NIS2 kommt. Und nun?
Vor dem Hintergrund der fortschreitenden Digitalisierung und der sich verschärfenden Bedrohungslage müssen die Mindeststandards für Cyber-Schutz deutlich angehoben werden. Die neue EU-NIS2-Richtlinie soll für mehr Sicherheit im Internet sorgen. Sie wurde 2022 beschlossen und 2023 in Kraft gesetzt. Unternehmen, die Cyberkriminalität abwehren, sollen besser zusammenarbeiten. Die Umsetzung der NIS2-Richtlinie in Deutschland ist noch in vollem Gange. Um Sie auf dem Laufenden zu halten und aufgrund der Komplexität des Themas, bietet ESET regelmäßig Update-Webinare an.
Anmeldung für Webinare zu NIS2 im November 2024
Das nächste Webinar findet statt am Dienstag, 12. November 2024, um 10:00 - 11:00 Uhr.
- Das Schicksal ist ein mieser Verräter - Die Geschichte eines Incidents mit galaktischen Ausmaßen
→ Hier geht es zur Anmeldung
Das nächste Update-Webinar zu NIS2 findet statt am Dienstag, 19. November 2024, um 11:00 - 12:00 Uhr.
- NIS2-Richtlinie in der EU - Erkenntnisse und Folgen aus erster Hand
→ Hier geht es zur Anmeldung
Die Update-Webinare zu NIS2 finden einmal pro Quartal statt. Es wird über Erfahrungen, Reaktionen und Schwierigkeiten bei der Umsetzung der NIS-Richtlinie berichtet.
Wer wird voraussichtlich betroffen sein?
Die NIS2-Richtlinie betrifft Organisationen aus vielen Bereichen, z.B. Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Regierung, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitende Industrie und Forschung. Der Anwendungsbereich wird durch alle unter die NIS-Richtlinie fallenden Organisationen und Infrastrukturen deutlich erweitert.
Das BSI bietet einen Check, um festzustellen, ob ein Unternehmen zu den genannten Sektoren gehört. Die Abfragen basieren derzeit auf der NIS2-Richtlinie der EU. Sobald die Richtlinie national umgesetzt ist, wird das BSI die Prüfung aktualisieren.
Hier geht es zur NIS2-Betroffenheitsprüfung des BSI
IT- Security wird zur Chefsache
Wie bei der Datenschutz-Grundverordnung sehen auch die NIS2-Richtlinie und ihre Umsetzung bei Nichteinhaltung für Unternehmen Sanktionen vor. Die NIS2 sieht für Unternehmen, deren Leitungsorgane gegen die Vorschriften verstoßen, Bußgelder und Sanktionen vor. Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes können bei Verstößen verhängt werden. "Sicherheit ist Chefsache" – mit allen Konsequenzen für Unternehmenslenker, die die Umsetzung der NIS2-Anforderungen nicht ernst genug nehmen.
NIS2 und die zu ergreifenden Maßnahmen
Ursprünglich endete die Frist zur nationalen Umsetzung der NIS2 Richtlinie am 17. Oktober 2024. Experten rechnen allerdings nicht vor Anfang 2025 mit dem Inkrafttreten eines entsprechenden Gesetzes in Deutschland.
Auch wenn der endgültige Wortlaut nach wie vor nicht feststeht, so werden doch die zu ergreifenden Maßnahmen für Organisationen voraussichtlich Folgendes umfassen:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
ESET bietet eine Vielzahl von Lösungen, die Ihnen bei der Umsetzung der einzelnen Punkte helfen können. In diesem übersichtlichen Dokument finden Sie einen anschaulichen Überblick: Zum Überlick NIS2 + ESET Lösungen (PDF) .
Endpoint Detection and Response (EDR) als Grundlage für NIS2-Compliance
Systeme zur Angriffserkennung – sogenannte EDR/XDR Lösungen – werden für diejenigen Unternehmen voraussichtlich zur Pflicht, die von der NIS2-Richtlinie betroffen sind.
ESET Inspect ist eine EDR-Lösung für die Prävention, Erkennung und Behebung von Sicherheitsvorfällen in Ihrem Unternehmen. ESET Inspect bietet forensische Einblicke und unterstützt Sie dabei, Angriffe zu verhindern. Warnungen können nach ihrem Bedrohungspotenzial klassifiziert, priorisiert und verfolgt werden. IT-Administratoren werden umgehend informiert. Bei Meldungen werden Vorschläge für mögliche Gegenmaßnahmen geliefert.
Unternehmen stehen vor der Herausforderung, Sicherheitsdaten zu verarbeiten, um potenzielle Bedrohungen zu erkennen und zu reagieren. Die von Experten geforderten EDR-Lösungen sind oft nicht praktikabel. Ihre Implementierung, ihr Betrieb und ihre Wartung erfordern Ressourcen und Expertise, die viele KMUs möglicherweise nicht haben.
Managed Detection and Response (MDR) - die kostengünstige, automatisierte Alternative für KMU
Was ist eine elegante Lösung? Man betreibt EDR nicht in Eigenregie, sondern legt die eigene IT-Sicherheit in die Hände externer Dienstleister. Das sogenannte Managed Detection and Response erfreut sich immer größerer Beliebtheit, bei Kunden und bei Dienstleistern.
Am Beispiel von ESET MDR zeigt sich die Funktionsweise eines automatisierten MDR-Services. Der Service übernimmt für KMU rund um die Uhr Systemüberwachung, Bedrohungserkennung und -verfolgung, Vorfallreaktion sowie erweiterte Erkennungs- und Reaktionsfunktionen. Dabei handelt es sich um einen KI-basierten Dienst, der das Netzwerk überwacht und prüft. Alle MDR-Kunden sind mit dem firmeneigenen Security Information and Event Management (SIEM) Tool verbunden, sodass Bedrohungen erkannt und mit vordefinierten Reaktionsmaßnahmen gestoppt werden können. Der MDR-Service ist in der Lage, Bedrohungen innerhalb von 20 Minuten zu erkennen und darauf zu reagieren. Der IT-Sicherheitsanbieter nutzt eigene innovative Cybersicherheitstechnologien und Telemetriedaten zur Gefahrenabwehr. Kunden können auf eine Bibliothek mit vordefinierten Mustern zugreifen und eigene Regeln erstellen. Bei bestimmten Erkennungen werden entsprechende Aktionen ausgelöst.
Dieser Service ist im Bundle ESET PROTECT MDR bereits enthalten und für die Bundles ESET PROTECT Enterprise und ESET PROTECT Elite als Add-on verfügbar.
ESET Detection and Response Ultimate - die Königsdisziplin der IT-Security
Für größere Unternehmen mit erweiterten Sicherheitsanforderungen bietet sich ESET Detection and Response Ultimate als MDR-Komplettpaket an. Dabei implementieren, optimieren und verwalten die ESET Experten das EDR-Tool ESET Inspect und schöpfen so die Vorteile vollständig aus. Bei diesem ganzheitlichen Security-Ansatz, der präventive, proaktive sowie reaktive Schutzmechanismen vereint, wird auf Kundenseite kein spezielles IT-Team oder weitere Hilfsmittel benötigt.
Dieser Service ist im Bundle ESET PROTECT MDR Ultimate bereits enthalten und für die Bundles ESET PROTECT Enterprise und ESET PROTECT Elite als Add-on verfügbar.
An Multi-Faktor-Authentifizierung (MFA) kommt niemand mehr vorbei
Der Einsatz einer Multi-Faktor-Authentifizierung wird ebenfalls Bestandteil der NIS2-Richtlinie sein. Mit ESET Secure Authentication sind Unternehmen jeglicher Größe in der Lage, PCs und Notebooks sicher einzusetzen, Datenschutzvorfälle zu vermeiden und selbst strengste Compliance-Anforderungen zu erfüllen. Mithilfe der leistungsstarken und intuitiven Multi-Faktor-Authentifizierung per Smartphone, Smartwatch oder bestehender Hardwaretoken, ist der Einsatz zugleich äußerst kosteneffizient - ohne dabei Security-Kompromisse eingehen zu müssen. Die aktuelle ESA-Generation enthält eine Reihe neuer Technologien und Features, darunter eine passwortlose Anmeldung und die Unterstützung der biometrischen Authentifizierung in der mitgelieferten App.
Neben der Absicherung von Anwendungen vor Ort, kann ESET Secure Authentication zum Schutz von Web- und Cloud-Diensten wie Microsoft Office 365, Google Apps, Dropbox und viele weitere durch ADFS 3.0 oder SAML Protokoll Integration eingesetzt werden. Letzteres kann über eingesetzte Identity Provider diverse SingleSignOn-Varianten für viele weitere Anwendungen, Dienste und Plattformen anbieten – ohne, dass auf das von ESET bereitgestellte SDK zurückgegriffen werden muss.
Die ESET Secure Authentication ist bereits in den Bundles ESET PROTECT Elite, ESET PROTECT MDR und ESET PROTECT MDR Ultimate enthalten und kann darüber hinaus aber auch als eigenständiges Produkt (Stand-Alone) erworben werden.
Fazit
Die Einführung von NIS2 in Deutschland wird die Cybersicherheitslandschaft nachhaltig verändern. Unternehmen sollten sich frühzeitig mit den Anforderungen auseinandersetzen und geeignete Lösungen implementieren. Mit den richtigen Tools und Partnern wie ESET können Unternehmen nicht nur compliant werden, sondern auch ihre gesamte IT-Sicherheit signifikant verbessern.
Welche Produkte Sie dabei unterstützen können:
ESET PROTECT Elite
ESET PROTECT bietet gebündelte Lösungen zum Schutz vor Malware und Spam für Endgeräte, Datei- und Mailserver, wahlweise aus der Cloud oder lokal. Insgesamt stehen sieben Editionen und Bundles zur Auswahl, die auf Ihre Bedürfnisse zugeschnitten sind. Einige Komponenten der Bundles sind auch einzeln buchbar. So erhalten Sie immer eine modulare Lösung.
Das wichtigste Produkt hierbei ist ESET PROTECT Elite, ein Allround-Paket. Mit ESET PROTECT Elite erhalten Sie umfassenden cloudbasierten, mehrschichtigen Schutz für Endpoints, Anwendungen und Mail.
Tipp: Wir empfehlen, das Bundle ESET PROTECT ELITE mit dem ESET Managed Detection and Response Service (MDR) zu kombinieren.
Funktionen
| Funktion | Inhalt |
|---|---|
| Security Management | Zentrales Management über Cloud |
| Endpoint Security | Mehrschichtiger Schutz für PC, Smartphone, VMs |
| File Server Security | Echtzeitschutz für alle Daten auf dem Server |
| Full Disk Encryption | Verschlüsselung von Festplatten, Partitionen oder Geräten gemäß DSGVO |
| Cloud Sandbox | Proaktiver cloudbasierter Zero-Day Schutz |
| Mail Security | Erkennt und isoliert Spam und Malware auf Serverebene |
| Cloud App Security | Schutz für M365 Apps und Google Workspace inkl. Cloud Sandboxing und eigene Konsole |
| Vulnerability & Patch Management | Aktive Erkennung und Behebung von Schwachstellen |
| Detection and Response | XDR-Lösung zur Vermeidung, Erkennung und Behebung von Vorfällen |
| ESET Secure Authentication (MFA) | Schutz vor unbefugten Zugriffen |
ESET Cloud Office Security
ESET Cloud Office Security bietet umfassenden und vorbeugenden Bedrohungsschutz für Microsoft 365 und Google Workspace. Minimiert die negativen Auswirkungen unerwünschter Nachrichten auf Ihre tägliche Produktivität. Prüft E-Mails auf potenzielle Bedrohungen und blockiert diese bei Verdacht.
Funktionen
| Funktion | Inhalt |
|---|---|
| Security Management | Zentrales Management über Cloud |
| Cloud Sandbox | Proaktiver cloudbasierter Zero-Day Schutz |
| Anti-Spam und -Malware | Erkennt und isoliert Spam und Malware |
| Phishing Schutz | Schützt die Nutzer Ihrer Organisation vor gefälschten oder manipulierten Webseiten |
| Cloud App Security | Schutz für M365 Apps und Google Workspace inkl. Cloud Sandboxing und eigene Konsole |
ESET Managed Detection and Response (MDR)
ESET MDR bietet erweiterte Unterstützung mit präventiven, proaktiven und reaktiven EDR-Diensten wie Analyse und Beseitigung durch das ESET Support-Team, die "Rund-um-die-Uhr" Cybersecurity-Lösung für Ihr Unternehmen. Die Prozesse werden von ESET Teams kontinuierlich überwacht und verwaltet.
Dieser kostengünstige Service ist besonders für KMU ausgelegt und bietet sich als Erweiterung zu folgenden Lösungen an: ESET PROTECT Enterprise, ESET PROTECT Elite und ESET Inspect.
Funktionen
| Funktion | Inhalt |
|---|---|
| Essentials Services | Erweiterter Service für die ESET Endpoint-Lösungen und Reaktive MDR-Services |
| Präventive MDR-Services | Unterstützung bei Ausgangskonfiguration, Regeln und Threat Hunting (On-Demand) |
| Proaktive MDR-Services | Threat Monitoring und proaktives Threat Hunting |
| 24/7 Service | Rund um die Uhr verfügbarer Cybersicherheitsdienst |
| KI- und Experten-Unterstützung | KI-Automatisierung mit menschlicher Expertise (ESET Support-Team) |
Welche Vorteile bietet ESET?
Modulare Lösungen für Ihre (mobilen) Endgeräte, File- und Mailserver, Gateways und auch für Microsoft 365:
- Lizenzierung nach Bedarf: pro Gerät, Postfach oder Microsoft 365 Seat
- Geringe Einstiegshürde
- Kostengünstige Bundles, (Einige) Komponenten nach Bedarf einzeln buchbar
Support ist jederzeit* erweiterbar um:
- ESET Detection and Response: Management, Erkennung, Analyse und Abwehr von Bedrohungen - ohne eigene Personal-, Hard- oder Softwareressourcen zu benötigen
- ESET Premium Support Services: Installation, Konfiguration, dedizierter Ansprechpartner und priorisierter Support
*Benötigt ESET Inspect
Wo erhalte ich weitere Informationen?
Ausführliche Informationen zur Lizenzierung und Beschaffung von ESET finden Sie auf folgenden Seiten:
Zusätzliche Informationen zu dem Thema NIS2 finden Sie auf folgenden Seiten:
- NIS2 kommt: Eine gute Basis für mehr europäische Cybersicherheit (ESET)
- NIS2: Das besagt die neue EU-Richtlinie für Cybersicherheit (ESET)
Über ESET
Als europäischer Hersteller mit mehr als 30 Jahren Erfahrung bietet ESET ein breites Portfolio an Sicherheitslösungen für jede Unternehmensgröße. ESET schützt betriebssystemübergreifend sämtliche Endpoints und Server mit einer vielfach ausgezeichneten mehrschichtigen Technologie und halten Ihr Netzwerk mithilfe von Cloud Sandboxing frei von Zero Day-Bedrohungen. Mittels Multi-Faktor-Authentifizierung und zertifizierter Verschlüsselungsprodukte unterstützt ESET Sie bei der Umsetzung von Datenschutzbestimmungen. Die XDR-Basis mit Endpoint Detection and Response Lösung, Frühwarnsysteme (bspw. Threat Intelligence) und dedizierte Services ergänzen das Angebot im Hinblick auf Forensik sowie den gezielten Schutz vor Cyberkriminalität und APTs. Dabei setzt ESET nicht allein auf modernste Technologien, sondern kombiniert Erkenntnisse aus der cloudbasierten Reputationsdatenbank ESET LiveGrid® mit Machine Learning und menschlicher Expertise, um Ihnen den besten Schutz zu gewährleisten.
