ExpertenwissenLieferantenpartner

Wir machen uns fit für die Umsetzung der NIS-2-Richtlinie

PEG - NIS-2-Richtlinie

Die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen (KRITIS) rückt zunehmend in den Fokus von Unternehmen und Behörden. Denn die Angriffsflächen von Unternehmen wachsen exponentiell. Gleichzeitig verschärfen künstliche Intelligenz (KI) und Automatisierung die Bedrohungslage im Cyberraum. Mit der NIS-2-Richtlinie ist der Schutz sensibler Infrastrukturen gegen IT-Störungen und Cyberangriffe nicht länger eine Option, sondern voraussichtlich ab März 2025 eine Pflicht.

 

In diesem Blogbeitrag erklären wir, worum es bei NIS-2 und KRITIS geht, wie Sicherheitslücken sichtbar werden und was wir tun, um die Sicherheit der Lieferkette unserer Mitglieder und Kunden zu unterstützen.

KRITIS – Was heißt das eigentlich?

KRITIS steht für kritische Infrastrukturen – also Einrichtungen und Organisationen, die für das Funktionieren unserer Gesellschaft von zentraler Bedeutung sind. Dazu zählen Sektoren wie Energieversorgung, Gesundheitswesen, Transport, Wasserversorgung und Finanzen. Ein Ausfall oder eine Störung in diesen Bereichen hätte weitreichende Konsequenzen für die Bevölkerung und die Wirtschaft.

PEG - Kritische Infrastruktur

Und was kann die NIS-2-Richtlinie dagegen tun?

NIS steht für Network and Information Security (Netz- und Informationssicherheit). Die erste NIS-Richtlinie trat bereits 2016 in Kraft. Sie zielt darauf ab, kritische Infrastrukturen innerhalb der Europäischen Gemeinschaft gegen IT-Störungen und Cyberangriffe effektiver zu schützen. Die NIS-2-Richtlinie ist eine Art Update. Sie erweitert den Anwendungsbereich auf mehr Sektoren, erhöht die Anforderungen an die Cybersicherheitsmaßnahmen und verpflichtet bundesweit ca. 30.000 Unternehmen zu strikteren Berichtspflichten im Fall von Sicherheitsvorfällen.

PEG - Kritis-Sektoren

Was bedeutet das nun für KRITIS-Unternehmen konkret?

Mit der NIS-2-Richtlinie stehen Unternehmen aus kritischen Sektoren nun vor der Herausforderung, ihre Sicherheitsstandards zu prüfen und gegebenenfalls zu erhöhen. Diese Anforderungen mögen auf den ersten Blick komplex wirken. Und ja, sie sind es auch. Doch nach unserer Erfahrung lässt sich diese Komplexität schrittweise und durch Experten begleitet auflösen:

 

  1. Betroffenheitsprüfung: Zählt mein Unternehmen überhaupt zur kritischen Infrastruktur? (BSI - NIS-2-Betroffenheitsprüfung)
  2. Analyse: Scannen der IT-Sicherheit, um potenzielle Risiken proaktiv zu identifizieren.
  3. Bewertung der ermittelten IT-Sicherheitsrisiken: Potenzielle Risiken bewerten, um diese schnellstmöglich zu minimieren bzw. präventiv zu vermeiden.
  4. Permanentes automatisiertes Monitoring

Wie wir als PEG mit der NIS-2-Richtlinie umgehen

Als Einkaufsgenossenschaft für nachhaltiges Wirtschaften im Gesundheitswesen sind wir Teil der kritischen Infrastruktur und stellen uns selbstverständlich unserer Verantwortung, um bis März 2025 die Anforderungen der NIS-2-Richtlinie erfüllen zu können.

 

Partner unseres Vertrauens für dieses sensible Thema ist LocateRisk: Das mehrfach ausgezeichnete Unternehmen bietet eine nicht-invasive Lösung, die die IT-Infrastruktur automatisiert überwacht und bewertet, um potenzielle Risiken proaktiv zu identifizieren und schnellstmöglich zu minimieren. Die Lieferkette bleibt langfristig im Blick – auch in Bezug auf sämtliche Subdomains. Dies sorgt für kontinuierliche Transparenz und Kontrolle über den Schutzstatus unserer externen IT-Infrastruktur.

Der Check der PEG-IT-Infrastruktur durch LocateRisk ergab: Wir sind grundsätzlich in Cyber-Security gut aufgestellt. Das ist schon mal gut für uns und alle, die mit uns zusammenarbeiten.

 

Beruhigt sein können wir aber erst, wenn alle Unternehmen innerhalb unserer Lieferkette ebenfalls bestätigen, dass sie gegen IT-Störungen geschützt sind und das Thema verantwortungsbewusst auf dem Schirm behalten. Dabei ist wichtig zu wissen: Als Lieferant eines NIS-2 Unternehmens muss man, ohne selbst NIS-2 zu unterliegen, das Schutzniveau von NIS-2 in jedem Fall gewährleisten. Lediglich die Meldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Nachweispflicht entfallen.

 

Deshalb führen wir aktuell eine Kampagne durch, mit der wir unsere Lieferanten und -dienstleister sensibilisieren und motivieren, ihre IT von LocateRisk auf Sicherheitslücken scannen zu lassen.

„Sicherheit ist bei uns Chefsache – insbesondere, wenn es um unsere Mitglieder und Kunden geht. Deshalb bieten wir diesen Sicherheitsservice künftig auch unseren Mitgliedern an und sorgen gleichzeitig für einen sicheren Lieferantenpool.“

Jens Leveringhaus, Vorstandsvorsitzender der PEG

Wie funktioniert so ein nicht-invasiver Scan von LocateRisk?

In einem ersten Schritt wird anhand der Hauptdomain des betreffenden Unternehmens die externe IT-Infrastruktur automatisiert inventarisiert, um einen Überblick über die erfassten Systeme zu erhalten. – Und selbst dieser ist meist schon überraschend für die Website-Betreiber.

 

Im nächsten Schritt stellt das Programm von LocateRisk nicht-invasive Anfragen an die identifizierten Server. Die Anfragen kommen in sehr weiten Abständen und von unterschiedlichen IP-Adressen. (Dafür müssen übrigens keinerlei Vorkehrungen vonseiten des gescannten Unternehmens getroffen werden.) Die Systeme werden mit den täglich aktualisierten LocateRisk-Datenbanken in neun Kategorien (u. a. Netzwerk-, Anwendungs-, E-Mail- und Websicherheit sowie Verschlüsselung, DDoS-Toleranz etc.) abgeglichen. Das Ergebnis ist ein interaktiver Bericht mit Sicherheitsscore und Handlungsempfehlungen.

Und was dann?

Der Scan kann wertvolle Erkenntnisse liefern. Das allein reicht selbstverständlich nicht aus. Schwachstellen müssen behoben werden. Und angesichts von mehreren tausend Software-Schwachstellen pro Monat, kombiniert mit riesigen dynamischen Angriffsflächen, ist kontinuierliches Monitoring zwingend erforderlich.

 

Unser Partner LocateRisk hat dafür eine skalierbare Cybersecurity-Lösung entwickelt. Die vollautomatisierte Anwendung ist leicht verständlich, einfach zu bedienen und sofort startklar. Sie verfügt über ein integriertes Schwachstellenmanagement, das beim schnellen Delegieren von Aufgaben und Absichern der Systeme unterstützt. Gefilterte Ansichten, Aktionspläne, Managementberichte, IT-Sicherheits- oder Compliance-Nachweise – alles ist sekundenschnell erstellt.

 

Also: Worauf noch warten? Melden Sie sich hier gleich zum Sicherheitscheck an.