NIS-2: IT-Sicherheit und Compliance verbessern
Die IT-Branche innerhalb der EU wird dank NIS und NIS-2 dazu gezwungen, sich wieder mehr mit Strukturen und Prozessen bei der IT-Sicherheit zu beschäftigen. Akuter Fachkräftemangel sorgt aber dafür, dass viele Unternehmen Automatisierungslösungen für die Umsetzung brauchen.
Alexander Haugk
Die Netzwerk- und Informationssystem-Sicherheitsrichtlinie NIS hält seit ihrem Erlass in 2016 IT-Teams und ihre Geschäftsleitungen auf Trab, sich mit der IT-Sicherheit in ihrem Unternehmen auseinanderzusetzen. Der Nachfolger NIS-2 hat die Kriterien noch einmal verschärft. Die Richtlinie definiert z.B. neue Mindeststandards, die Unternehmen mit kritischen Infrastrukturen einhalten müssen. Betroffene müssen die eigenen Sicherheitsmaßnahmen mit den steigenden Anforderungen beständig anpassen und verbessern, oder mit empfindlichen Geldstrafen rechnen.
Sicherheit verlangt hohe Standards
Dazu gehört auch, dass Sicherheitsvorfälle grundsätzlich meldepflichtig werden. Darüber hinaus müssen die Unternehmen kontinuierlich ihre Angestellten schulen und einen reibungslosen Informationsaustausch mit den zuständigen Behörden gewährleisten. NIS-2 verlangt damit von den Unternehmen, die eigenen Sicherheitsrisiken zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen.
Alle Maßnahmen müssen zudem lückenlos dokumentiert werden. Allen voran sind hier die IT-Abteilungen in der Pflicht, die Compliance ihres Unternehmens auf die von NIS-2 geforderten Standards zu erhöhen. Angesichts des grassierenden Fachkräftemangels in der IT ist das alles andere als eine einfache Aufgabe.
Umfassendes Endgeräte Management für mehr IT-Sicherheit
Ein Allheilmittel, um vollständige NIS-2 Compliance herzustellen, gibt es leider nicht. Dennoch gibt es eine Reihe von Werkzeugen, die IT-Abteilungen dabei helfen können, die Richtlinie einzuhalten. Einen wesentlichen Aspekt liefert ein modernes, umfassendes Endgeräte Management (Unified Endpoint Management/UEM).
„Nur was du sehen kannst, kannst du auch schützen.“ Getreu diesem Prinzip versetzt ein UEM das IT-Team in die Lage, alle im Unternehmensnetzwerk befindlichen Geräte automatisch zu erfassen und zu inventarisieren.
Basierend auf diesen Daten, kann dann von der Lösung ermittelt werden, ob die Endgeräte auf Stand sind, oder ob Firmware, Betriebssystem oder Anwendungen ein Sicherheitsupdate benötigen.
Eine gute Lösung bietet zudem die Option gleich auch flächendeckend die notwendigen Updates und Hotfixes zu verteilen. Wo das nicht möglich ist – wie z.B. in OT-Umgebungen eines produzierenden Unternehmens – können andere Maßnahmen ergriffen werden, wie etwa eine Netzwerksegmentierung.
IT-Admins erhalten eine genaue Übersicht zu all ihren IT-Assets, mit der sie jederzeit über Sicherheitsrisiken in ihrem Netzwerk informiert sind. Neben dem offensichtlichen Nutzen ist dies auch eine der Anforderungen der NIS-2 Richtlinie in Bezug auf Transparenz, Risikomanagement und Informationssicherheit.
Auch beim Reporting greift eine gute UEM-Lösung den Admins unter die Arme: Die erfassten Daten können damit schnell in eine nachvollziehbare Dokumentation übertragen werden und so die Nachweißpflicht von NIS-2 erfüllen.
Weitere Informationen zum Thema Endgeräte Management sind auf der Website von Baramundi verfügbar.