Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

ISACA veröffentlicht Leitfaden für NIS-2- und DORA-Compliance : Neues Whitepaper unterstützt Unternehmen bei der Umsetzung der EU-Cybersicherheitsvorschriften

Viele europäische Unternehmen haben ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig umgesetzt. Ein neues Whitepaper von ISACA soll nun als Orientierungshilfe dienen.

Redaktion (sf)Anwendungen und SystemeSecurity-Management
Lesezeit 2 Min.

Trotz der offiziellen Anwendung der Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS-2) und des Inkrafttretens der Verordnung zur digitalen operationellen Resilienz (DORA) haben viele Unternehmen in Europa Schwierigkeiten, die neuen Anforderungen zu verstehen und umzusetzen. Besonders kleine und mittlere Unternehmen (KMU) sowie Anbieter von Informations- und Kommunikationstechnologie (IKT) sind oft unzureichend vorbereitet. Darauf macht die Organisation ISACA aufmerksam – und liefert mit einem neuen Leitfaden konkrete Hilfestellung für betroffene Organisationen.

Die Situation ist ernst: Nur wenige EU-Mitgliedstaaten haben die Frist zur Umsetzung der NIS-2 in nationales Recht bis Oktober 2024 eingehalten. In Irland, einer digital fortgeschrittenen Volkswirtschaft, gaben 38 Prozent der Unternehmen an, nicht vorbereitet zu sein. Diese mangelnde Vorbereitung dürfte sich laut ISACA in weiten Teilen der EU widerspiegeln.

Neuer Leitfaden als Orientierungshilfe

ISACA hat das Whitepaper „Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements“ veröffentlicht, das Unternehmen bei der Compliance-Umsetzung unterstützen soll. „Die Herausforderung besteht nicht nur darin, die Vorschriften zu verstehen, sondern auch sicherzustellen, dass die Unternehmen wissen, wie sie diese effektiv anwenden können“, erklärt Chris Dimitriadis, Chief Global Strategy Officer bei ISACA.

Das Dokument richtet sich an Unternehmen, Finanzinstitute, öffentliche Verwaltungen und Technologieanbieter. Es bietet eine strukturierte Übersicht der beiden Regelwerke und praktische Umsetzungshinweise.

Acht Kernpunkte für die Compliance

Das Whitepaper nennt acht wesentliche Aspekte, die Unternehmen bei der Einhaltung der Vorschriften beachten sollten:

  1. Geltungsbereich ermitteln: Unternehmen müssen prüfen, ob sie unter NIS-2, DORA oder beide Richtlinien fallen. Auch Nicht-EU-Unternehmen können indirekt betroffen sein.
  2. IKT-Rahmen aufbauen: Organisationen sollten umfassende Strategien zum IKT-Risikomanagement entwickeln und mit den Unternehmenszielen abstimmen. Regelmäßige Überprüfungen und Tests von Kontinuitäts- und Wiederherstellungsplänen sind erforderlich.
  3. Drittanbieterrisiken managen: Verträge mit IKT-Anbietern müssen spezifische Klauseln zu Kontinuität, Sicherheit und Prüfungsrechten enthalten. Viele Technologieanbieter sind sich nicht bewusst, dass DORA sie aufgrund ihrer Verträge mit Finanzinstituten direkt betrifft.
  4. Meldepflichten vorbereiten: Beide Regelwerke haben strenge, aber unterschiedliche Fristen für die Meldung von Vorfällen. NIS-2 verlangt eine Vorabmeldung innerhalb von 24 Stunden und einen Abschlussbericht innerhalb eines Monats. DORA fordert die Meldung größerer IKT-Vorfälle innerhalb von vier Stunden nach ihrer Einstufung.
  5. Schulungen durchführen: Obligatorische Cybersicherheitsschulungen sollten auf allen Ebenen stattfinden. Der von der Europäischen Zentralbank (EZB) entwickelte TIBER-EU-Rahmen wurde vollständig an DORA angepasst und verlangt qualifiziertes und zertifiziertes Personal für Red-Team-Tests und Threat-Intelligence.
  6. Audits proaktiv planen: Regelmäßige interne und externe Audits sind durchzuführen. Nach DORA müssen die IKT-Auditfunktionen unabhängig und qualifiziert sein.
  7. Testen und verbessern: DORA verlangt von Finanzunternehmen, bedrohungsorientierte Penetrationstests durchzuführen und ihre betriebliche Widerstandsfähigkeit zu testen.
  8. Dokumentation führen: Eine aktuelle Dokumentation über Richtlinien, Risikobewertungen, Kontrollen und Reaktionen ist für Transparenz und aufsichtsrechtliche Überprüfungen entscheidend.

Erhebliche Sanktionen bei Nichteinhaltung

Bei Verstößen gegen die NIS2-Richtlinie drohen laut EU Geldbußen von bis zu sieben Millionen Euro, für größere Unternehmen sogar bis zu zehn Millionen Euro. Die Durchsetzung von Sanktionen bei DORA-Verstößen obliegt den nationalen Behörden.

Das Whitepaper „Resilience and Security in Critical Sectors: Navigating NIS-2 and DORA Requirements“ ist kostenlos auf der ISACA-Website verfügbar.

(Quelle: ISACA / Dieser Beitrag wurde mithilfe von KI-Tools erstellt und redaktionell geprüft.)

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.