Die NIS2- und DORA-Sicherheitsrichtlinien der EU: Was Sie wissen müssen

Das finanziell und grundlegende Dienstleistungen Sektoren waren 2022 die Hauptziele von Ransomware.

Unternehmen in diesen Branchen stehen unter enormem Druck. Sie müssen sich transformieren und digitalisieren, um die Effizienz zu steigern — und das schnell, während Verfügbarkeit und Sicherheit gewahrt bleiben.

Gleichzeitig zielen Ransomware-Akteure bewusst auf Finanzdienstleister und Betreiber wichtiger Dienste ab. Sie wissen, dass sich diese Branchen keine Ausfallzeiten leisten können und im Gegenzug die größte Chance bieten, ein Lösegeld auszuzahlen.

Im letzten Jahr haben wir unzählige Cybersicherheitsvorfälle in Bank- und Finanzdienstleistungen und wichtige Dienstleistungssektoren einschließlich Energie, Wasser und Verkehr. Diese Angriffe haben enorme finanzielle Verluste verursacht und können der Wirtschaft, der zugrunde liegenden Infrastruktur und der Sicherheit der Verbraucher enormen Schaden zufügen.

Warum Finanzdienstleistungen und grundlegende Dienstleistungen Cyber-Resilienz benötigen

Jedes Jahr steht ein neues Business-Buzzword im Mittelpunkt.

Die dieses Jahres? Widerstandsfähigkeit. Und das aus gutem Grund.

In den letzten 12 Monaten hat sich die Art und Weise, wie Unternehmen mit Cyberrisiken umgehen, erheblich verändert. Cyberangriffe haben sich vom bloßen Datendiebstahl hin zu einer Beeinträchtigung der Unternehmensverfügbarkeit entwickelt. Mit den durchschnittlichen Kosten einer Datenschutzverletzung jetzt 4,35 Millionen $, es reicht nicht mehr aus, einfach auf Angriffe zu reagieren — es geht darum, sie zu überleben.

Erfahren Sie, warum Resilienz das ist Die oberste Sicherheitspriorität des Bankensektors gerade jetzt.

Das Problem wird durch das mangelnde Vertrauen der Unternehmensleiter in die Widerstandsfähigkeit ihres Unternehmens im Falle eines Angriffs verschärft. Laut aktuelle Forschungen Laut der Enterprise Strategy Group sind nur 19% der Unternehmensleiter der Meinung, dass ihr Unternehmen bereit ist, die Auswirkungen eines Cyberangriffs zu bewältigen. Und mehr als die Hälfte glaubt, dass ein Angriff katastrophale geschäftliche Folgen haben würde.

Erfahren Sie, wie Illumio Zero Trust Segmentation Cyber-Resilienz bietet hier.

Die Antwort der Europäischen Union auf Cyberresistenz — NIS2 und DORA

Um die Widerstandsfähigkeit und die Fähigkeiten zur Reaktion auf Zwischenfälle in ganz Europa zu stärken, hat die Europäische Union (EU) kürzlich Aktualisierungen der Richtlinie über Netzwerk- und Informationssysteme (NIS) für grundlegende Dienste genehmigt, nämlich IST 2, das voraussichtlich in den nächsten Jahren in Kraft treten wird.

Obwohl das Vereinigte Königreich nicht mehr Teil der EU ist, hat es die NIS-Richtlinie übernommen und bestätigt, dass es auch Aktualisierungen vornehmen wird. Die Aktualisierung wird die bestehende Richtlinie stärken, um sicherzustellen, dass grundlegende und digitale Dienste im Vereinigten Königreich vor immer raffinierteren und häufigeren Cyberangriffen geschützt sind.

Darüber hinaus hat die EU den Digital Operational Resilience Act (DORA) geschaffen, der sicherstellen soll, dass Bank- und Finanzdienstleistungsunternehmen Sicherheitsvorfällen standhalten, darauf reagieren und sich von ihnen erholen können.

Nach der Veröffentlichung der Richtlinien erhalten Organisationen eine 24-monatige Umsetzungsfrist. Proaktive Änderungen sind jedoch immer besser als reaktive Brandschutzübungen. Unternehmensleiter empfehlen, jetzt damit zu beginnen, um die Einhaltung der Vorschriften zu gewährleisten.

Was ist NIS2?

Das Hauptziel der neuen NIS2-Richtlinie besteht darin, den Wissensaustausch zu verbessern und die Reaktion wesentlicher Dienste wie Energie, Verkehr, Bankwesen und Gesundheitswesen nach Sicherheitsverletzungen zu stärken. Es handelt sich um eine Weiterentwicklung der ursprünglichen NIS-Richtlinie, in der rechtliche Maßnahmen für die Sicherheit von Netzwerken und Informationssystemen dargelegt wurden.

Greifen Sie auf den Entwurf der NIS2-Richtlinie zu hier.

Warum NIS2 für grundlegende Dienste wichtig ist

Ziel dieser Richtlinie ist es, die Widerstandsfähigkeit und die Reaktionsfähigkeit sowohl des öffentlichen als auch des privaten Sektors sowie der EU insgesamt zu verbessern.

Es ist aber auch ein Signal für einen umfassenderen Trend — die Akzeptanz, dass es zu Verstößen kommen wird. Die Richtlinie trägt zwar zum Schutz kritischer IT-Ressourcen bei, stellt aber auch Anbieter wichtiger Dienste vor eine neue Herausforderung bei der Einhaltung der Vorschriften.

Was ist DORA?

Während NIS2 Bank- und Finanzdienstleistungsorganisationen in seine Richtlinie einbezieht, richtet sich DORA speziell an den Finanzsektor.

Das Kommende DORA Die Richtlinie soll sicherstellen, dass Unternehmen Verstößen standhalten, darauf reagieren und sich von ihnen erholen können. Der Bankensektor stützt die Weltwirtschaft, und ohne strenge Cybersicherheitsmaßnahmen können Sicherheitslücken schnell katastrophale Folgen haben. DORA verlangt von Banken, ihre Cyber-Resilienz zu stärken, Kundendaten zu schützen und die Geschäftskontinuität angesichts einer Sicherheitsverletzung sicherzustellen.

DORA soll Anfang 2023 in Kraft treten und bis 2025 gelten. Es wird die Finanzdienstleistungsbranche grundlegend verändern.

Greifen Sie auf die DORA-Richtlinie zu hier.

Warum DORA für Bank- und Finanzdienstleistungen wichtig ist

Seit vielen Jahren bemüht sich die Branche intensiv darum, Geschäfts- und Sicherheitsergebnisse miteinander zu verbinden. DORA verbessert nicht nur die Widerstandsfähigkeit von Finanzorganisationen, sondern wird auch den Zusammenhang zwischen Sicherheitsfunktionen und betrieblicher Widerstandsfähigkeit deutlicher herausstellen.

Unternehmen, die in den Geltungsbereich fallen, müssen in der Lage sein, Risiken schnell zu managen und zu bewältigen. Tatsächlich schreibt Kapitel II Abschnitt II von DORA vor, dass Unternehmen ein angemessenes Risikomanagement-Framework entwickeln, um Sicherheitsrisiken schnell, effizient und umfassend zu begegnen und ein hohes Maß an digitaler Betriebsstabilität zu gewährleisten.

Dies ist jedoch keine leichte Aufgabe — und Unternehmen müssen jetzt damit beginnen, die Grundlagen zu legen, sonst laufen sie Gefahr, ins Hintertreffen zu geraten.

3 Möglichkeiten, wie Illumio Zero Trust Segmentation dazu beitragen kann, die NIS2- und DORA-Konformität zu erreichen

Was sollten Unternehmen sofort tun, um Resilienz aufzubauen und NIS2- und DORA-konform zu sein? Fangen Sie an mit Zero-Trust-Segmentierung (ZTS).

1. Verschaffen Sie sich Einblick in die Anwendungs- und Workload-Kommunikation

In einem ersten Schritt ist es wichtig, eine Lückenanalyse durchzuführen, in der die aktuellen Sicherheitsinitiativen und Risiken Ihres Unternehmens mit den Anforderungen von NIS2 und DORA verglichen werden.

Ein wichtiges Instrument in diesem Prozess ist Zuordnung von Anwendungsabhängigkeiten angeboten von der Illumio ZTS-Plattform. Verschaffen Sie sich einen schnellen, leicht verständlichen Einblick in den Anwendungs- und Workload-Traffic und die Kommunikation auf der gesamten hybriden Angriffsfläche. Sehen Sie sich beispielsweise an, welche Server mit geschäftskritischen Ressourcen kommunizieren oder welche Anwendungen offene Verbindungen zum Internet haben, sodass böswillige Akteure einfach auf das Netzwerk Ihres Unternehmens zugreifen können.

Diese Transparenz ermöglicht es Ihrem Sicherheitsteam, seine Arbeit im Hinblick auf die NIS2- und DORA-Konformität zu priorisieren. Sie können sehen, wo das Unternehmen bereits die Vorschriften einhält und wo bessere Sicherheitskontrollen eingeführt werden müssen.

2. Legen Sie eine flexible, granulare Segmentierungsrichtlinie fest

Nachdem Sie Einblick in Ihr Hybridnetzwerk erhalten haben, können Sie der Festlegung fundierter Sicherheitsrichtlinien Priorität einräumen, die Ihre Cyber-Resilienz erhöhen und Ihnen helfen, die NIS2- und DORA-Konformität zu erreichen.

Mit Illumio ZTS können Sie automatisch flexible, granulare Segmentierungsrichtlinien festlegen, die die Kommunikation zwischen Workloads und Geräten steuern. Dies ermöglicht nur das, was notwendig und gewollt ist. Sie können beispielsweise die Kommunikation zwischen Servern und Anwendungen, zwischen Entwicklern und Herstellern oder zwischen IT und OT einschränken.

Die Festlegung einer Segmentierungsrichtlinie ist ein wichtiger Schritt zum Aufbau einer Zero-Trust-Architektur — eines Sicherheitsmodells, das in den NIS2- und DORA-Direktiven implizit enthalten ist.

3. Isolieren Sie proaktiv Ressourcen oder verhindern Sie reaktiv die Ausbreitung von Sicherheitslücken

Die Segmentierung Ihres Netzwerks mit Illumio ZTS bietet sowohl proaktiven als auch reaktiven Schutz vor unvermeidlichen Sicherheitslücken und erreicht so das Kernziel der Widerstandsfähigkeit gegen Angriffe gemäß den NIS2- und DORA-Richtlinien.

Isolieren Sie proaktiv hochwertige Ressourcen, um den Zugriff nur auf das zu beschränken, was kritisch und notwendig ist. Das bedeutet, dass Sie sicher sein können, dass sich Ransomware oder andere Sicherheitslücken nicht auf diese Ressourcen ausbreiten, den Geschäftsbetrieb zum Erliegen bringen und katastrophalen Schaden anrichten können.

Stoppen Sie während eines aktiven Angriffs reaktiv die Ausbreitung einer Sicherheitsverletzung und begrenzen Sie sie innerhalb weniger Minuten auf einen kleinen Teil Ihres Netzwerks. In der Tat ein Aktuelle Emulation von Bishop Fox-Cyberangriffen stellte fest, dass Illumio ZTS die Ausbreitung einer Sicherheitsverletzung in weniger als 10 Minuten stoppen kann. Das ist viermal schneller als Lösungen für Endpoint Detection and Response (EDR) allein.

Lesen Sie mehr über wie sich Illumio an die bestehende NIS-Richtlinie anpasst, die Grundlage der kommenden NIS2-Richtlinie.

Sind Sie bereit, Illumio ZTS zu verwenden, um die NIS2- und DORA-Konformität zu erreichen? Kontaktieren Sie uns noch heute für eine Beratung und Demo.