Compliance entwickelt sich weiter – ist Ihre Resilienz bereit?

NIS2 und DORA setzen eine Vielzahl von Branchen stärker unter Zugzwang.

Vor einem Jahrzehnt lag unser Schwerpunkt darauf, sicherzustellen, dass unsere Organisationen beim Erfassen personenbezogener Daten transparent und umsichtig vorgingen, den Betroffenen Wahlmöglichkeiten beim Umgang mit ihren Daten einräumten, diese sorgfältig schützten und bei einer Kompromittierung über Pflichten und bewährte Vorgehensweisen berieten.

Heute mache ich all diese Dinge immer noch. Da jedoch neue Vorschriften wie die zweite Richtlinie zur Netz- und Informationssicherheit (NIS2) das Cybersicherheitsumfeld verändert haben, hat sich mein Aufgabenbereich erweitert. Er umfasst nun nicht nur den Schutz von personenbezogenen Daten, sondern auch den Umgang mit Bedrohungen für die Integrität und Verfügbarkeit der Dienste, die diese personenbezogenen Daten verarbeiten. Das bedeutet, dass ich viel Zeit mit den Produkt- und Engineering-Teams von Cloudflare in Bezug auf die Verfügbarkeit und Ausfallsicherheit bzw. Resilienz unserer Produkte verbringe. Unsere Arbeit umfasst die Entwicklung von Verfahren zur Messung der Auswirkungen von Störungen, die Bestimmung meldepflichtiger Vorfälle und – falls erforderlich – die konkrete Ausarbeitung von Bericht und Reaktion.

Ich bin nicht der Einzige, der einen Wandel in der Welt von Datenschutz und Compliance wahrnimmt. Mehr als 80 % der Datenschutzfachleute übernehmen Aufgaben, die über ihre klassischen Datenschutzpflichten hinausgehen, so der Privacy Governance Report 2024 der International Association of Privacy Professionals. Die Einhaltung von Cybersicherheitsvorschriften ist zur zweithäufigsten neuen Verantwortung unter den Befragten geworden, deren Aufgabenbereich wächst. Neben dem Schutz der Privatsphäre müssen wir nun sicherstellen, dass unsere Organisationen Cyberrisiken reduzieren und ihre Resilienz stärken.

Sich in neuen Vorschriften zurechtfinden

Die Veränderung in der Rolle von Datenschutzfachleuten spiegelt eine bedeutende Verschiebung im Umfeld der Datenregulierung wider. In den letzten zwei Jahren haben eine Reihe neuer Vorschriften die Resilienz und das Risikomanagement ebenso wichtig für die Einhaltung der Vorschriften gemacht, wie es der Datenschutz schon immer war.

Beginnend mit der DSGVO der Europäischen Union konzentrierte sich die erste Welle bedeutender Datenschutz- und Sicherheitsvorschriften darauf, Einzelpersonen vor den Schäden zu schützen, die durch die Kompromittierung ihrer Daten entstehen können. Die Einhaltung der DSGVO, des California Consumer Privacy Act und anderer ähnlicher Vorschriften bedeutete, die Rechte der betroffenen Personen zu respektieren, die Menge der von Organisationen gesammelten personenbezogenen Daten zu begrenzen und diese Informationen vor unbefugter Offenlegung und böswilligen Akteuren zu schützen.

Drei neue Vorschriften, die seit 2023 in Kraft sind, sind repräsentativ für den Wandel in der Compliance: die Richtlinie zur Netzwerk- und Informationssicherheit 2 (NIS2), der Digital Operational Resilience Act (DORA) und die Cybersecurity-Regel der US-Börsenaufsichtsbehörde (SEC). In Europa zielt NIS2 darauf ab, die digitale Resilienz und Sicherheitspraktiken in 18 Sektoren zu verbessern, während DORA sich auf das IT-Risikomanagement im Finanzsektor konzentriert. Die neue Regel der SEC erhöht die Sicherheits- und Berichterstattungsstandards für an der Börse notierte amerikanische Unternehmen.

Da es so viele Branchen in ganz Europa abdeckt, könnte NIS2 möglicherweise die weitesten Auswirkungen der drei haben. NIS2 fordert Organisationen dazu auf, Risiken gründlicher zu bewerten, Vorfälle schneller zu bewältigen und mehr zu unternehmen, um die Geschäftskontinuität sicherzustellen.

NIS2 verlangt von Organisationen:

• Die Sichtbarkeit aller IT-Assets in verschiedenen Umgebungen ermöglicht eine umfassende Risikobewertung und eine proaktive Bewältigung von Sicherheitsvorfällen.

• Die Sicherheit der Software-Lieferketten, die kritische Systeme unterstützen.

• Sicherheit während des gesamten Lebenszyklus von Netz- und Informationssystemen.

• Die Anfälligkeit von unternehmenskritischen Webanwendungen gegenüber Bedrohungen durch Drittanbieter.

• Verschlüsselung, Zugriffskontrolle und Authentifizierung für verschiedene Nutzertypen, Geräte und Systeme.

NIS2 stellt diese Anforderungen an Sicherheit, Datenschutz und Ausfallsicherheit auch an eine breitere Palette von Branchen und Organisationen als sein Vorgänger, die ursprüngliche Richtlinie zur Netz- und Informationssicherheit („NIS“). NIS wurde in mehreren Sektoren angewandt, die als wichtige nationale Infrastruktur fungieren, darunter Energie, Transport, Bank- und Finanzwesen, Wasser und Gesundheitswesen. NIS2 fügt dieser Gruppe die Abwasserwirtschaft, die Raumfahrtindustrie, die öffentliche Verwaltung und verwaltete Business-to-Business-IT-Dienste hinzu. Außerdem werden sechs neue Branchen zur Kategorie „wichtig“ hinzugefügt: Abfallbewirtschaftung, Lebensmittelverarbeitung, Forschung, Post- und Kurierdienste, chemische Produktion und Vertrieb sowie bestimmte Arten der Herstellung.

Unternehmen in beiden Kategorien unterliegen denselben grundlegenden Anforderungen, aber NIS2 verlangt, dass Organisationen in wesentlichen Sektoren die Einhaltung proaktiv nachweisen. Entscheidend ist, dass die NIS2-Anforderungen auch durch die betroffenen Organisationen auf die von ihnen beauftragten externen Datenverarbeiter übergehen.

Unter NIS2 unterliegen mittelgroße Organisationen (d. h. solche mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von 10 Millionen Euro) in wesentlichen oder wichtigen Sektoren in der EU nun strengen Sicherheitsstandards. Die Nichteinhaltung kann potenziell verheerende Folgen haben: Geldstrafen von bis zu 2 % des weltweiten Umsatzes für „wesentliche“ Sektoren und 1,4 % für „wichtige“ Sektoren. Eine anhaltende Nichteinhaltung kann zur Aussetzung von Diensten oder zur Suspendierung verantwortlicher Mitarbeitender führen.

Der Nettoeffekt: Mehr Unternehmen in mehr Branchen unterliegen strengen Sicherheits- und Resilienzstandards. Und Datenschutzteams spielen eine Schlüsselrolle bei der Erfüllung dieser Anforderungen.

Aufbauend auf bestehenden Investitionen in den Datenschutz

Viele der von NIS2 erfassten Organisationen befassen sich zum ersten Mal mit strengen Cybersicherheitsvorschriften. Dabei bewältigen sie gleichzeitig die Komplexität, mit der wir alle in der modernen IT konfrontiert sind, während sie mit On-Premise-Systemen, Hybrid Cloud-Implementierungen und Edge-Geräten arbeiten.

NIS2 identifiziert 10 Risikomanagement-Maßnahmen, die von den betroffenen Einrichtungen umgesetzt werden müssen. Sie umfassen die Bewertung und Planung für ein breites Spektrum von Gefahren, von Schwachstellen in der Lieferkette und Naturkatastrophen bis hin zu Netzwerkausfällen und menschlichem Versagen. Diese komplizierte Mischung von Risiken durchzieht die physische und die digitale Welt.

Aber es gibt gute Nachrichten für die betroffenen Organisationen und die Datenschutzteams, die sich bemühen, die Einhaltung der Vorschriften zu gewährleisten: Viele der Maßnahmen, die sie bereits zum Aufbau ausgereifter, umfassender Datenschutzprogramme ergriffen haben, können zur Einhaltung von Cybersicherheitsvorschriften genutzt werden.

Die NIS2-Vorgaben zur Risikobewertung verlangen von den betroffenen Unternehmen, dass sie alle Vermögenswerte in ihrem IT-Bereich inventarisieren. DORA tut dasselbe für Unternehmen im Finanzwesen. Vorhandene Datenkarten, die für Datenschutzzwecke entwickelt wurden, verschaffen Organisationen einen Vorsprung beim Verständnis ihrer Vermögenssammlungen und der Risiken, die ihnen drohen.

Datenschutzteams spielen eine wesentliche Rolle bei der Erfüllung der Anforderungen an das Vorfallmanagement gemäß NIS2 und anderen neuen Vorschriften. Zum Beispiel helfen wir dabei festzustellen, wann Vorfälle die Meldeschwelle erreichen, und arbeiten mit Beobachtungsteams zusammen, um sicherzustellen, dass unsere Organisationen über die Daten verfügen, die wir mit den Aufsichtsbehörden und der Öffentlichkeit teilen müssen.

Compliance erreichen, ohne die Komplexität zu erhöhen

Unabhängig davon, wie stabil Ihr Fundament ist, stellt die Erfüllung der NIS2-Vorgaben neue technologische Herausforderungen dar. Für viele Organisationen hängt die Geschäftskontinuität von der kontinuierlichen Verfügbarkeit von Webanwendungen ab. Das bedeutet Schutz gegen Distributed Denial-of-Service (DDoS)-Angriffe auf der Netzwerk-, Transport- und Anwendungsschicht.

Die betroffenen Unternehmen haben auch ein neues Maß an Verantwortung für die Sicherheit der von ihnen genutzten Drittanbieter-Apps und der Software-Lieferkette, die ihren Stacks zugrunde liegt. Die strengen Strafen für Nichteinhaltung machen die Grundlagen der Cybersicherheit wichtiger denn je: das Vorbeugen von Phishing- und Schadsoftware-Angriffen, Zugriffskontrolle und -verwaltung sowie der angemessene Einsatz von Kryptographie, Verschlüsselung und Multi-Faktor-Authentifizierung (MFA).

Es gibt kein einzelnes System und keine Software, das bzw. die diese Herausforderungen bewältigen kann. Es ist eine Frage der Strategie – eine Mischung aus Technologie, Richtlinien, Verfahren und Einfallsreichtum. Aber die Werkzeuge sind wichtig. Indem Organisationen Sicherheitslösungen auswählen, die dem dynamischen regulatorischen Umfeld entsprechen, lassen sich sowohl Komplexität als auch Kosten im Zuge der Compliance reduzieren.

Hier sind drei zentrale Fragen, die Sie bei der Bewertung von Cybersicherheitslösungen im Hinblick auf NIS2 berücksichtigen sollten:

1. Sind diese Lösungen flexibel genug für komplexe IT-Umgebungen? Es gibt Einzellösungen, die für einzelne Aspekte der NIS2-Compliance gut geeignet sind, aber das Einbinden mehrerer solcher Lösungen in hybride Umgebungen kann die Verwaltung erschweren und Sicherheitslücken hinterlassen.

2. Machen sie die Übersicht leichter? Die Inventarisierung von IT-Assets, die Identifizierung potenzieller Sicherheitsprobleme und die schnelle Untersuchung von Bedrohungen sind für die Einhaltung von NIS2 unerlässlich. Die richtige Sicherheitsplattform bietet Transparenz und Berichte nach Bedarf.

3. Sind sie auf Geschäftskontinuität ausgelegt? Störungen von Webanwendungen bedrohen wesentliche Dienste. Suchen Sie nach Lösungen, die die Ausfallzeiten von Websites durch mehrere Schutzebenen gegen Angriffe reduzieren.

Die Connectivity Cloud von Cloudflare – eine einheitliche, intelligente Plattform für Sicherheits- und Netzwerkdienste – rüstet Organisationen für eine größere Resilienz und die Einhaltung bestehender und neuer Sicherheitsvorschriften aus. Diese Plattform bietet proaktive Überwachung und Benachrichtigung für Sicherheitsvorfälle, die ein Muss sind, um die Meldeanforderungen von NIS2, DORA und der SEC-Cybersicherheitsregel zu erfüllen. Cloudflare-Services helfen Organisationen auch dabei, potenzielle Schwachstellen in ihren Software-Lieferketten zu identifizieren und den Webverkehr auf sensible Daten oder böswillige Nutzer zu überprüfen. Unsere Produkte sind standardmäßig mit modernster Verschlüsselung ausgestattet, und unsere Kunden können Zugriffskontrolle, Ressourcenmanagement und Authentifizierung konfigurieren.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Vertiefung des Themas:

Erfahren Sie mehr über die Erfüllung der strengen Anforderungen an das Risikomanagement der NIS2-Konformität im Whitepaper „Die intelligente Antwort auf NIS2-Vorgaben zum Management von Cybersicherheitsrisiken“.

Autor

Emily Hancock — @emilyhancock
Chief Privacy Officer, Cloudflare

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Die Rolle des Datenschutzes inmitten sich wandelnder Vorschriften

• Warum Richtlinien wie NIS2, DORA und die Cybersicherheitsvorschriften der SEC die Resilienz als Compliance-Anforderung erhöht haben

• Wie Sie Compliance ohne zusätzliche Komplexität erreichen können
  
  

Verwandte Ressourcen

• Die intelligente Antwort auf NIS2-Vorgaben zum Management von Cybersicherheitsrisiken

• Cyberresilienz neu gedacht

• Vorschriftenkonforme Nutzung mehrerer Clouds in unterschiedlichen Rechtsräumen