Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 1223611

IT Verlag für Informationstechnik GmbH Ludwig-Ganghofer-Str. 51 83624 Otterfing, Deutschland https://www.it-daily.net
Ansprechpartner:in Herr Lars Becker

NIS2 Compliance sichert resiliente Lieferketten

Interview mit Sudhir Ethiraj, Global Head of Cybersecurity Office bei TÜV SÜD

(PresseBox) (Otterfing, )
NIS2 kommt – und damit werden auch Risikomanagementmaßnahmen für die Lieferkette als eine der zentralen Maßnahmen für mehr Cyberresilienz gesetzlich vorgeschrieben.

Unmittelbar von NIS2 betroffene KRITIS-Unternehmen sollten sich daher spätestens jetzt damit auseinandersetzen. Mithilfe von Risk Assessments können Unternehmen Schwachstellen in ihrer Lieferkette identifizieren, beheben und im Falle eines erfolgreichen Angriffs den Schaden begrenzen. Aber auch von NIS2 nur mittelbar betroffenen Zulieferer und Partner sollten sich gut vorbereiten. it-security hat dazu mit Sudhir Ethiraj, Global Head of Cybersecurity Office (CSO) & CEO Business Unit Cybersecurity Services bei TÜV SÜD, gesprochen.

NIS2 rückt auch die Absicherung der Lieferkette in den Fokus. Warum ist das für den Gesetzgeber so wichtig?

Sudhir Ethiraj: Sogenannte Supply-Chain-Angriffe zielen darauf ab, Schwachstellen in der Lieferkette auszunutzen, um Zugang zu sensiblen Daten und Systemen zu erlangen. Ob durch das Einfügen von Schadsoftware in legitime Software-Updates, durch das Kompromittieren von Drittanbietern, die Zugang zu den Netzwerken eines Unternehmens haben, einen Insider-Angriff oder gar infizierte Hardware – die Wege für Cyberkriminelle über die Lieferkette sind vielfältig. Das bekannte Beispiel SolarWinds, bei dem die Angreifer über ein Software-Update in die Netzwerke zahlreicher Organisationen eindringen konnten, hat gezeigt, dass die Gefahr von Supply-Chain-Angriffen in ihrer Heimtücke und der Schwierigkeit, sie zu erkennen, liegt.

Da die Angriffe oft über vertrauenswürdige Partner oder Lieferanten erfolgen, können sie lange unentdeckt bleiben und erheblichen Schaden anrichten. Deshalb verlangt NIS2 von Unternehmen, Maßnahmen zu ergreifen, um ihre Lieferketten sorgfältig zu überwachen. So sollen potenzielle Bedrohungen frühzeitig erkannt und abgewehrt und Vorkehrungen für den Fall eines erfolgreichen Angriffs ergriffen werden.

Was genau schreibt NIS2 und der aktuelle Stand des deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vor?

Sudhir Ethiraj: Die europäische Network-and-Information-Security-Richtline, kurz NIS2, schreibt in Artikel 21 Absatz 2 vor, dass sich besonders wichtige und wichtige Einrichtungen mit Cybersicherheitsrisiken ihrer Lieferketten befassen müssen. Der Entwurf für das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz greift das in §30 auf. Dort heißt es, dass besonders wichtige und wichtige Einrichtungen zu bestimmten Risikomanagementmaßnahme verpflichtet sind. Diese Maßnahmen betreffen unter anderem auch die Sicherheit der Lieferkette. Im Fokus stehen dabei die sicherheitsbezogenen Aspekte der Beziehung zwischen den einzelnen Einrichtungen und ihren direkten Anbietern und Dienstleistern.

Im Gesetzesentwurf heißt es, dass KRITIS-Betreiber dazu verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen. Das Ziel ist dabei natürlich, die Cyberresilienz dieser Einrichtungen zu erhöhen und die Auswirkungen von Sicherheitsvorfällen gering zu halten.

Was bedeutet das nun konkret für die IT-Manager der KRITIS-Betreiber?

Sudhir Ethiraj: Unternehmen sollten mittlerweile herausgefunden haben, ob sie zu den sogenannten „besonders wichtigen“ und „wichtigen“ Einrichtungen nach NIS2 zählen. Wenn nicht, ist das der erste, längst überfällige Schritt. Und dann müssen IT-Manager ihre Lieferkette genau in den Blick nehmen.

Der Gesetzentwurf für das NIS2 Umsetzungsgesetz verlangt auch, die Verhältnismäßigkeit der Risikomanagementmaßnahmen zu prüfen. Folgende Kriterien müssen in diese Betrachtung einfließen: das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen.

Das vollständige Interview lesen Sie auf it-daily.net

IT Verlag für Informationstechnik GmbH

Die it verlag für Informationstechnik GmbH publiziert das Magazin it management mit dem Supplement it security. Im Online-Bereich stehen mit der News-Portal www.it-daily.net und diversen Newslettern wertvolle Informationsquellen für IT Professionals zur Verfügung. Mit eBooks, Whitepapern und Konferenzen zu Themen der Enterprise IT rundet der Verlag sein Angebot zu News aus der IT-Welt ab.

www.it-daily.net

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.