Im Zuge der Weiterentwicklung der IT-Sicherheitsvorgaben in Europa stehen zwei Rechtsvorschriften aktuell ganz oben auf der Agenda: der „Digital Operational Resilience Act (DORA)“ und die „Network and Information Systems Directive 2 (NIS-2)“. Beide verfolgen das Ziel, die Cybersicherheit zu verbessern, adressieren jedoch unterschiedliche Bereiche und haben spezifische Ansprüche und Vorgaben. In diesem Blogbeitrag werden die wichtigsten Unterschiede zwischen DORA und NIS-2 erläutert und aufgezeigt, wie die Lösungen von WatchGuard Partnern und Kunden dabei helfen können, die neuen gesetzlichen Anforderungen einzuhalten.
Überblick über DORA und NIS-2
DORA: Die Vorgaben treten zum 17. Januar 2025 in Kraft und fokussieren auf den Finanzsektor. Es gilt sicherzustellen, dass Finanzunternehmen Cyberangriffe abwehren und im Fall der Fälle das operative Geschäft weiterführen können. Das primäre Ziel besteht darin, die Verfügbarkeit und Integrität von Finanzdienstleistungen aufrechtzuerhalten, wobei die betriebliche Widerstandsfähigkeit im Vordergrund steht.
NIS-2: Die NIS-2-Verordnung, die bis Oktober 2024 in nationale Rechtsvorschriften umgesetzt werden soll, zielt darauf ab, die Cybersicherheit in der gesamten EU zu harmonisieren und richtet sich an wesentliche Stellen in verschiedenen Bereichen wie Energie, Verkehr, Gesundheit und digitale Infrastruktur. Die Richtlinie soll bewirken, das allgemeine Niveau der Cybersicherheit in der EU zu erhöhen.
Unterschiede zwischen DORA und NIS-2
1. Geltungsbereich und Zielgruppen:
- DORA gilt für verschiedenste Akteure im Finanzsektor, darunter Banken, Wertpapierfirmen, Versicherungsunternehmen und branchenspezifische Drittanbieter für Informations- und Kommunikationstechnologie.
- NIS-2 deckt ein breiteres Spektrum von Bereichen ab und unterscheidet zwischen wesentlichen Einheiten (Essential Entities, EE) wie Energie- und Transportanbietern und wichtigen Einheiten (Important Entities, IE) wie Postdienstleistern und Unternehmen der Lebensmittelproduktion.
2. Ziele:
- DORA konzentriert sich auf die Sicherstellung der operativen Widerstandsfähigkeit des Finanzsektors. Die Verordnung schreibt ein umfassendes IKT-Risikomanagement (Informations- und Kommunikationstechnologie), Vorfallmanagement, Widerstandsfähigkeitstests, Risikomanagement für Drittanbieter und den Informationsaustausch innerhalb des Finanzsektors vor.
- NIS-2 zielt darauf ab, die allgemeine Cybersicherheitslage in der gesamten EU zu verbessern, wobei der Schwerpunkt auf Governance und der Erkennung von Vorfällen, der Reaktion auf Vorfälle sowie auf der Sicherung und Prüfung von Perimetern und Anlagen in verschiedenen kritischen Bereichen liegt.
3. Compliance und Durchsetzung:
- DORA ist eine Vorschrift, die in allen EU-Mitgliedstaaten direkt anwendbar sein wird, ohne dass eine nationale Umsetzung erforderlich ist. Sie schreibt strenge Sicherheitstests vor, darunter jährliche Widerstandsfähigkeitstests und bedrohungsorientierte Penetrationstests alle drei Jahre.
- NIS-2 ist eine EU-Richtlinie, die in nationales Recht umgesetzt werden muss, was zu Änderungen führen kann. Sie sieht strenge Strafen für die Nichteinhaltung vor, einschließlich Geldstrafen von bis zu 2 Prozent des jährlichen Gesamtumsatzes für Unternehmen, die unter die Klassifikation EE (Essential Entities) fallen.
4. Risikomanagement von Drittanbietern:
- DORA verlangt von Finanzunternehmen, dass sie die von IKT-Drittanbietern ausgehenden Risiken beherrschen, indem sie entsprechend solide Verträge und eine kontinuierliche Überwachung sicherstellen.
- NIS-2 befasst sich ebenfalls mit der Sicherheit der Lieferkette, jedoch in einem breiteren Kontext, was sich auf verschiedene Bereiche – über den Finanzdienstleistungssektor hinaus – auswirkt.
Lösungen von WatchGuard für Compliance
WatchGuard bietet eine Vielzahl von Produkten, die Partner und deren Kunden dabei unterstützen, die Vorgaben von DORA und NIS-2 zu erfüllen:
IKT-Risikomanagement:
- Firewalls mit Funktionen wie Gateway AntiVirus und DNSWatch
- Lösungen für Endpoint Security (EPP, EDR, EPDR, Advanced EPDR) mit Risiko-Dashboards und Schwachstellenbewertungen
- Patch Management und Full Encryption für den Datenschutz
Vorfallsmanagement:
- Kontinuierliche Bedrohungsüberwachung mit EDR und ThreatSync+ N
- Lückenlose Überwachung rund um die Uhr und Reaktion auf Vorfälle mit WatchGuard MDR
Widerstandsfähigkeitstests:
- ThreatSync+ NDR zur Simulation von Angriffen und Identifizierung von Schwachstellen
- Endpoint Security-Lösungen für Widerstandsfähigkeitstests und forensische Analysen
Risikomanagement von Drittanbietern:
- Netzwerkzugriffskontrollen und ThreatSync + NDR zur Überwachung der Aktivitäten von Drittanbietern
- AuthPoint MFA für den sicheren Zugriff Dritter
Managed Security Services für Partner
Um die Arbeitsbelastung auf Seiten der Kunden zu reduzieren und ein ordnungsgemäßes Sicherheitsmanagement sicherzustellen, können Partner zusätzlich zu den Produkten und Services von WatchGuard folgende Managed Services anbieten:
- Sicherheitsüberwachung rund um die Uhr
- Threat Hunting und Reaktion auf Vorfälle
- Patch Management
- Sicherheitsbewertungen
- Compliance Reporting
- Verwaltung des Endpoint-Schutzes
- Benutzerschulungen und Sensibilisierung
Durch den Einsatz der umfassenden Sicherheitslösungen von WatchGuard und das Angebot der aufgeführten Managed Services können Partner Kunden dabei unterstützen, die Cybersicherheit zu verbessern und die Einhaltung von DORA und NIS-2 zu gewährleisten.
Für detailliertere Informationen lesen Sie auch unsere anderen Blogbeiträge zu DORA und NIS-2 sowie unsere Whitepaper „Stärkung der Cybersecurity: Ein tiefer Einblick in DORA” und „Entmystifizierung der NIS-2-Anforderungen“.
Bild/Quelle: https://depositphotos.com/de/home.html