist alarmierend lang: Im Durchschnitt dauert es 316 Tage einen Fall zu lösen, während sich die Kosten für einen Vorfall auf durchschnittlich über 2,9 Millionen US-Dollar belaufen. Diese Verzögerung ist inakzeptabel, insbesondere wenn man die potenziellen Risiken für die finanzielle und persönliche Si- cherheit berücksichtigt. Unternehmen stoßen aus verschiedenen Gründen auf He- rausforderungen bei der Integration von OT in ihre SOC-Ope- rationen: Mangelnde Sichtbarkeit: Es bestehen Lücken zwischen Datensilos und dem OT-Netzwerk, welche die umfas- sende Erkennung von Bedrohungen behindert. . m o c . e b o d a k c o t s - s k r o w r o m a t e m : d l i B Komplexität der Tools: Die Verwaltung verschiedener und komplexer Cybersicherheits-Tools ist herausfor- dernd. Eingeschränkte Ressourcen: Ein Mangel an qualifi- zierten Cybersicherheitsexperten für OT erschwert die Situation. Inefﬁzienz im Bereich Security Operations (SecOps): SOC-Betreiber können unter Alarmmüdigkeit und der Belastung durch sich wiederholende Aufgaben leiden. Warum OT-Cybersecurity anders ist Die grundlegende Herausforderung bei der Verbesserung der OT-Cybersicherheit liegt darin, dass OT-Systeme sich von Natur aus von IT-Systemen unterscheiden. Sie verwenden unterschiedliche Netzwerkprotokolle und -konfigurationen und stehen einzigartigen Angreifern gegenüber. Zudem un- terscheidet sich die Risikolandschaft für OT-Anlagen erheblich von den in IT-Umgebungen. Während es bei der IT hauptsäch- lich um den Schutz von Daten und geistigem Eigentum geht, konzentriert sich die OT auf die Steuerung von Sicherheitssys- temen, die Aufrechterhaltung der Stabilität des Stromnetzes und den Betrieb von Anlagen. n Kai Thomsen koordiniert als Director of Global Incident Response Services das globale Team von ICS und Threat HuntingExperten bei Dragos. SPECIAL_3/2024 NIS-2 | KRITIS 13

– ADVERTORIAL – NIS-2-Richtlinie Die richtigen Cyber-Defense-Tools Die Pflicht zum Cyber-Risikomanagement stellt sowohl CISOs als auch CEOs vor Herausforderungen. Security Verantwortliche müssen in der Lage sein, Cyberrisiken zu erkennen, zu beurteilen und an das Management zu berichten. Die Geschäftsleitung ihrerseits muss die Maßnahmen zum CyberRisikoma nagement billigen und deren Umsetzung überwachen. Laut einer Trend MicroStudie sagen aber nur die Hälfte der CISOs (51 Prozent), dass ihre Geschäftsleitung die Cyberrisiken komplett versteht, mit denen das Un ternehmen konfrontiert ist. Vielmehr werden die SecurityVerantwort lichen häufig als Nörgler oder Schwarzmaler wahrgenommen, wenn sie auf Bedrohungen hinweisen. Meist scheitert es an der Kommunikation: CISOs, die gelernt haben, in der Sprache der Geschäftsleitung den Zu sammenhang zwischen Cyberrisiken und Geschäftsrisiken darzulegen, schaffen einen Mehrwert für beide Seiten. 14 SPECIAL_3/2024 NIS-2 | KRITIS Die Kommunikationslücke überwinden mit ASRM Eine Plattform für Attack Surface Risk Management (ASRM) hilft CISOs dabei, klare Aussagen zu treffen. Die Technologie errechnet kontinuier lich den aktuellen RisikoScore des Unternehmens und liefert in einem Executive Dashboard alle Informationen für ein überzeugendes Re porting. Dafür sammelt, analysiert und korreliert das ASRM KIgestützt interne und externe SecurityInformationen, darunter Veröffentlichun gen von Regierungsbehörden, Polizeiorganisationen, Analysten und Se curityUnternehmen. Wie gefährlich ein Risiko wirklich für das Unter nehmen ist, hängt immer von der Eintrittswahrscheinlichkeit und vom Schadensausmaß ab. Welche Hackergruppen sind gerade aktiv? Welche Schwachstellen greifen sie bevorzugt an? Wie exponiert sind diese im Bild: ภัทรชัย รัตนชัยวงค์ stock.adobe.comDie NIS2Richtlinie schreibt CyberRisikomanagement und Systeme zur Angriffserkennung vor. Da beides eng verzahnt arbeiten muss, ist ein PlattformAnsatz empfehlenswert. Welche SecurityTools sollte er umfassen?Autor: Richard Werner, Security Advisor bei Trend Micro

Unternehmensnetzwerk? Da sich sowohl die ITUmgebung als auch die Lage im Cyberraum dynamisch ändern, muss die Risikobewertung kon tinuierlich erfolgen. Die ASRMPlattform erledigt das automatisiert im Hintergrund und schlägt Alarm, sobald ein zuvor definierter Schwellen wert überschritten ist. Eine fundierte Datenbasis schaffen Die Erkenntnisse aus dem ASRM versetzen CISOs in die Lage, den indi viduellen BusinessImpact von CyberRisiken darzulegen und verhält nismäßige Gegenmaßnahmen vorzuschlagen. CEOs können dann auf fundierter Basis entscheiden, mit welchen Risiken sie leben können, und mit welchen nicht. Da es nie möglich sein wird, alle Risiken zu beseiti gen, müssen Unternehmen ihre Angriffsfläche kontinuierlich monito ren und im Falle eines Cyberangriffs schnell reagieren. Leistungsfähige Tools zur Angriffserkennung sind daher Pflicht. Zur Basis-Ausstattung, die jedes Unternehmen haben sollte, zählen Endpoint Detection and Response (EDR) und Network Detection and Response (NDR). Um die Telemetriedaten aus beiden Bereichen zu verbinden und Bedrohungen vektorübergreifend zu erkennen, ist außerdem eine Lösung für Exten ded Detection and Response (XDR) empfehlenswert. Die Endpunkte monitoren mit EDR Eine EDRLösung überwacht kontinuierlich alle Aktivitäten auf Geräten und Systemen innerhalb der ITInfrastruktur und alarmiert bei Bedro hungen. Um blinde Flecken zu vermeiden, sollten Unternehmen solche SecuritySensoren überall dort installieren, wo es möglich ist. Endpunk te können sowohl physische als auch virtuelle Systeme sein, darunter PCs, Tablets, Smartphones, Server, CloudInstanzen und Container. Die erste Herausforderung besteht darin, überhaupt zu ermitteln, welche Endpunkte es in der ITUmgebung gibt. Gerade im CloudUmfeld kann das schwierig sein. Darüber hinaus haben EDRLösungen ein paar Ein schränkungen: Sie verfügen für sich alleine genommen über zu wenig Informationen, um Cyberangriffe verlässlich zu erkennen. Einerseits geben die Systeme dadurch häufig False Positives aus, andererseits übersehen sie aber auch tatsächliche Bedrohungen. Außerdem spei chern EDRTools Daten nur für einen begrenzten Zeitraum. Das nutzen Cyberkriminelle aus, um die Systeme auszutricksen. Oft halten sie erst einmal die Füße still, nachdem sie in ein Netzwerk eingedrungen sind. Erst Wochen oder Monate später dringen die Hacker dann weiter vor. Bis dahin kann sich das EDRTool nicht mehr erinnern, woher die Applikati on auf dem Endpunkt stammt, und kann nur noch schwer zwischen Gut und Böse unterscheiden. Das Netzwerk überwachen mit NDR Zusätzlich zu EDR brauchen Unternehmen daher NDR. Solche Lösun gen überwachen und analysieren den gesamten Datenverkehr im Netzwerk – sowohl den eingehenden, den ausgehenden als auch den internen. Dadurch schaffen sie umfassende Transparenz über alle Sys teme und Akteure im Netzwerk und monitoren deren Kommunikation. Moderne NDRTools arbeiten KI gestützt, um verdächtige Verhaltens muster und Anomalien zu erkennen. Da sie kontinuierlich dazulernen, können sie nicht nur bekannte, sondern auch neuartige Bedrohungen identifizieren. Außerdem deckt NDR auch ungesicherte Endpunkte und SchattenIT auf, sodass Unternehmen diese gezielt adressieren kön nen. Eine der ResponseTechnologien eines NDR sind beispielsweise – ADVERTORIAL – IntrusionPreventionSysteme (IPS). Eine Angriffserkennung auf Netz werkebene ist zudem häufig die einzige Möglichkeit, um Systeme zu schützen, auf denen kein EDRTool installiert werden kann – beispiels weise industrielle Systeme oder Medizingeräte. Daten zusammenführen mit XDR Sowohl NDR als auch EDR liefern wertvolle Telemetriedaten, die jeweils aber nur einen Ausschnitt eines Angriffsbilds zeigen. Erst, indem man sie verbindet und im Zusammenhang betrachtet, entfalten sie ihr volles Po tenzial. Viele Cyberangriffe erstrecken sich über einen längeren Zeitraum und über verschiedene Ebenen der ITUmgebung. Um sie zu erkennen, müssen Unternehmen in der Lage sein, Daten vektorübergreifend zu analysieren und auch in die Vergangenheit zu blicken. Hier kommt XDR ins Spiel: Die Technologie sammelt die SecurityDaten aller angeschlos senen Systeme in einem zentralen Data Lake, korreliert sie und analysiert sie KIgestützt. Eine XDRLösung übernimmt ähnliche Aufgaben wie ein Security Information and Event Management (SIEM), ist in aller Regel aber kostengünstiger und pflegeleichter. Außerdem lassen sich Daten quellen erheblich leichter anbinden. Damit eignet sich XDR auch sehr gut für kleinere und mittelständische Unternehmen – insbesondere in Kom bination mit einem Service für Managed XDR. Erfahrene SecurityAnalys ten übernehmen dann das Monitoring und die Bewertung der Warnmel dungen und unterstützen mit Handlungsempfehlungen. Auf einer Plattform alles im Griff Angriffserkennung und CyberRisikomanagement bilden die Basis für eine ganzheitliche, Cyber-Defense-Strategie. Beide Bereiche beeinflus sen sich gegenseitig und sollten daher nahtlos zusammenspielen. Am besten gelingt das mit einem PlattformAnsatz, der möglichst viele Tools der Angriffserkennung zusammenführt und mit ASRM kombi niert. Genau das bietet Trend Vision One: In der XDRbasierten Cyber Defense-Schaltzentrale habe CISOs ihre gesamte Angriffsfläche und ihre Risiko-Exposition immer im Blick. Hier fließen die Telemetriedaten von EDR und NDR ein und werden zusammen mit externen Security Informationen korreliert und analysiert. Das ASRM errechnet daraus den Risiko-Score, hilft Unternehmen dabei, die Angriffsfläche zu reduzieren und leistet wertvolle Unterstützung bei der Kommunikation von Cyber risiken. Das XDR kann Bedrohungen schnell erkennen und das Schaden sausmaß mindern. Falls es dennoch einmal zum Cybervorfall kommt, haben Incident Responder alle wichtigen Telemetriedaten parat. Perfekt ergänzt wird die Lösung durch Trend Service One Complete – ein um fassendes Dienstleistungspaket, das unter anderem Managed XDR und garantierten Zugriff auf ein professionelles IncidentResponseTeam umfasst. Damit sind Unternehmen gut aufgestellt, um die zentralen NIS2Anforderungen zu erfüllen. n SPECIAL_3/2024 NIS-2 | KRITIS 15

– ADVERTORIAL – NIS-2 in der Operational Technology in den Griff bekommen Im Bereich der Prozessleittechnik, Steuerungstechnik, Leit und Fernwirktechnik (kurz: OT für Operational Technology) geraten viele Unternehmen angesichts der bevorstehenden Umsetzung der NIS2Richtlinie unter Druck. Diese Unternehmen benötigen insbesondere in zwei Anforderungsbereichen einfach umsetzbare und rechtskonforme Lösungen. Die OT in die Unternehmens- Cybersicherheit einbinden Herausforderung In industriellen Umgebungen fehlen meist sowohl integrale Sicherheits mechanismen als auch zusätzliche CPUKapazität, um diese nachzu rüsten. Lebenszyklen von 10 bis 20 Jahren und schlecht dokumentierte LegacyProgrammierung erschweren eine schnelle Aktualisierung. Den noch fordert NIS2 neben der Prävention explizit die Erkennung und die Reaktion auf Störungen. Beides hängt von einer gut funktionierenden Angriffserkennung ab. Diese muss über eine Firewall am Perimeter und ein alleinstehendes Security Information and Event Management (SIEM) hinausgehen, denn diese geraten an ihre Grenzen, wenn ZeroDay Schwachstellen oder gestohlene Zugangsdaten ausgenutzt werden. Lösung Mit Rhebo Industrial Protector steht Unternehmen ein leistungsstar kes und zugleich leichtgewichtiges Werkzeug zur Verfügung, um das Rest risiko der unsicheren OT unter Kontrolle zu bekommen. Das netzwerk basierte Angriffserkennungssystem (OTNIDS) mit passivem OTMoni toring und rückwirkungsfreier Anomalieerkennung analysiert die OTKommu ni kation auf Vorgänge, die vom bestehenden, eta blierten Muster (der Baseline) abweichen. Entscheidend ist dabei, dass das OTNIDS die Kommunikation innerhalb des Netzwerks überwacht (Abbildung 1). Dadurch sieht es auch Vorgänge, die neue Angriffs techniken, unbekannte Schwachstellen, gestohlene Zugangsdaten und Supply Chain Compro mise ausnutzen, ohne die Firewalls und das SIEMSystem in Alarm versetzt zu haben. Unternehmen etablieren so vollständige Sichtbarkeit in ihrer OT und können das Restrisiko der notorisch un sicheren OT gezielt unter Kontrolle bringen. Den Fachkräftemangel überbrücken Herausforderung In einer Umfrage aus dem Jahr 2023 sahen 40 Prozent der deutschen CISOs den Mangel an qualifizierten Fachkräften als größtes Problem, bei der Gewährleistung der Cybersicherheit im Unternehmen. Der Leidens druck in der OTSicherheit dürfte durch NIS2 noch einmal höher liegen. Schließlich stellt der Bereich ein völlig neues Tätigkeitsfeld dar. Lösung Mit Rhebo Managed Protection können Unternehmen kurzfristig Ka pazitätslücken schließen und eigenes Knowhow im Bereich der OT Sicherheit aufbauen. Im ersten Schritt übernimmt Rhebo bei Bedarf den Betrieb der OTAngriffserkennung Rhebo Industrial Protector und die Analyse der Anomaliemeldungen. Im zweiten Schritt geht der Betrieb des Angriffserkennungssystems an das Unternehmen über. Das Rhebo CybersecurityServiceteam steht ab diesem Zeitpunkt als „Sparrings partner“ zur Verfügung und unterstützt bei der forensischen Analyse und Bewertung von Anomalien. Kunden von Rhebo können im Rahmen von Rhebo Managed Protection zwischen drei Service Levels wählen (und diese bei Bedarf anpassen). Das schrittweise Vorgehen nimmt nicht nur den Druck aus der neuen Herausforderung der OTSicherheit, durch den Fokus auf Wissens transfer mit dem Aufbau eigener Kompetenzen bleibt auch der lang fristige Investitionsrahmen planbar. n Weitere Informationen zu den OTSicherheitslösungen von Rhebo finden Sie unter https://bit.ly/3VjTVQM Abbildung 1: Ein OT-Netzwerk muss wie eine Stadtfestung gesichert sein. Dazu gehört neben der Grenzsicherung auch die innere Sicherheit. 16 SPECIAL_3/2024 NIS-2 | KRITIS

– ADVERTORIAL – NIS-2-Richtlinie nimmt UnternehmenindiePflicht Wettbewerbsfähigkeit sichern durch ITSicherheit I TSicherheit ist mehr als nur ein Schlagwort. Sie ist ein entscheiden der Faktor für die Wettbewerbsfähigkeit jedes Unternehmens. Die NIS2Richtlinie, die Abkürzung NIS steht für Network and Informa tion Security, der Europäischen Union, setzt neue Standards und nimmt Unternehmen in die Pflicht. Die NIS-2-Richtlinie hat das Ziel, ein hohes gemeinsames Niveau an Netz und Informationssicherheit in der EU zu gewährleisten. Dies ist dringend notwendig, damit die wachsenden Cyberbedrohungen und die zunehmende Vernetzung und Digitalisierung in der EU bewältigt werden. Gut zu wissen: Die NIS-2 verpflichtet Unternehmen zu umfangreichen Risikomanagementmaßnahmen, auch innerhalb der eigenen Lieferket te. Deshalb sind indirekt auch zahlreiche Zulieferer von ihr betroffen, angefangen bei ITDienstleistern bis hin zu Herstellern von Windturbi nen. Unternehmen werden sich registrieren müssen, und sie werden von niemandem einen offiziellen Hinweis darauf bekommen. Unternehmen müssen selbst erkennen, ob sie in den Geltungsbereich der NIS2 fallen. Handlungsbedarf für Unternehmen BCM-Praktiker Der BCMPraktiker ist der Experte für das Business Continuity Manage ment. Er stellt sicher, dass das Unternehmen auch in Krisensituationen handlungsfähig bleibt. Seine Aufgaben umfassen: Entwicklung von Notfallplänen Durchführung von Risikoanalysen Sicherstellung der Geschäftskontinuität Security Incident Manager Der Security Incident Manager ist der Vorfallmanager im Bereich ITSicherheit. Er reagiert auf Sicherheitsvorfälle und minimiert deren Auswirkungen. Seine Aufgaben umfassen: Reaktion auf Sicherheitsvorfälle Koordination der Maßnahmen zur Behebung Analyse der Vorfälle und Ableitung von Verbesserungsmaßnahmen Bis zum 17. Oktober fordert die NIS2Richtlinie von Unternehmen eine kla re Rechte und Rollenverteilung im Bereich der ITSicherheit. Doch welche Rollen sind das und welche Aufgaben haben sie? Hier ein Überblick: Handeln Sie jetzt! NIS-2-Experten Der NIS2Experte ist der Spezialist für die NIS2Richtlinie. Er kennt die Anforderungen und kann das Unternehmen dabei unterstützen, diese zu erfüllen. Seine Aufgaben umfassen: Die NIS2Richtlinie stellt hohe Anforderungen an die ITSicherheit von Unternehmen. Unterstützen Sie Ihre Experten, damit Sie den Anforde rungen gerecht werden können. Mit den Zertifikats-Lehrgängen der TÜV NORD Akademie zum NIS2Experten (TÜV), ISO 27001 Lead Auditor (TÜV)/ Auditor (TÜV), BCMPraktiker (TÜV) und Security Incident Manager (TÜV) qualifizieren Sie sich oder Ihre Mitarbeiter für diese wichtigen Aufgaben. n Analyse der Anforderungen der NIS2Richtlinie Beratung zur Umsetzung der Richtlinie Überwachung der Einhaltung der Richtlinie ISO 27001 Auditor Der ISO 27001 Auditor ist der Experte für das Managementsystem für Informationssicherheit. Seine Aufgaben umfassen: Auditplanung, durchführung und nachbereitung nach ISO 19011 Bewertung der Einhaltung der ISO27001Norm Beratung zur Verbesserung der Informationssicherheit U O s n o i t c u d o r P f f o k n e d o r o G / m o c . k c o t S i : d l i B Stellen Sie die Weichen für eine starke IT-Sicherheit in Ihrem Unternehmen. Details zu den Lehrgängen: SPECIAL_3/2024 NIS-2 | KRITIS 17

– ADVERTORIAL – NIS-2 verstehen, Sicherheit gewinnen mit ESET Europäische Union macht Cybersecurity zur Chefsache D ie EU macht Ernst: Am 17. Oktober 2024 ist Schluss mit laxen ITSecurityVorkehrungen und LarifariSchutz. Ab diesem Zeitpunkt soll die deutsche Umsetzung der NIS2Richtlinie („Netzwerk und Informationssicherheit 2“) zur Sicher heit von Netz und Informationssystemen voraussichtlich in Kraft treten. Grundlage dafür ist die seit Mitte Januar 2023 geltende europäische Richtlinie, welche die Sicherheit von ITInfrastrukturen in neue ResilienzBahnen lenken soll. Vor dem Hintergrund der fortschrei tenden Digitalisierung und der sich verschärfenden Bedrohungslage hat die Europäische Kommission die Mindeststandards für technische und organisatorische Maßnahmen zum Schutz vor Cyberbedrohungen angepasst. Gleichzeitig erweitert sie den Kreis der Organisationen, die als schützenswerte Einrichtung unter NIS2 fallen. Waren bisher rund 3.000 Unternehmen und kritische Infrastrukturen (KRITIS) in Deutsch land betroffen, so schätzen Experten die Zahl auf bis zu 40.000. Be sonders gefordert: Geschäftsführer und Vorstände, die zur Umsetzung verpflichtet sind und persönlich haften. Unternehmen kennen NIS-2 zu selten In einer aktuellen Umfrage von ESET gaben mehr als die Hälfte der be fragten deutschen Unternehmen an, dass sie NIS2 gar nicht oder nur den Begriff an sich kennen. Die deutsche Unternehmenslandschaft, insbesondere der Mittelstand, ist auf die kommenden Herausforderun 18 SPECIAL_3/2024 NIS-2 | KRITIS gen durch die Richtlinie also schlecht vorbereitet. Gut die Hälfte aller Entscheider in Organisationen mit mehr als 50 Mitarbeitern, für die NIS2 relevant sein könnte, wissen gar nicht, welche Anforderungen auf sie zukommen. Auch zwei von drei Vorständen oder Geschäftsführern fehlt das Wissen, obwohl sie in der kommenden Richtlinie ein wichtiges Element sind und persönliche Haftungsrisiken im Schadensfall tragen. Bei den ITEntscheidern sieht es nicht besser aus: Jeder Vierte kennt die Richtlinie nicht. Weitere 13 Prozent haben zwar davon gehört, kennen aber die Inhalte nicht. Entscheider müssen sich beeilen Wer von NIS2 betroffen ist, hat alle Hände voll zu tun. Die Richtlinie verlangt unter anderem Maßnahmen zur Risikoanalyse, zum Umgang mit Sicherheitsvorfällen, zur Aufrechterhaltung des Geschäftsbetriebs nach einem Cyberangriff, zur Sicherheit der Lieferkette und zur Schu lung in ITSicherheit. Viele Unternehmen haben in der Vergangenheit beim Thema Sicherheit eher gespart und könnten nun in Zeit und Geldnot geraten. Fällige Neuanschaffungen oder Updates lassen sich nicht von heute auf morgen realisieren. Entscheider sollten sich recht zeitig mit ITDienstleistern in Verbindung setzen und explizit nach Lösungen fragen, die „NIS2ready“ sind. Sicherheitsanbieter wie ESET bieten ein umfangreiches Portfolio, mit dem sich die Richtlinie sicher umsetzen lässt.

NIS-2 durch die Hintertür Die Sicherheit in der Lieferkette ist von zentraler Bedeutung und sollte dringend in die eigenen Überlegungen einbezogen werden. Wer selbst unter NIS2 fällt, muss Zulieferer darüber informieren und kann auch von ihnen die Einhaltung der Richtlinie einfordern. Umgekehrt gilt: Wer als Unternehmen von NIS2 unberührt bleibt, kann wegen der sogenannten Supply Chain dennoch verpflichtet sein, die Anforderungen zu erfüllen. Geschäftsführung haftet persönlich Insgesamt betont die NIS2Richtlinie die Bedeutung der persönlichen Verantwortung des Managements für die ITSicherheit im Unternehmen. Konkret bedeutet dies, dass Geschäftsführung und Vorstand aktiv Maß nahmen zur ITSicherheit ergreifen und diese im Unternehmen über wachen müssen. Damit wird Cybersecurity zur Chefsache. Dazu gehört auch die eigene Aus und Weiterbildung im Bereich Sicherheit. Bei Ver stößen gegen die Cybersicherheitspflichten werden nicht nur Unterneh men, sondern auch die Verantwortlichen persönlich haftbar gemacht. Dies kann zu empfindlichen Bußgeldern und bei schwerwiegenden Ver stößen auch zur Suspendierung durch die Aufsichtsbehörden führen. ESET Aufklärungskampagne: Informieren und Branding nutzen ESET hat eine umfassende Aufklärungskampagne unter dem Motto „Flicken reicht in der ITSicherheit nicht aus“ gestartet. Diese möchte Organisationen objektiv über NIS2 informieren und Ratschläge für die technische Umsetzung geben. Die dafür eingerichtete Landingpage www.eset.de/nis2 bietet Zugang zu einem umfangreichen Angebot an Ressourcen, darunter Whitepaper, Webinare und Podcasts. Hier können sich Interessierte über die wichtigsten Aspekte der NIS2Richtlinie informieren und erfahren, wie sie ihr Unternehmen auf die neuen Anforderungen vorbereiten können. Darüber hinaus bietet ESET weitere Möglichkeiten an: Wissensaustausch über unsere Kanäle Digital Security Guide, Corporate Blog oder WeLiveSecurity interaktive Veranstaltungen wie Workshops Unterstützung bei der Einhaltung und Umsetzung von NIS2Maßnahmen Informationen zu Sicherheitslösungen, die zur Einhaltung der Vorschriften beitragen ESETSpezialisten stehen zur Verfügung, um Fragen zu beantworten ESET Business Portfolio ist „NIS-2-ready“ ESET hat sein Produktportfolio kürzlich aktualisiert und ist bereits NIS2ready. Es bildet die ideale Grundlage, um Kunden maßgeschnei derte Lösungen anzubieten. Besonders im Fokus steht dabei das Angebot im Bereich Managed Detection and Response (MDR). Dabei – ADVERTORIAL – übernimmt ESET für kleine und mittlere Unternehmen (KMU) rund um die Uhr System überwachung, Bedrohungserkennung und verfolgung, Vorfallreaktion sowie erweiterte Erkennungs und Reaktionsfunk tionen. Alle ESET MDRKunden sind mit dem ESETeigenen Security Information and Event Management (SIEM) Tool verbunden, sodass Bedrohungen erkannt und mit vordefinierten Reaktionsmaßnahmen gestoppt werden können. Gefahren werden innerhalb von 20 Minuten erkannt und ermöglichen eine schnelle, optimale Reaktion. Dazu nutzt ESET eigene innovative Cybersicherheitstechnologien und Telemetrie daten, die das Unternehmen weltweit sammelt und auswertet. Mit dem Service ESET MDR sowie den Bundles ESET PROTECT MDR (für SMB) und ESET PROTECT MDR Ultimate (für Enterprise) stehen gleich drei Varianten – je nach Budget und Einsatzzweck – zur Verfügung: ESET MDR übernimmt für KMU rund um die Uhr Systemüber wachung, Bedrohungserkennung und verfolgung, Vorfallreaktion sowie erweiterte Erkennungs und Reaktionsfunktionen. Dabei handelt es sich um einen KIbasierten Dienst, der das Netzwerk überwacht und prüft. ESET PROTECT MDR ist ein umfassendes Cybersicherheits paket, das kleine und mittlere Unternehmen rund um die Uhr und an 365 Tagen im Jahr vor digitalen Gefahren schützt. Dazu gehören Sicherheits lösungen für Endgeräte, EMail und CloudAnwen dungen, Schwachstellenerkennung und Patching sowie Mana ged Threat Monitoring, Hunting und Response. So kann man den Anforderungen von Cyberversicherungspolicen nachkommen und Konformität zu Sicherheitsgesetzen wie NIS2 gewährleisten. Für Großunternehmen bietet ESET PROTECT MDR Ultimate kontinuierlichen proaktiven Schutz und verbesserte Sichtbarkeit in Verbindung mit maßgeschneiderter Bedrohungsjagd und digi taler Forensik. Dieser umfassende Service wurde entwickelt, um überlastete SOCTeams zu unterstützen und ihnen rund um die Uhr Zugang zu erstklassiger Cybersicherheitsexpertise zu bieten. Er stellt sicher, dass Organisa tionen allen bekannten und neu auf kommenden Bedrohungen immer einen Schritt voraus sind. n www.eset.de www.eset.de/nis2 | www.eset.de/eset-mdr SPECIAL_3/2024 NIS-2 | KRITIS 19

– ADVERTORIAL – einer Organisation zu schützen. Ein bewährter Ansatz für den Aufbau be ziehungsweise die Stärkung von Cyberresilienz ist Zero Trust. Zero Trust geht davon aus, dass Angriffe unvermeidlich sind, und vertraut keinem Benutzer, Gerät oder Netz, solange sie nicht verifiziert sind. Eine wichtige ZeroTrustKomponente ist die ZeroTrustSegmentierung (ZTS), die die ZeroTrustGrundsätze auf die Segmentierung anwendet. Im Gegensatz zur traditionellen Mikrosegmentierung mit NetzwerkFirewalls, die im mer noch die manuelle Erstellung von Policies erfordert und zeitaufwen dig und teuer ist, ermöglicht die ZTSPlattform von Illumio die einfache Erstellung von Policies und deren automatische Anwendung. Indem sie laterale Bewegungen verhindert, hält sie Angreifer davon ab, kritische Ressourcen zu erreichen, und gewährleistet die Sicherheit kritischer Infra strukturen. So hilft Illumio den von NIS2 betroffenen Organisationen und Unternehmen, die künftigen Mindestanforderungen zu erfüllen. Fünf Wege, wie Illumio NIS-2-Compliance unterstützt: Risikoanalyse und Informationssicherheit: Durch Application Dependency Maps bietet Illumio ZTS einen vollständi gen Überblick über den Datenverkehr und ermöglicht die Erstellung von Policies, die unnötige Verbindungen blockieren. Incident Management: Bei einem Angriff kann Illumio ZTS schnell reagieren, um den Zugriff auf kritische Ressourcen zu beschränken, die Ausbreitung von Angriffen zu stoppen und kompromittierte Systeme zu isolieren. Geschäftskontinuität: Illumio ZTS ermöglicht es KRITISBetreibern, entscheidende Betriebs abläufe auch während eines Angriffs aufrechtzuerhalten, indem es einen Schutz für einzelne Abteilungen und Systeme einrichtet. Sicherheit der Lieferkette: Illumio ZTS stellt sicher, dass nur verifizierte Kommunikation zwischen Umgebungen stattfindet, wodurch Sicherheitsverletzungen in der Liefer kette eingedämmt werden. Bewertung der Wirksamkeit von Maßnahmen: Das Ransomware Protection Dashboard von Illumio bietet Einblicke in das WorkloadRisiko und eine Bewertung der Schutzabdeckung. n Erfahren Sie hier mehr über die ZTS-Plattform von Illumio: https://www.illumio.com/de/products Kontaktieren Sie uns unter: https://www.illumio.com/de/ support/contact SPECIAL_3/2024 NIS-2 | KRITIS 21 B is zum 18. Oktober 2024 müssen alle EUMitgliedstaaten die NIS2Richtlinie für Cybersicherheit in ihre nationale Gesetzgebung übertragen. Die aktualisierte Richtlinie zielt darauf ab, die Cybersicherheitsstandards EUweit zu harmonisieren und die Resilienz kritischer Infrastruktur gegen Cyberangriffe zu erhöhen. Dabei erweitert sie den Kreis der betroffenen Organisationen erheblich und stellt klar definierte Anforderungen an die KRITIS-Betreiber. Die Un terscheidung zwischen grundlegenden Diensten und Anbietern digitaler Dienste wird durch die Unterscheidung zwischen wesentlichen und wich tigen Sektoren ersetzt. Auch Organisationen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 50 Millionen Euro fallen künftig unter NIS2. Betroffene Organisationen – in Deutschland etwa 30.000 – haben ab Veröffentlichung des Gesetzestextes bis zu vier Jahre Zeit, die Vorgaben umzusetzen, sollten sich jedoch bereits jetzt darauf vorbereiten. Wie KRITIS-Betreiber mit Illumio Cyberresilienz aufbauen und die NIS-2- Anforderungen erfüllen können Cyberresilienz bedeutet, sicherzustellen, dass essenzielle Dienste auch während eines Angriffs aufrechterhalten werden können. Um dies zu erreichen, muss der Schwerpunkt auf die Eindämmung von Angriffen gelegt werden, um die kritischen Ressourcen eines Unternehmens oder

. m o c . e b o d a k c o t s - w o F e g a m l I : d l i B – ADVERTORIAL – Cybersecurity Evolution: NIS-2 Mit Sieben meilen- stiefeln in die Zukunft der IT-Sicherheit KRITIS war gestern, NIS-2 ist heute! In einer digitalisierten Welt, die sich rasant weiterentwickelt, lauern Cyberkriminelle wie hungrige Hyänen am Rande des DatenDschungels. Es ist höchste Zeit, unsere Systeme den aktuellen Anforderungen anzupassen: Mit NIS2, der neuen Richtlinie der Netz und Informationssicherheit, schaffen wir mehr Sicherheit und schützen unsere internen Assets ef fektiver vor Bedrohungen. NIS-2: Alte Bekannte in neuem Gewand? Auf den ersten Blick scheint NIS2 den KRITISAnforderungen zu ähneln, doch es bietet weit mehr. NIS2 erweitert den Schutz auf alle Branchen und setzt auf den Zero-Trust-Ansatz, bei dem ständige Verifikation und Kontrolle im Vordergrund stehen. Die Anforderungen an Risikobewer tung, Incident Response und Supply Chain Security werden präziser und tiefergehend definiert, was die Gesamtsicherheit erheblich verbessert. Die Unterschiede zwischen KRITIS und NIS-2 Branchenübergreifender Ansatz: NIS2 ist nicht auf bestimmte Sektoren beschränkt, sondern gilt für alle Unternehmen, die ihre Cybersecurity stärken möchten. Zero Trust: Dieser Ansatz sorgt dafür, dass kein Eindringling unbemerkt bleibt, indem jeder Zugriff kontinuierlich überprüft wird. Detaillierte Anforderungen: Konkrete Maßnahmen zur Risikobewertung, Incident Response und der Sicherung der Lieferkette machen NIS2 zu einem robusteren Framework. NIS-2 im Praxistest: Den Equinox-Breach verhindern Der EquifaxBreach von 2017 hätte mit NIS2 möglicherweise verhindert werden können. NIS2 fordert eine kontinuierliche Risikobewertung, die Schwachstellen proaktiv aufdeckt und behebt. Die strikte Zugangskon trolle hätte unbefugten Zugriff auf sensible Daten verhindert, und die klar definierten Incident-Response-Prozesse hätten eine schnellere und effektivere Reaktion ermöglicht. Hauptvorzüge von NIS-2 Verbesserte Sicherheit: Reduzierung des Risikos von Cyberangriffen und Datendiebstahl. Erhöhte Resilienz: schnellere Erholung von ITZwischenfällen. Höheres Vertrauen: mehr Sicherheit für Kunden und Geschäftspartner. Wettbewerbsvorteil: Ein starkes Cybersecurity-Profil wirkt sich positiv auf Kunden und Investoren aus. 22 SPECIAL_3/2024 NIS-2 | KRITIS Rechtliche Anforderungen und NIS-2 NIS2 hilft Unternehmen, die Anforderungen der EUNISRichtlinie und der KRITISVerordnung zu erfüllen. Auch wenn Identity and Access Ma nagement (IAM) nicht explizit in der Richtlinie erwähnt wird, bildet es die Grundlage, die Unternehmen benötigen, um die Anforderungen von NIS2 zu erfüllen. IAM ist entscheidend, um den ZeroTrustAnsatz ef fektiv umzusetzen und die ITSicherheit insgesamt zu stärken. Fazit NIS2 markiert einen bedeutenden Fortschritt in der Cybersecurity. Es bietet einen umfassenden und klar definierten Ansatz, der Unterneh men und Organisationen hilft, ihre ITSicherheit auf das nächste Level zu heben. Mit den fortschrittlichen Methoden und Maßnahmen von NIS2 können Unternehmen nicht nur die gesetzlichen Anforderungen erfül len, sondern auch ihre Resilienz und das Vertrauen ihrer Kunden stärken. Die EUNIS2Richtlinie muss ab dem 17. Oktober 2024 umgesetzt wer den. Bei Nichteinhaltung der Vorgaben droht den betroffenen Unterneh men und Einrichtungen je nach Sektor eine Geldstrafe von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. n Jetzt handeln und Whitepaper herunterladen! Möchten Sie mehr über NIS2 und die Umsetzung der Richtlinie in Ihrem Unternehmen erfahren? Die Zeit drängt! Erfahren Sie, wie Sie Ihre ITSicherheit mit modernsten Methoden auf den neuesten Stand bringen können. Laden Sie jetzt unser Whitepaper herunter! www.ipggroup.com Quellen: https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS- aktuell/KRITIS-Meldungen/221227-veroeffentlichung-nis-2.html https://www.nist.gov/cyberframework https://www.ipg-group.com/blog Disclaimer: Dieser Beitrag dient lediglich der Information und stellt keine Rechtsberatung dar. Für die Umsetzung von NIS-2 sollten Sie sich von einem Experten beraten lassen.

– ADVERTORIAL – Gesetzliche Vorgaben stellen IT-Dienstleister auf den Prüfstand KRITIS und NIS-2: Königs disziplin für IT-Dienstleister und deren Rechenzentren Mit den zunehmenden Gefahren aus dem Internet verschärfen sich auch die gesetzlichen Vorschriften und Regularien für Betreiber kritischer Infrastrukturen (KRITIS). Seit dem Jahr 2023 müssen KRITISBetreiber beispielsweise Sicherheitsvorfälle in ihrem laufenden ITBetrieb mit Systemen zur Angriffserkennung ausstatten, dokumentieren und unter gege benen Umständen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die kommende NIS2Richtlinie wird zudem auch weitere Branchen und zunehmend auch kleinere Unternehmen mit entsprechender Wichtigkeit als kritische Infrastruktur einbeziehen. Damit werden der Schutz von kritischen Infrastrukturen und die NIS2 Konformität für ITDienstleister und Rechenzentrumsbetreiber zur Königsdisziplin. Mit harten Vorschriften für die ITInfrastrukturen von Organisa tionen aus systemkritischen Branchensegmenten wie Energie und Wasserversorgung, Gesundheit, aber auch staatlichen Einrichtungen nimmt der Gesetzgeber unweigerlich auch ITDienstleister und Rechenzentrumsbetreiber in die Verantwortung: „Betreiber kritischer Infrastrukturen sind gesetzlich verpflichtet, stetig die Erfüllung und Um setzung wirksamer und angemessener technischer und organisatorischer Maßnahmen gegenüber dem Bundesamt für Sicherheit in der Informati onstechnik nachzuweisen“, sagt Joachim Astel vom Nürnberger ITDienst leister und Rechenzentrumsbetreiber noris network AG. Der Anbieter hochsicherer Datacenter ist seit 2020 offiziell selbst Bestandteil der KRITIS. Physischer und digitaler Schutz gehen Hand in Hand Entsprechend dünn ist das Angebot an Anbietern, wenn es darum geht, KRITISInfrastrukturen vollumfänglich schützen und gleichzeitig die NIS2 Vorgaben substanziell einhalten zu können – gerade Themen wie der physische Schutz vor Bedrohungen wie Einbruch oder Naturkatastro phen, Einrichtungen für ITSicherheit für alle Komponenten mit integrier tem „Vulnerability & Patch Management“ sowie die bereits erwähnten Systeme zur Angriffserkennung wie SIEM und eine 24/7Leitstelle, das „Security Operations Center“. „Unser mehrstufiges Konzept auf allen Ebe nen umfasst Sicherheit nicht nur auf der physikalischen Ebene, sondern berücksichtigt auch die ITSysteme, OTSysteme und die weiteren technischen Einrichtungen“, so Joachim Astel weiter. Das Rechenzentrum selbst umfasst einen vollständig abgeschirmten Außenbereich und enthält einen Zaun mit Über steigschutz, Vereinzelung für Fahrzeuge, einen Sicherheitsdienst vor Ort sowie eine flächende ckende Videoüberwachung“, sagt Joachim Astel. Im Innersten der Rechenzentren von noris network kommen Cages zum Schutz des ITBereichs mit biometrischer Zugangskontrolle und optionaler mehrfacher Personen und Warenvereinzelung zum Einsatz. Die gesam ten Gelände der Datacenter sind zudem hochgradig katastrophensicher gemäß Schutzklasse SK4 der EN 50600 konzipiert, während ein ausgeklü geltes Brandschutzkonzept auch im Branderkennungsfall einen unterbre chungsfreien Betrieb erlaubt. „noris network ist im Branchenarbeitskreis UP KRITIS engagiert, um bereits frühzeitig über Änderungen der Bedro hungslage informiert zu sein und aktiv an der Weiterentwicklung von KRITIS mitwirken zu können“, erklärt Joachim Astel. Vertrauen durch Zertifizierung Gleichzeitig müssen KRITISkonforme Rechenzentren dafür geradeste hen, dass die Zuverlässigkeit und Verfügbarkeit und somit die Business Continuity für systemkritische Einrichtungen jederzeit mithilfe von re dun danten Systemen, Notstromversorgungen, IT und OTSystemen und natürlich durch Backup und DisasterRecoveryPläne gewährleistet ist. Davon zeugen Zertifikate. Joachim Astel: „Ein Zertifikat nach KRITIS untermauert, dass ein Anbieter die gesetzlichen Anforderungen für die Si cherheit und den Schutz kritischer Infrastrukturen in Deutschland erfüllt. Dazu kommen bei uns weitere Zertifizierungen wie ISO 27001, ISO 20000, BSIGrundschutz und viele mehr, um den Reifegrad der Organisation nach außen weiter zu unterstreichen.“ n noris network AG ThomasMannStraße 16–20 90471 Nürnberg, Deutschland Telefon: +49 911 93520 EMail: vertrieb@noris.de www.noris.de SPECIAL_3/2024 NIS-2 | KRITIS 23 . m o c . e b o d a k c o t s - d l r o w t c e n n o C : d l i B

– ADVERTORIAL – – ADVERTORIAL – Zur Miete/zum Mietkauf oder auch direkt zum Kauf Mobiles Outdoor-DataCenter „asfm-TMC-09s mobile DataCenter“ Die besonderen Vorteile einer asfm-IT-Outdoor- Containerlösung als mobiles DataCenter: F90/F120 Vollstahlcontainer mit zusätzlicher thermischer Trennung, hohen Isolationswerten mit hoher statischer Festigkeit. 3Raum Konzept mit abgeschlossenem Infrastruktur und ITBereich sowie getrennter Außenklimatechnik. Absolut dicht gegen Umwelteinflüsse rundum druckfest und wasser- wie rauch und rauchgasdicht verschweißt. Dies ist insbesondere beim Einsatz von Brandlöschanlagen oder Sauerstoffreduktionsanlagen zur Vermeidung einer Brandentstehung UNABDINGBAR – die hier erforder liche Dichtigkeit kann beispielsweise mit Trapezblechcontainern nicht erreicht werden – es sind etliche Fälle bekannt, in denen Prüfinstitute, wie zum Beispiel der VdS, eine Abnahme aufgrund fehlender Dichtig keit verwehrt haben. Eingeschweißte Supermodulschotte, modular bestückbar, wieder öf fen und schließbar zur Medieneinführung. KEINE einfachen Weich und Ausschäumschotte. 24 SPECIAL_3/2024 NIS-2 | KRITIS Unser asfmmobile DataCenter als 3RaumSystem ist ab Juli 2024 generalüberholt betriebsfertig verfügbar – komplett ausgestattet mit aller Infrastruktur zur ITInstallation vorbereitet. Vier 19ZollRacksysteme mit intelligenten PDUs, USVBatterieAnlage 20 kVA, Klimatechnik 20 kW, Branddetektion mit NOVEC 1230 Minimax Löschsystem, Brandfrühesterkennungssystem, Überwachung der Temperaturen und Techniksysteme mit Monitoringsystem und GSMMeldetechnik Ereignisse per SMS und optional Videokameras im Inneren. Alles nach Stand der Technik ist an „Bord“ und sofort einsatzbereit. Die komplette Anlage ist VdSgeprüft und abgenommen.

– ADVERTORIAL – Stabile Stahlbaukonstruktion in allen Bereichen – Wand, Decke, Boden, daher hohe Widerstandsklasse. Betrachtung der Verfügbarkeit DC im Gebäude oder als Outdoor-Lösung im asfm-TMC: Dachgruppe selbsttragend auf umlaufenden Rahmen vorgewölbt ein geschweißt. Durch diese Wölbung wird sowohl eine hohe Stabilität erreicht, als auch ein Stehenbleiben von Wasser/Schnee verhindert. Damit sind Fehlerquellen etwa durch verstopfte oder undichte sowie unzureichende Entwässerungskomponenten (Dachrinnen, Abläufe, etc.) ausgeschlossen. Unsere asfmStahlhüllen Bauart A und B sind hermetisch in sich ab geschlossene Gebäude. Sie sind eigenständig, fast überall installierbar und sind NICHT von anderen Gebäudegegebenheiten oder Einflüssen abhängig oder betroffen. Installation der Klimaaußengeräte auf dem ITContainer in eigens ge schütztem Bereich. MobileITContainer in bestücktem Zustand anhebbar und umsetzbar. Eine asfm-IT-Containerinstallation ist sehr flexibel und OHNE zusätzli chen Installationsaufwand sofort einsetzbar. Unsere asfmContainer lösungen haben den enormen Vorteil, dass die Investition nicht in ein unflexibles Gebäude fließt, sondern in ein Mobilgebäude (zum Beispiel bei einem Umzug mitnehmbar). Unter Umständen wird teurer und wertvoller Raum im Gebäude durch DataCenterAuslagerung eingespart und unabhängig von der Büro gebäudeinfrastruktur! Integriert in den asfmTMC ist ein in AußenwandQualität separierter Raum, welcher mit Wetterschutzgittern ausgestattet ist und speziell für die Aufnahme der KlimaAußengeräte gefertigt wurde. In diesem speziellen und gegen Zugriff geschützten Bereich sind die Klima außen geräte auf der Containerplattform sicher eingehaust, festmon tiert und direkt ab Werk betriebsfertig angebunden. Somit kann dieser asfmTMC als mobiles Datacenter komplett betriebsfertig transportiert werden. Im Bereich der Installation der Klimaaußengeräte verfügen die beiden seitlichen Wandelemente über Wetterschutzgitter, damit eine optimale Luftansaugung und Luftzirkulation für die Klimatechnik ge währleistet ist und die Klimageräte mit geschlossenen Türen zugriff geschützt voll betrieben werden können. Im Bereich des Eingangs wird eine mobile Zusatzeinrichtung mitgeliefert, sodass bei geöffnetem Doppeltürsystem hierdurch eine Abdeckung als eine Art Vordach ge schaffen ist und somit dieses Doppeltürsystem mit dieser Abdeckung als Eingangseinhausung und Wetterschutz dient. Wenn sich ein Rechenzentrum (RZ) in einem Gebäude befindet, ist es un weigerlich mit diesem Gebäude verbunden. Dies drückt sich in vielerlei Hinsicht aus. Entsteht ein Brand im Gebäude, dann ist das RZ direkt oder zumindest indirekt betroffen. Die Feuerwehr rückt an und löscht den Brand. Nun kann es passieren, dass der Zutritt zum Gebäude oder zu mindest der Zutritt zur Etage auf der sich das RZ befindet temporär nicht zugelassen wird. Man kommt nun nicht mehr ins RZ hinein! Es kann auch der Fall eines Löschwasserschadens auftreten, durch durchsickerndes Wasser bei einem Brand im Stockwerk darüber. Genauso gut kann Wasser bei einem Rohrbruch ins RZ gelangen. Die asfmITContainerInstallation hingegen ist autark, man muss keine Rücksicht auf die bestehende bauliche Infrastruktur nehmen. Die äußeren Einflüsse sind überschaubar. Gegen Brand, Wasser, Rauch und Blitzein schlag ist der ITContainer durch die bauartbedingte verschweißte Voll stahlhülle und entsprechende Vorsorgemaßnahmen geschützt. n Details asfm-mobile DC-09 verfügbar – firstin–firstout! asfmGmbH SPECIAL_3/2024 NIS-2 | KRITIS 25 Damit auch der mobile Stromanschluss gewährleistet ist, ist im Bereich neben der Eingangstür ein Stromanschlusskasten ausgebildet, welcher verschließbar ist und die Steckvorrichtungen zur Versorgung des asfm TMCmobile DataCenter enthält. Hier werden eine Standardstromver sorgung und zusätzlich eine Netzersatzanlageneinspeisung einfach mittels CEESteckvorrichtungen realisiert, daher sind keine weiteren Elektroinstallationsarbeiten notwendig. In diesem Bereich erfolgt auch die Netzwerkeinspeisung über unsere speziellen Schraubschotte. active service facility management Schnell verfügbar und schnell einsatzfähig.

IT-Sicherheit im Fokus! CISO Circle: Check-Up Ihres Cyber Resilience Cockpits 25.–26.09.2024 | Köln Referenten: Markus Limbach, Florian Thiessenhusen, Marvin Kroschel, Reza Jahangiri Programm: (Set theScene) TAG 1: ◾ War Stories und Angriffswege ◾ Workshop: IncidentResponseund RecoveryProzesse ◾ Workshop: Einführung BCM als Grundlage zur Business Resilienz TAG 2: ◾ Workshop: Zerotrust/ CloudSecurity ◾ Workshop: Regulatorischer Ausblick, ITSig, KRITIS, NIS2 ◾ WrapUp Lessons learned Jetzt anmelden: www.datakontext.com/CISO Valentin - stock.adobe.com