Slides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch Karlsruhe
•Als PPTX, PDF herunterladen•
0 gefällt mir•14 views
Slides zum Impulsreferat: NIS2 & HCL BigFix | Markus Hornung - HCLSoftware | DNUG Stammtisch Karlsruhe | 26.02.2024
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Ähnlich wie Slides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch Karlsruhe
Ähnlich wie Slides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch Karlsruhe (20)
Mehr von DNUG e.V.
Mehr von DNUG e.V. (20)
Slides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch Karlsruhe
- 1. Copyright © 2023 HCL Software Limited NIS2 + HCL BigFix 26. Februar 2026 Markus Hornung, Product Sales Specialist HCL BigFix • Was ist NIS2? • Wie kann BigFix helfen?
- 2. Was ist NIS2? 2 •Die NIS-2-Richtlinie ist eine im November 2022 veröffentlichte und am 16.01.2023 in Kraft getretene Verordnung der Europäischen Union, die Anforderungen an die Cybersicherheit für Anbieter wesentlicher Dienste und Anbieter digitaler Dienste festlegt. Ziel der Richtlinie ist es, "ein hohes gemeinsames Niveau an Cybersicherheit in der gesamten Union zu erreichen". Die Umsetzung der NIS-2-Richtlinie ins nationale Recht muss bis September 2024 erfolgen. Zur Umsetzung der NIS-2 Richtlinie in Deutschland gibt es mittlerweile einen Referentenentwurf des Bundesinnenministeriums (NIS-2- Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG). Was ist NIS2? •Die Richtlinie ersetzt die ursprüngliche NIS-Richtlinie und führt neue Bestimmungen zur Verbesserung der Cybersicherheit in einem breiteren Spektrum von Sektoren ein, die je nach ihrer Bedeutung für die Störung der Gesellschaft oder der Wirtschaft als "wesentlich" oder "wichtig" eingestuft werden. Dazu gehören das verarbeitende Gewerbe, das Finanzwesen, das Gesundheitswesen und das Verkehrswesen sowie andere, bisher weniger stark regulierte Branchen, die sich zunehmend auf Technologie stützen, um ihre Geschäfte zu führen. Während ursprünglich nur Telekommunikation, Nahrungsmittel, Transportwesen, Gesundheit, Energie, Wasserversorgung und Finanzdienstleistung betroffen waren, sind es nun auch Datacenter-Services, Internetzugangsdienste, Großhandel, Forschung, Postdienstleistungen und Abfallmanagement. Was ist neu bei NIS2? •https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf Wo steht der Gesetzestext?
- 3. Was ist neu bei NIS2? 3 •Business Continuity • Schaffung der erforderlichen Strukturen für das Cyber Crisis Management Reporting • Stärkere Harmonisierung der Sicherheits- anforderungen und Meldepflichten Umfang •Ermutigung der Mitgliedstaaten, neue Bereiche von Interesse einzuführen, z. B. die Lieferkette usw. Zusammenarbeit •Förderung neuer Ideen wie die Peer Reviews zur Verbesserung der Zusammenarbeit und des Wissensaustauschs Geltungsbereich •Erfasst einen größeren Teil der Wirtschaft und Gesellschaft, indem mehr Sektoren einbezogen werden Anwendungs- bereich Management Cyber-Risiko Meldung von Vorfällen Geldbußen und Strafen Kernziele Wichtigste Grundsätze
- 4. Copyright © 2019 HCL Technologies Limited | www.hcltechsw.com Wie kann BigFix helfen? 4 •BigFix kann die Sicherheit von Informationssystemen und Richtlinien kontinuierlich durchsetzen und so verhindern, dass Systeme von den Vorgaben abweichen und nicht mehr compliant sind. Mit BigFix können Unternehmen Schwachstellen und Verstöße gegen die Richtlinien in Echtzeit priorisieren und beheben. Grundsätze und Vorgaben für die Risikoanalyse und die Sicherheit von Informationssystemen •Der BigFix-Agent auf jedem verwalteten System laufende BigFix-Agent kann jede Änderung überwachen und erkennen, die zu einem Sicherheitsvorfall führen kann. Die automatisierte Behandlung von Vorfällen kann so konfiguriert werden, dass sie auf das erkannte Sicherheitsereignis reagiert. Umgang mit Vorfällen •In einem Disaster-Recovery-Szenario kann BigFix Geräte vollständig bereitstellen, indem es Bare-Metal-Wiederherstellungen, Softwareverteilung und die Möglichkeit zur Konfiguration von Geräten unter Anwendung etablierter Richtlinien einsetzt - und so die Wiederherstellung nach einer Katastrophe beschleunigt. Geschäftskontinuität: Backup- Management und Notfallwiederherstellung sowie Krisenmanagement •BigFix kann alle Systeme identifizieren, die gepatcht werden müssen, die entsprechenden Patches auf diese Systeme anwenden und dann über den Patching-Status berichten. BigFix integriert Lösungen zum Scannen von Schwachstellen wie Tenable, Qualys oder Rapid7, um die Zeit zwischen Entdeckung und Behebung zu verkürzen. Sicherheit bei der Entwicklung und Pflege von Netzen und Informationen, Umgang mit Schwachstellen und deren Offenlegung
- 5. Copyright © 2019 HCL Technologies Limited | www.hcltechsw.com Wie kann BigFix helfen? 5 •BigFix kann für die Definition und Umsetzung von Cybersicherheitsrichtlinien und Best Practices eingesetzt werden. Dazu gehören Asset-Erkennung, Patch-Management, kontinuierliche Compliance- Bewertung, Hardware- und Software-Inventarisierung und benutzergesteuerte Softwareverteilung. Grundlegende Praktiken der Cyber- Hygiene •BigFix kann Verschlüsselungsrichtlinien auf der Ebene des Betriebssystems durchsetzen und sicherstellen, dass die erforderlichen Verschlüsselungsprogramme und -anwendungen auf den Benutzergeräten ausgeführt werden. Kryptographie-Verschlüsselung •BigFix kann alle Geräte mit einer IP-Adresse im Netzwerk durch verteiltes NMAP-Scannen erkennen. Sicherheit im Bereich Human Resources, Zugangskontrolle und Verwaltung von Softwarebeständen •BigFix bietet plattform- und anwendungsspezifische Checklisten für Sicherheitsbenchmarks, die von CIS, DISA und PCI DSS veröffentlicht wurden. Diese Checklisten helfen einem Unternehmen bei der Durchsetzung von Richtlinien für den sicheren Zugriff auf Konten, wie z. B. die Verwendung der Zwei- Faktor-Authentifizierung oder anderer stärkerer Authentifizierungsmechanismen. Kontinuierliche Authentifizierungslösungen und sichere Kommunikation
Hinweis der Redaktion
- Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen Unternehmen“ und „wichtigen Unternehmen“ Der Hauptunterschied zwischen den beiden besteht darin, dass für „wichtige Unternehmen“ geringere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht durch die Behörden unterliegen, im Gegensatz zur proaktiven Aufsicht, die den „wesentlichen Unternehmen“ vorbehalten ist. In der EU soll es keine unterschiedlichen Mindestschwellenwerte mehr geben, sondern Betroffenheit nach „uniformen Kriterien“ ermittelt werden. Unter die Regulierung sollen mittlere und große Unternehmen fallen: Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. Euro Umsatz, < 43 Mio. Euro Bilanz Groß (large) >250 Beschäftigte, > 50 Mio. Euro Umsatz, > 43 Mio. Euro Bilanz Dadurch wird der Anwendungsbereich auch in Deutschland enorm ausgeweitet. Quelle: Webseite PriceWaterhouseCoopers
- Breiterer Anwendungsbereich: Die NIS2 gilt für einen breiteren Kreis von Sektoren und Einrichtungen als in der derzeitigen NIS-Richtlinie vorgesehen. Die betroffenen Unternehmen und Organisationen müssen angemessene Maßnahmen in Bereichen wie Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Penetrationstests und Reaktion auf Vorfälle sowie Berichterstattung an die Behörde und Abhilfemaßnahmen ergreifen. Aufsicht und Rechenschaftspflicht der "Leitungsorgane": Die NIS2 erlegt den "Leitungsorganen" direkte Verpflichtungen in Bezug auf die Umsetzung und Überwachung der Einhaltung der Rechtsvorschriften durch ihre Organisation auf, was zu Geldstrafen und einem vorübergehenden Verbot der Ausübung von Leitungsfunktionen, auch auf der Ebene der leitenden Angestellten, führen kann. Maßnahmen zum Management von Cyber-Risiken - einschließlich der Sorgfaltspflicht in der Lieferkette: Die NIS2 verlangt von den Auftraggebern die Umsetzung von Maßnahmen zum Cyber-Risikomanagement, die auch Anforderungen an die Minderung des Sicherheitsrisikos und die Sorgfaltsprüfung von Drittanbietern/Dienstleistern umfassen. Geänderte Anforderungen für die Meldung von Vorfällen: Die NIS2 sieht stufenweise Meldepflichten vor, darunter eine erste Meldung innerhalb von 24 Stunden nach Bekanntwerden bestimmter Vorfälle oder Cyber-Bedrohungen (statt nur "unverzüglich" wie in der NIS-Richtlinie) sowie "Zwischen-" und "Abschlussmeldungen". Geldbußen und Sanktionen: Den Mitgliedstaaten wird ein Ermessensspielraum eingeräumt, um wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße gegen die NIS2 festzulegen, sowie Verwaltungsstrafen für bestimmte Verstöße von bis zu 10 Mio. EUR oder 2 % des weltweiten Gesamtumsatzes (je nachdem, welcher Betrag höher ist). Mit der NIS2 wird ein Peer-Review-Mechanismus eingeführt, um die Fähigkeiten und Strategien der Mitgliedstaaten im Bereich der Cybersicherheit zu verbessern. Die an den Peer-Reviews teilnehmenden Experten müssen Berichte über die Ergebnisse der Überprüfungen verfassen, einschließlich Empfehlungen zur Verbesserung der von den Überprüfungen erfassten Sicherheitsaspekte. (Quelle: Webseite Cullen International)
- PCI Security Standards Council (PCI SSC): globales Forum der Payment Branche, das die Entwicklung und Übernahme von Data Security Standards and Ressourcen für sichere Zahlungen weltweit vorantreibt CIS: Center for Internet Security: globale Community, die öffentliche und private Organisationen gegen Cyber Bedrohungen wappnet. DISA STIG: Organisation (DISA — Defense Information Systems Agency) und deren technische Leitlinien (STIG — Security Technical Implementation Guide).