NIS2-Richtlinie & Ihre Netzwerklösungen Cybersecurity

Wir haben es schon einmal gesagt und werden es noch einmal sagen: Cybersicherheit ist keine Selbstverständlichkeit.

Leider sind Cyberangriffe sowohl im privaten als auch im öffentlichen Sektor weiterhin auf dem Vormarsch, wie die Zunahme solcher Angriffe in Europa um 57 % im Jahr 2023 zeigt. Das ist kein gutes Zeichen, aber wenn es einen Silberstreif am Horizont gibt, dann ist es der, dass diese Vorfälle die Notwendigkeit für Unternehmen unterstreichen, ihre IoT-Sicherheitsmaßnahmen zu überdenken und zu verbessern.

Die wachsende Besorgnis über die IoT-Sicherheit und die Cybersicherheit in all ihren Formen geht über den privaten und öffentlichen Sektor hinaus und schließt auch Regierungsstellen ein. Die Europäische Union ist ebenfalls bestrebt, umfassende Maßnahmen zur Cybersicherheit zu ergreifen, um Unternehmen vor unerwünschten Gefahren zu schützen, insbesondere solche, die mit kritischen Infrastrukturen arbeiten.

Angesichts der neuen EU-Cybersicherheitsvorschriften, die bis Oktober 2024 umgesetzt werden sollen, sollten Sie sich mit der NIS2-Richtlinie, ihrem Zweck, den Vorschriften und den möglichen Folgen einer Nichteinhaltung vertraut machen.

WODURCH UNTERSCHEIDET SICH NIS2 VON NIS?

nis2-directive-your-networking-solutions-cybersecurity-in-article-2.jpg

Die NIS-Richtlinie war die erste EU-weite Rechtsvorschrift, die Unternehmen, die im Geltungsbereich der Europäischen Union tätig sind, zur Einhaltung bestimmter Cybersicherheitsstandards verpflichtet.

Diese Standards umfassten Maßnahmen zur Risikokontrolle und -vermeidung sowie die Verpflichtung, Vorfälle zu melden und mit den Behörden zusammenzuarbeiten. Diese Richtlinie betraf vor allem Unternehmen, die in kritischen Infrastrukturen tätig sind, sowie wichtige Anbieter digitaler Dienste in den Bereichen Verkehr, Energie und Finanzen.

Die ursprüngliche NIS-Richtlinie wurde vor fast 7 Jahren, im Jahr 2017, eingeführt. Seitdem hat sich in der digitalen Welt viel verändert. Daher war es unvermeidlich, dass die Europäische Union die NIS-Richtlinie aktualisieren würde, um die IoT-Sicherheit zu gewährleisten. Und in der Tat, das hat sie getan.

Diese zweite Version der NIS, die von der EU eingeführt wurde, ist größer, stärker und strenger. Sie zielt darauf ab, höhere Cybersicherheitsstandards für einen verbesserten Schutz der Netzinfrastruktur festzulegen, die Unternehmen bis Oktober 2024 erfüllen müssen.

VORSCHRIFTEN DER NIS2-RICHTLINIE, DIE UNTERNEHMEN EINHALTEN MÜSSEN

Es gibt vier übergreifende Arten von Anforderungen in der NIS2-Richtlinie, deren Einhaltung für ein Unternehmen von entscheidender Bedeutung ist:

1) Risikomanagement - Unternehmen müssen Risiken mindern, indem sie sich auf den Schutz ihrer Netzwerkinfrastruktur, die Sicherheit der Lieferkette und die Zugangskontrolle und Datenverschlüsselung von Netzwerklösungen konzentrieren.

2) Verantwortlichkeit des Unternehmens: Die Unternehmensleitung muss ihre Mitarbeiter beaufsichtigen und anweisen, bei ihren täglichen Aufgaben Sicherheitsmaßnahmen zu ergreifen und sich mit den von ihnen erkannten Cybersicherheitsrisiken auseinanderzusetzen.

3) Meldepflichten - Wesentliche und wichtige Einrichtungen müssen alle Sicherheitsvorfälle, die sie erleben, unverzüglich melden und dabei bestimmte Fristen für die Meldung von Vorfällen einhalten, wie die 24-Stunden-Frühwarnfrist.

4) Geschäftskontinuität - Unternehmen müssen ihre Maßnahmen für den Fall eines größeren Cybervorfalls im Voraus planen, einschließlich der Durchführung von Systemwiederherstellungen, der Einführung von Notfallverfahren und der Zuweisung eines speziellen Teams, das für das Krisenmanagement zuständig ist.

nis2-directive-your-networking-solutions-cybersecurity-in-article-1.jpg

Teltonikas Leiter für IT-Infrastruktur und Sicherheit, Artūras Golyšenko, berät:

"Es ist wahrscheinlich, dass Unternehmen nur ihr IT-Personal in die Vorbereitung auf die NIS2-Richtlinie einbeziehen und sie nur als ein weiteres technologisches Rätsel betrachten.

"Um jedoch die Widerstandsfähigkeit des gesamten Unternehmens gegen Cyber-Bedrohungen zu verbessern, sollte das Team nicht nur aus technischen Experten bestehen, sondern auch aus Leitern mehrerer Abteilungen, Juristen, Mitarbeitern, die für die Dienstleistungen des Unternehmens verantwortlich sind, und sogar Managern.

"Da zu den Cyberangriffen auch menschliches Versagen gehört, reicht die IT-Abteilung allein nicht aus, um sich vorzubereiten. Es ist wichtig, eine Cybersicherheitskultur in den Unternehmen zu fördern, indem man den Mitarbeitern Grund- und Spezialwissen für den Umgang mit bestimmten Situationen vermittelt.

"Auf diese Weise verfügen alle Beteiligten im Unternehmen über die erforderlichen Informationen und sind in der Lage, Problembereiche zu erkennen und zu beheben. Dies garantiert Kontinuität in der Entwicklung des Cybersicherheitsprozesses".

Weitere Informationen finden Sie in diesem umfassenden Überblick über den Inhalt der NIS2-Richtlinie.

Das führt uns zu der nächsten Frage...

WAS BEDEUTET DAS FÜR SIE?

Überlegen Sie sich diese Frage genau, denn die ursprüngliche NIS-Richtlinie hatte eine geringere Auswirkung und betraf weniger kritische Infrastrukturunternehmen, die sich auf Sektoren wie Energie, Gesundheit, Verkehr, Finanzen, Wasserversorgung und digitale Infrastruktur spezialisiert haben.

nis2-directive-your-networking-solutions-cybersecurity-in-article-3.jpg

Jetzt konzentriert sich die NIS2-Richtlinie nicht nur weiterhin auf diese sechs Sektoren, sondern erweitert sie um neun weitere Sektoren, wie Abfallwirtschaft, verarbeitendes Gewerbe, Forschung, digitale Anbieter und andere. Die Liste ist also viel umfangreicher als zuvor.

Für die Einhaltung der NIS2-Richtlinie ist auch die Größe Ihres Unternehmens entscheidend. Wesentliche Unternehmen, d. h. Unternehmen mit rund 250 Beschäftigten und einem Jahresumsatz von 50 Millionen Euro, müssen die Richtlinie einhalten. Ebenso müssen wichtige Unternehmen mit etwa 50 Beschäftigten und einem Umsatz von 10 Millionen Euro die Richtlinie einhalten.

Es ist jedoch wichtig zu wissen, dass Unternehmen, die nicht in diese Kategorien fallen, dennoch die Vorschriften einhalten müssen, wenn sie kritische Dienstleistungen erbringen, die für die gesellschaftlichen oder wirtschaftlichen Aktivitäten in einem Mitgliedstaat unerlässlich sind.

Wenn Unternehmen, die der NIS2-Richtlinie unterliegen, die Anforderungen nicht einhalten, müssen sie mit Sanktionen rechnen. Diese Sanktionen können in Form von nichtmonetären Abhilfemaßnahmen, Verwaltungsgeldstrafen oder sogar strafrechtlichen Sanktionen erfolgen.

Die Tatsache, dass der Sektor Ihres Unternehmens nicht auf der Liste steht, bedeutet jedoch nicht, dass Sie aus dem Schneider sind, denn die Wahrscheinlichkeit ist groß, dass Ihre Dienstleistungen oder Produkte in einem der betroffenen Sektoren genutzt werden. Mit anderen Worten: Auch Ihr Unternehmen muss die Vorschriften der NIS2-Richtlinie einhalten.

WAS PASSIERT, WENN IHR UNTERNEHMEN DIE NIS2-VORSCHRIFTEN NICHT EINHÄLT?

Wie bereits erwähnt, werden Unternehmen, die der NIS2 unterliegen, von ihren Lieferanten und Partnern die Einhaltung der Vorschriften verlangen, um eine sichere Lieferkette zu gewährleisten und Geldstrafen zu vermeiden. Die Nichteinhaltung der Vorschriften könnte dazu führen, dass Ihre potenziellen oder derzeitigen Kunden ihre Verträge nicht verlängern, was sich negativ auf Ihr Geschäft auswirkt.

nis2-directive-your-networking-solutions-cybersecurity-in-article-4.jpg

Ein weiteres wichtiges Anliegen ist der Ruf Ihres Unternehmens. Wenn Ihr Unternehmen die NIS2 nicht einhält, könnte es als unzuverlässig oder inkompetent bei der Aufrechterhaltung eines hohen Niveaus an Cybersicherheit angesehen werden.

Wenn Sie also die Vorschriften der NIS2-Richtlinie ignorieren, wird Ihr Unternehmen einen Nachteil erleiden, der sich mit Sicherheit auf die Beziehungen zu den Kunden und das gesamte Geschäft auswirkt.

IHR UNTERNEHMEN WIRD TELTONIKA EINHALTEN

Teltonika investiert viel Zeit und Mühe nicht nur in die Verbesserung der Sicherheit unserer Netzwerkgeräte und der IoT-Sicherheit, sondern auch in unsere Cybersicherheitsrichtlinien. Da sich unser Hauptsitz in Litauen befindet, müssen wir alle EU-Vorschriften, einschließlich der NIS2-Richtlinie, einhalten.

nis2-directive-your-networking-solutions-cybersecurity-in-article-5.jpg

Die NIS2-Richtlinie der EU muss noch in litauisches Recht umgesetzt werden. Die spezifischen Vorschriften des litauischen nationalen Cybersicherheitszentrums werden voraussichtlich im vierten Quartal 2024 bekannt gegeben. In der Zwischenzeit halten wir uns an die besten Cybersicherheitspraktiken, setzen modernste Technologien ein und verwalten unsere Systeme gemäß ISO27001 und ISO9001.

Teltonika's Abteilung für Netzwerkgeräte ist vor kurzem offizielles Mitglied der CVE-Programmgemeinschaft geworden. Diese Mitgliedschaft ermöglicht es uns, eine schnelle Meldung von Vorfällen zu gewährleisten, da wir selbst CVEs erstellen, registrieren und veröffentlichen können.

Es ist auch wichtig, einen großen Vorteil unseres Remote Management Systems (RMS) hervorzuheben, da unsere Kunden damit sichere Fernverwaltungsfunktionen für ihre gesamte Netzwerklösung erhalten und den Zustand und Status jeder Komponente überwachen können.

Mit RMS kann überwacht werden, ob alle beteiligten IoT-Geräte kontinuierlich so arbeiten, wie sie sollten. Wenn dies nicht der Fall ist, kann RMS den Kunden auf der Grundlage vorkonfigurierter Regeln effektiv über etwaige Vorfälle oder potenzielle Risiken informieren.

TELTONIKA'S ANSICHT ÜBER SSDL

Bei der Entwicklung von Softwaresystemen für unsere Netzwerkgeräte befolgen unsere F&E- und Cybersicherheitsingenieure einen Secure Software Development Lifecycle (SSDL) Prozess. Damit soll sichergestellt werden, dass unsere Netzwerkgeräte von Anfang an sicher sind, noch bevor sie mit zusätzlichen Sicherheitsmaßnahmen versehen werden.

Wir gehen bei unserer SSDL in sechs Phasen vor, die uns dabei helfen, potenzielle Cybersicherheitsrisiken sorgfältig zu ermitteln und zu mindern:

1) Unsere Cybersecurity-Ingenieure schulen und testen Software-Entwicklungsteams und behandeln dabei Sicherheitsthemen und bewährte Verfahren, um ein sicheres und effizientes Arbeiten zu gewährleisten;

2) Wir legen grundlegende Sicherheits- und Datenschutzanforderungen für kommende Software-Updates oder -Releases fest;

3) Das Forschungs- und Entwicklungsteam prüft und analysiert kontinuierlich, wie die Geräte mit den kommenden Softwareversionen funktionieren sollten, und sucht nach potenziellen Sicherheitsbedrohungen;

4) Führen wir konsequent statische Codeanalysen durch, um den Code unserer Netzwerkgeräte zu pflegen, zu überprüfen und zu optimieren;

5) Führen wir mehrere Tests durch, einschließlich umfassender Fuzzing- und Penetrationstests, um die endgültige Entscheidung zu treffen;

6) Sobald diese strengen Tests abgeschlossen sind, wird die Dokumentation fertiggestellt, archiviert und bei Beginn des neuen Zyklus als Referenz verwendet.

nis2-directive-your-networking-solutions-cybersecurity-in-article-6.jpg

SICHERN SIE IHRE KRITISCHE INFRASTRUKTUR MIT NIS2-kompatiblen IoT-Geräten

nis2-directive-your-networking-solutions-cybersecurity-in-article-7.jpg

Die Sicherung Ihrer kritischen Infrastruktur, insbesondere im Rahmen von Netzwerklösungen, kann zunächst entmutigend erscheinen. Wenn Sie jedoch Teltonika-Geräte für Ihre kritischen Infrastrukturlösungen wählen, können Sie sich keine Sorgen mehr machen. Und da sind wir zuversichtlich.

Möchten Sie noch mehr Details darüber erfahren, wie wir die NIS2-Richtlinie einhalten und welche zusätzlichen Cybersicherheitsmaßnahmen wir ergreifen, um unsere IoT-Geräte von der Konkurrenz abzuheben?

Zögern Sie nicht, uns zu kontaktieren. Wir sagen Ihnen, wie unser Engagement für Sicherheit uns zum idealen Partner für Ihre Reise in eine sicherere digitale Zukunft macht.