Zero Trust bringt sie sicher zu DORA

Bis zum 17. Januar 2025 sind EU-Finanzinstitute dazu verpflichtet, die Vorschriften des Digital Operational Resilience Act (DORA) umzusetzen, um ihre Systeme gegen Cyberangriffe zu stärken.

Diese Vorschriften stellen einen wichtigen Schritt zur Verbesserung der Cybersicherheit dar. DORA bietet umfassende Richtlinien für das Risikomanagement und die Meldung von Sicherheitsvorfällen, mit dem Ziel, die Stabilität der Systeme zu fördern.

Angesichts des näher rückenden Stichtags sollten Finanzinstitute proaktiv handeln. Dies erfordert Investitionen in Technologie, Prozesse und gut geschultes Personal.

In diesem dynamischen Umfeld des Risikomanagements ist die Einhaltung der DORA-Richtlinien von entscheidender Bedeutung. Unternehmen, die in Cybersicherheit investieren und die DORA-Vorschriften befolgen, können nicht nur finanzielle Verluste vermeiden, sondern auch das Vertrauen von Mitarbeitern, Kunden und Stakeholdern stärken.

Die Säulen des DORA-Rahmens umfassen:

• Aufbau eines IKT-Risikomanagement-Frameworks:
  • Identifizierung, Bewertung und Behandlung von Risiken.
  • Einrichtung von Prozessen zur Behandlung, Klassifizierung und Berichterstattung von IKT-bezogenen Vorfällen.
• Testen der operativen Widerstandsfähigkeit:
  • Regelmäßige Penetrationstests, um die Widerstandsfähigkeit zu überprüfen.
• Risikomanagement für IKT-Drittanbieter:
  • Implementierung von Risikomanagementpraktiken für Drittanbieter im IKT-Bereich.
• Überwachungsrahmen für kritische IKT-Drittdienstleister:
  • Sicherstellung der Sicherheit und Stabilität von Dienstleistern.

Die NIS2– und CER-Richtlinien müssen ab dem 18. Oktober 2024 umgesetzt werden, während die DORA-Bestimmungen ab dem 17. Januar 2025 gelten. Daher ist es entscheidend, dass Unternehmen das Jahr 2024 nutzen, um die neuen Anforderungen zu implementieren.

Die Entscheidung zwischen NIS2 und DORA ist ein wichtiges Thema, das die EU-Rechtsvorschriften zur Stärkung der Cybersicherheit betrifft. Beide Regelungen haben unterschiedliche Schwerpunkte und Ziele:

1. NIS2 (Network and Information Systems Directive 2):
   • NIS2 konzentriert sich insbesondere auf die Sicherheit und Widerstandsfähigkeit kritischer Sektoren.
   • Diese Richtlinie kann für Unternehmen aller Größen gelten, insbesondere wenn sie als Anbieter wesentlicher Dienste oder digitaler Dienstleister eingestuft werden.
2. DORA (Digital Operational Resilience Act):
   • DORA ist speziell auf den Finanzsektor ausgerichtet.
   • Ihr Fokus liegt auf dem Risikomanagement von IKT-Drittanbietern.
   • DORA soll sicherstellen, dass Unternehmen Sicherheitsverletzungen widerstehen, darauf reagieren und sich davon erholen können.
   • Die Bewertung von Sanktionen obliegt den Mitgliedstaaten und ihren zuständigen Behörden.
   • Da DORA EU-weit Anwendung findet, wird sie in den nationalen Rechtsvorschriften der Mitgliedstaaten umgesetzt. Unternehmen sollten die nationale Umsetzung in ihrem jeweiligen Land überprüfen.

Trotz dieser unterschiedlichen Schwerpunkte haben NIS2 und DORA einige Gemeinsamkeiten:

• Beide Regelungen zielen darauf ab, die digitale Resilienz zu stärken und die Sicherheit von digitalen Diensten, kritischen Infrastrukturen und Informationen zu verbessern.
• Sie sollen die EU-weite Koordination bei der Bekämpfung von Cyberbedrohungen und -angriffen verbessern und die Reaktion auf Sicherheitsvorfälle stärken.

Die DORA-Verordnung ergänzt somit NIS2 mit einem Branchenfokus. Die Einhaltung der Fristen für NIS2 und DORA erfordert schnelles Handeln von betroffenen Unternehmen.

Um sich auf DORA vorzubereiten, sollten Sie:

• Einen Überblick über die Anforderungen verschaffen und identifizieren, welche Geschäftseinheiten betroffen sind.
• Eine Gap-Analyse durchführen, um den zu erwartenden Aufwand zu ermitteln und potenzielle Compliance-Lücken zu identifizieren.
• Einen Fahrplan für die Umsetzung der DORA-Anforderungen entwickeln.
• Regulatorische Änderungen im Blick behalten: Halten Sie sich über aktuelle regulatorische Entwicklungen auf dem Laufenden. Dies umfasst sowohl EU-weite Vorschriften als auch nationale Gesetze.
• Branchenzusammenarbeit und Diskussionen mit Aufsichtsbehörden: Nehmen Sie an Branchenverbänden teil und beteiligen Sie sich an Diskussionen mit Aufsichtsbehörden. Dies ermöglicht den Austausch von Best Practices und die Klärung von Unsicherheiten.
• Investition in die richtigen Technologien und Prozesse: Setzen Sie auf Cybersicherheitstechnologien, die zu Ihrem Unternehmen passen. Dies kann Network Detection & Response (NDR)-Lösungen, Firewalls, Intrusion Detection Systems (IDS) und mehr umfassen.
• Optimieren Sie Ihre Prozesse für die Erkennung, Reaktion und Wiederherstellung von Sicherheitsvorfällen.
• Externe Dienstleister in Betracht ziehen: Erwägen Sie die Zusammenarbeit mit externen Cybersicherheitsberatern. Diese können Ihnen bei der Umsetzung der Anforderungen von NIS2 und DORA helfen.
• Zusammenarbeit mit verschiedenen Partnern: Arbeiten Sie mit Cybersicherheitsberatern, NDR-Anbietern, IT-Dienstleistern, Rechtsberatern und Auditoren zusammen. Diese Partnerschaften können dazu beitragen, die Cybersicherheit Ihres Unternehmens zu stärken.

Denken Sie daran, dass die Einhaltung von NIS2 und DORA nicht nur eine Pflicht ist, sondern auch eine Gelegenheit, die Sicherheit Ihrer Systeme zu verbessern und das Vertrauen Ihrer Kunden und Stakeholder zu stärken.

Und Schweizer Unternehmen?

Die NIS2-Regulierung (Network and Information Systems Directive 2) und der DORA (Digital Operational Resilience Act) sind entscheidende Schritte zur Verbesserung der Cybersicherheit in der EU. Sie bieten europäischen und Schweizer Unternehmen die Möglichkeit, ihre Cybersicherheitspraktiken zu überprüfen und zu verbessern. Die Implementierung dieser Massnahmen stärkt nicht nur die Systeme gegen Cyberbedrohungen, sondern gewährleistet auch die Einhaltung der Regulierungen. Schweizer Unternehmen sollten ähnliche Massnahmen ergreifen, unabhängig von ihrer geographischen Lage, da Cybersecurity ein globales Problem ist. Sie sollten auch die Entwicklungen in der EU im Auge behalten, die oft als Benchmark dienen. Indirekte Auswirkungen auf Schweizer Unternehmen können sich ergeben, wenn sie Geschäfte mit EU-Unternehmen tätigen. Unabhängig von den regulatorischen Anforderungen ist es im Interesse jedes Unternehmens, starke Cybersicherheitsmassnahmen zu ergreifen. Die Einhaltung von NIS2 und DORA ist nicht nur eine Frage der Vorschriften, sondern auch ein wichtiger Schritt zur Verbesserung der allgemeinen Cybersicherheitspraktiken. Daher sollten Schweizer Unternehmen diese Verordnungen als Leitfaden für gute Praktiken in der Cybersicherheit betrachten.

Einige Punkte, die Sie zur Vorbereitung auf DORA beachten sollten:

• Untersuchen Sie Ihr Unternehmen:
  • Identifizieren Sie alle kritischen Prozesse, Dienste und Anlagen Ihres Unternehmens.
• Finden Sie Ihre Lücken:
  • Führen Sie frühzeitig eine Lückenbewertung zu DORA und NIS2 durch.
• Vergleichen Sie Ihre Lücken mit Ihrer Risikolandschaft:
  • Identifizieren Sie Lücken, die sich innerhalb der bereits identifizierten Risiken ergeben.
• Investieren Sie nur in Bereiche, in denen Sie einen echten Nutzen sehen:
  • Priorisieren Sie Bereiche wie das Lieferkettenrisiko, in die viele Unternehmen zu wenig investiert haben.
• Betrachten Sie NIS2 und DORA zusammen:

1. • Ergreifen Sie Massnahmen, die beide Regelungen berücksichtigen, um eine ganzheitliche Cybersicherheitsstrategie zu entwickeln.

Die Umsetzung dieser Massnahmen erfordert proaktives Handeln von Unternehmen, um die Cybersicherheit zu stärken und sich auf die neuen Anforderungen vorzubereiten.

Eine Zero-Trust-Strategie wird zur Einhaltung von NIS2 und DORA beitragen

Die Zero-Trust-Strategie ist ein Sicherheits-Framework, das im Netzwerk kein implizites Vertrauen annimmt. Jeder Benutzer, jedes Gerät und jede Anwendung wird als nicht vertrauenswürdig behandelt, und jeder, der auf Ressourcen zugreifen möchte, muss überprüft werden.

Die Integration einer Zero-Trust-Strategie in die Compliance-Anforderungen kann mithilfe einer leistungsfähigen NDR-Lösung vorangetrieben werden. Die Überwachungskapazitäten im Netzwerk erhöhen die Sicherheit und verringern das Risiko von Datenverletzungen oder Ransomware-Angriffen. Unternehmen sollten sich auch darauf konzentrieren, ihre Sicherheitsvorkehrungen kontinuierlich an neue Bedrohungen anzupassen, ihre Mitarbeiter zu schulen, ihre Drittanbieter zu verwalten und eine konsistente Dokumentation zu führen.

Die Zero-Trust-Strategie legt keinen impliziten Vertrauensvorschuss im Netzwerk zugrunde. Jeder Benutzer, jedes Gerät und jede Anwendung wird als nicht vertrauenswürdig behandelt, und der Zugriff auf Ressourcen erfordert eine ständige Überprüfung der Identität. Dies trägt zur Einhaltung von NIS2 und DORA bei, indem sichergestellt wird, dass nur autorisierte Benutzer Zugriff haben.

Weitere Aspekte der Zero-Trust-Strategie, die zur Einhaltung beitragen:

1. Minimierung des Angriffsvektors:
   • Zero-Trust beschränkt den Zugriff auf das Notwendigste, um den Angriffsvektor zu minimieren.
   • Die Network Detection & Response (NDR)-Plattform ergänzt dies, indem sie den Netzwerkverkehr überwacht und ungewöhnliche Muster erkennt, die auf einen Angriff hinweisen könnten.
2. Datenflusskontrolle:
   • Zero-Trust ermöglicht eine bessere Kontrolle des Datenflusses.
   • Die NDR-Plattform unterstützt dies, indem sie den Datenverkehr im Netzwerk überwacht und ungewöhnliche Datenbewegungen erkennt.
3. Sicherheit auf Mikroebene:
   • Zero-Trust verbessert die Sicherheit auf Mikroebene.
   • NDR überwacht den Netzwerkverkehr auf Mikroebene und erkennt ungewöhnliche Aktivitäten.
4. Automatisierte Reaktionen:
   • Zero-Trust ermöglicht automatisierte Reaktionen auf Sicherheitsvorfälle.
   • Die NDR-Plattform unterstützt dies, indem sie automatisierte Reaktionen auf erkannte Bedrohungen ermöglicht.
5. Kontinuierliche Compliance:
   • Zero-Trust gewährleistet eine kontinuierliche Einhaltung der Vorschriften.
   • NDR ermöglicht kontinuierliche Überwachung und Berichterstattung, um die Compliance sicherzustellen.

Die Integration einer Zero-Trust-Strategie durch eine robuste NDR-Lösung verbessert die Einhaltung dieser Vorschriften.

Quelle: Exeon-Blog

Sie haben Fragen? Michael Tullius*, Sales Director, Exeon können Sie über Linkedin direkt ansprechen.
* Kontaktmöglichkeit über Linkedin