NIS2 und DORA: Was es damit auf sich hat und wie Identitäten Sie bei der Einhaltung unterstützen
Ende 2022 verabschiedete das Europäische Parlament zwei neue Bestimmungen: die zweite Fassung der Richtlinie über Netz- und Informationssicherheit (NIS2) und den Digital Operational Resilience Act (DORA). Ab dem 18. Oktober 2024 sind die EU-Mitgliedstaaten verpflichtet, die von der NIS2 geforderten Maßnahmen im nationalen Recht umzusetzen. DORA tritt am 17. Januar 2025 in Kraft.
Beide Gesetze werden die Art und Weise, wie Unternehmen und Einrichtungen in der EU die Digitalisierung und die Cybersecurity angehen, nachhaltig prägen. Aber welche Bereiche decken die Gesetze ab? Welche Compliance-Risiken sind damit verbunden? Und wie kann eine moderne Identitätslösung in diesem Szenario helfen? In diesem Blog werden wir all diese Fragen beantworten.
NIS2 und DORA – was ist das?
Die Richtlinie über Netz- und Informationssicherheit (NIS2) ist Teil der Bemühungen der EU, die Cybersicherheit zu verbessern und kritische Infrastrukturen vor Cyberbedrohungen zu schützen. Sie soll sicherstellen, dass Anbieter digitaler Dienste angemessene Sicherheitsmaßnahmen ergriffen haben, um sich vor Cyber-Vorfällen zu schützen und die Resilienz kritischer Netze und Systeme zu gewährleisten. Darüber hinaus nimmt sie das oberste Management der Unternehmen in die Pflicht, die Verantwortung und Haftung für die Nichteinhaltung der Cybersecurity-Vorgaben zu übernehmen.
Der Digital Operational Resilience Act (DORA) zielt darauf ab, die digitale Resilienz des Finanzsektors in der EU zu gewährleisten – und einen harmonisierten Regulierungsrahmen zu schaffen, der der zunehmenden Abhängigkeit der Branche von digitalen Technologien Rechnung trägt. DORA definiert eine Reihe von Anforderungen, die Organisationen erfüllen müssen, darunter:
- Sicherstellung, dass kritische IT-Systeme identifiziert und geschützt werden
- Implementierung angemessener Pläne für Incident Response und Business Continuity
- Durchführung regelmäßiger Tests und Risiko-Assessments
- Definition eines Frameworks für die Meldung relevanter Sicherheitsvorfälle
- Sicherstellung, dass externe Service Provider angemessen überwacht werden – auch mit Blick auf die betriebliche Resilienz
Welche Strafen drohen bei Nichteinhaltung von NIS2 und DORA?
Bei Nichteinhaltung der NIS-Richtlinie können hohe Geldbußen verhängt werden: Diese reichen von mindestens 10.000.000 EUR oder 2 % des weltweiten Vorjahresumsatzes (bei wesentlichen Unternehmen) bis zu 7.000.000 EUR oder 1,4 % (bei wichtigen Unternehmen) – je nachdem, welcher Betrag höher ist.
Im Gegensatz dazu können Finanzinstitute, die die DORA-Anforderungen nicht erfüllen, mit Geldstrafen von bis zu 10 Millionen Euro oder 5 % ihres Vorjahresumsatzes belegt werden. Die Nichteinhaltung der Vorgaben stellt also ein erhebliches Risiko dar, das die wirtschaftliche Stabilität und den Ruf des Unternehmens schwer schädigen kann.
Welche Rolle kommt Identitäten bei der Einhaltung von DORA und NIS2 zu?
Die digitalen Identitäten spielen bei der Einhaltung von NIS 2 und DORA in mehr als einer Hinsicht eine Schlüsselrolle.
#1 Schutz von Netzwerken und Systemen vor Cyberbedrohungen
Die NIS 2 nimmt Anbieter digitaler Dienste in die Pflicht, angemessene Sicherheitsmaßnahmen zum Schutz vor Cyber-Bedrohungen umzusetzen und erhebliche Cyber-Vorfälle an die zuständigen Behörden zu melden. Starke Identitäten stellen sicher, dass nur autorisierte Personen oder Systeme auf ein Netz oder System zugreifen können, und verringern so nachhaltig die Gefahr eines Cyber-Angriffs. Überdies können entsprechende Lösungen die Meldeprozesse automatisieren, um die Prozesse zu beschleunigen und menschliche Fehler zu vermeiden.
#2 Stärkung der betrieblichen Resilienz|
Ziel von DORA ist es, die betriebliche Resilienz von Anbietern digitaler Dienste zu stärken. Zu diesem Zweck werden sie in die Pflicht genommen, einen risikobasierten Betriebsansatz zu implementieren. Ein digitales Identitätsmanagement sorgt dafür, dass nur Anwender mit den richtigen Zugangsdaten und Zugriffsrechten kritische Funktionen ausführen können, und kann das Risiko von Betriebsausfällen und Cyber-Vorfällen so erheblich verringern.
#3 Robustere Datenzugriffe
Ein robustes digitales Identitätsmanagement ist unabdingbar, um Daten vor unbefugtem Zugriff und Missbrauch zu schützen – und im Falle eines Angriffs alle zuständigen Behörden umfassend informieren zu können. Ein zeitgemäßes Cloud Access Management ermöglicht es Unternehmen, sofort zu erkennen, wer auf welche Informationen Zugriff hat, die erforderlichen Nachweise zu erbringen und zentrale Prozesse zu automatisieren, was mit Blick auf die Einhaltung von DORA und NIS 2 unerlässlich ist.
Wie kann Sie Okta bei der Sicherstellung der Compliance unterstützen?
Mit der Okta Workforce Identity Cloud (WIC) können Sie den Zugang für jeden Benutzer – ob Mitarbeiter, Lieferant oder Geschäftspartner – schützen, ganz egal, wo er sich befindet und welches Device er verwendet. Die Lösung wurde entwickelt, um die Produktivität und Effizienz zu steigern, die IT und die Infrastrukturen zu modernisieren und – im Kontext von NIS“ und DORA besonders wichtig – das Security-Standing zu stärken.
Funktionalitäten wie Single Sign-On (SSO), adaptive Multi-Faktor-Authentifizierung (MFA) und passwortlose Authentifizierung verbessern Ihr Security-Standing und bieten Ihren Mitarbeitern jederzeit eine hochwertige Experience. Unsere Lösung Okta Identity Governance (OIG) führt Okta Workflows, Okta Lifecycle Management und Okta Access Governance in einer durchgängigen Lösung zusammen, und hilft Ihnen so, dynamische Bedrohungen zu stoppen und Ihre Effizienz zu optimieren.
Letztendlich vereinfacht eine moderne Infrastruktur wie WIC die Einhaltung von DORA und NIS2, denn sie ermöglicht es Ihnen, die Cybersicherheit zu verbessern, robustere Access-Management-Prozesse zu implementieren und eine zuverlässige Bereitstellung von Identitätsdiensten zu garantieren – ohne Ausfallzeiten.
Wenn Sie mehr darüber wissen möchten, wie Okta Workforce Identity Cloud und unsere anderen Lösungen Ihr Unternehmen bei der DORA- und NIS2-Compliance unterstützen, sprechen Sie einfach mit unserem Team.