Erfüllung wachsender gesetzlicher Anforderungen

Der Countdown für NIS2 ist angelaufen
Die zweite Richtlinie über Netz- und Informationssysteme (NIS2) wird am 17. Oktober 2024 in Kraft treten. Bis zu diesem Datum müssen alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen. Nicht weit dahinter folgt der Digital Operational Resilience Act (DORA), eine EU-Verordnung, die am 16. Januar 2023 in Kraft trat, aber erst am 17. Januar 2025 wirksam wird. Die Ära der Cybersicherheitsvorschriften, die mit der Allgemeinen Datenschutzverordnung (GDPR) an Dynamik gewonnen hat, ist angebrochen, und Unternehmen sind nun stärker in der Verantwortung, systemische Risiken in kritischen digitalen Systemen anzugehen. Diese Vorschriften zielen darauf ab, die Standards für das Cyber-Risikomanagement in kritischen und wichtigen EU-Einrichtungen zu erhöhen und die operative Widerstandsfähigkeit zu verbessern.
GDPR setzt den globalen Standard
Vor sechs Jahren trat die Datenschutz-Grundverordnung in Kraft. Dieses Gesetz hat die Art und Weise, wie Unternehmen mit personenbezogenen Daten umgehen, verändert und hatte nachhaltige Auswirkungen auf Unternehmen auf der ganzen Welt, und viele andere Länder haben mit Datenschutzgesetzen und -vorschriften nachgezogen. In gleicher Weise werden sowohl NIS2 als auch DORA einen tiefgreifenden Einfluss haben, da ihre Wirkung über die europäischen Grenzen hinausreicht. Dies gilt insbesondere, wenn ausländische Unternehmen mit EU-Finanzinstituten Geschäfte machen oder Dienstleistungen in der EU anbieten wollen.
Für diejenigen, die mit der NIS2 nicht so vertraut sind, sei gesagt, dass Unternehmen aus 18 Sektoren, darunter auch Banken und Finanzmarktinfrastrukturanbieter, verpflichtet sind, Mindestmaßnahmen für das Management von Cybersicherheitsrisiken zu ergreifen, um ihre Netzwerke und Systeme zu schützen. Von entscheidender Bedeutung ist, dass die Unternehmen gemäß der Verordnung auch für das Management von Cybersicherheitsrisiken in ihren Lieferketten verantwortlich sind - unabhängig davon, ob diese Lieferanten ihren Sitz in der EU haben oder nicht. Die Verordnung verlangt ein hohes Maß an Transparenz, Kontrolle, Überwachung und Berichterstattung.
DORA soll die Verbesserung der operativen Widerstandsfähigkeit der 22.000 Finanzinstitute in der EU vorantreiben und harmonisieren. Es zielt darauf ab, die Widerstandsfähigkeit des Sektors gegenüber Störungen zu erhöhen, die ihren Ursprung in informationstechnischen Systemen haben. Organisationen des Finanzsektors fallen sowohl in den Anwendungsbereich von NIS2 als auch von DORA. DORA verlangt jedoch ein höheres Maß an Risikomanagement und technologiebezogener Berichterstattung über Vorfälle als NIS2.
Umstellung auf Cloud-native Entwicklung
Die Einführung von NIS2 und DORA findet nicht in einem Vakuum statt. Sie findet vor dem Hintergrund der Umstellung auf moderne Cloud-native Anwendungsentwicklung statt, die das Tempo, in dem neue Anwendungen und Dienste bereitgestellt werden, dramatisch beschleunigt, aber auch den Bedarf an agiler, adaptiver Anwendungssicherheit erhöht. Darüber hinaus tragen das Fortbestehen von Legacy-Anwendungen, komplexe hybrid cloud Implementierungen, wachsende Angriffsflächen und die Entwicklung immer ausgefeilterer Angriffe zu einer äußerst komplexen Governance-, Risiko- und Compliance-Umgebung bei.
Um die Anforderungen von NIS2 und DORA zu erfüllen, müssen Finanzdienstleister eine Reihe von Problemen angehen. So müssen sie beispielsweise ihre Verschlüsselungsstrategien überprüfen und verfeinern. NIS2 schreibt vor, dass Verschlüsselung dort eingesetzt werden muss, wo sie Sicherheit und Widerstandsfähigkeit gewährleistet, während beide Vorschriften die Einführung von Tools vorschreiben, die eine starke Verteidigungsposition gegen bösartige Angriffe bieten. Dies bedeutet, dass Unternehmen eine leistungsstarke Lösung benötigen, die SSL/TLS-Transparenz ermöglicht, damit sie den Netzwerkverkehr analysieren und blinde Flecken beseitigen können, um das Risiko von verschlüsselten Angriffen zu mindern.
Ebenso wird in beiden Verordnungen ausdrücklich eine wirksame Geschäftskontinuität sowie die Behandlung und Reaktion auf Vorfälle gefordert. Unternehmen müssen robuste Instrumente und Verfahren einsetzen, um technologiebezogene Vorfälle zu erkennen, zu verwalten und den Behörden zu melden. Dazu gehören Frühwarnindikatoren, die Verfolgung von Vorfällen und die Protokollierung, die eine Reaktion und Berichterstattung in der erforderlichen Detailtiefe und Häufigkeit ermöglichen.
DORA verlangt von den Finanzinstituten, technologiebezogene Sicherheitsrichtlinien, -verfahren, -protokolle und -tools zu entwickeln, zu beschaffen und zu implementieren, die darauf abzielen, die Widerstandsfähigkeit, Kontinuität und Verfügbarkeit der IT-Systeme zu gewährleisten. Um diese Anforderungen zu erfüllen, müssen die Organisationen gewährleisten, dass die Anwendungen sicher und durchgängig verfügbar sind, egal wo sie sich befinden. Web Application Firewalls (WAF) sind für die Erreichung dieses Ziels von zentraler Bedeutung, haben sich aber in der Vergangenheit als schwierig zu verwalten und zu warten erwiesen.
Einhaltung der Vorschriften erfordert einen koordinierten Ansatz
Einzelne Abteilungen können diese Vorschriften nicht im Alleingang angehen. Die Einhaltung der Vorschriften erfordert ein koordiniertes Vorgehen aller Beteiligten, von den Entwicklern über die Netzwerkbetriebs- und Sicherheitsteams bis hin zu den Risiko- und Compliance-Teams. Sie alle benötigen einen vollständigen und genauen Überblick über die Leistung der Anwendungs- und Netzwerksicherheit, um die ihnen zugewiesenen Aufgaben zu erfüllen und mit anderen Beteiligten zusammenzuarbeiten. Wenn jedoch jedes Team unterschiedliche Tools, Überwachungs- und Berichterstattungssysteme verwendet, ist es schwierig, einen einheitlichen Überblick über die Sicherheit, Verwaltung und Verfügbarkeit von Anwendungen zu erhalten. Die Herausforderung wird noch größer, wenn Unternehmen sowohl Legacy- als auch Cloud-native Anwendungen berücksichtigen müssen, die in verschiedenen Umgebungen eingesetzt werden.
Das Aufkommen dieser neuen Vorschriften mit ihrem Schwerpunkt auf Transparenz und Berichterstattung bietet Unternehmen die Gelegenheit, ihre derzeitigen Sicherheitstools und das Sicherheitsmanagement zu überprüfen, um Möglichkeiten zur Konsolidierung und Vereinfachung ihres Ansatzes zu ermitteln, ohne die Innovation zu beeinträchtigen. Ein plattformbasierter Ansatz für alle Anwendungen bietet bessere Transparenz, Verwaltung und Berichterstattung in einem einzigen Fenster. Er unterstützt Konsistenz und verbesserte Governance - beides ist wichtig für eine wirksame Compliance.
Der Aufbau operativer Widerstandsfähigkeit und das Risikomanagement liegen in unserer DNA
A10 Networks kann auf eine lange Erfahrung im Finanzsektor zurückblicken und verfügt über ein starkes Produkt- und Lösungsportfolio, das den Weg zur Einhaltung von Vorschriften ebnet. Der Aufbau von Widerstandsfähigkeit, das Risikomanagement und die Vereinfachung präziser Echtzeitberichte liegen in unserer DNA. Unser Produkt- und Dienstleistungsportfolio ist darauf ausgerichtet, Unternehmen des Finanzsektors dabei zu helfen, die wachsenden regulatorischen Anforderungen zu erfüllen und gleichzeitig ihren Sicherheits-Stack zu vereinfachen und zu konsolidieren sowie das erforderliche Maß an Transparenz zu erreichen. Und das alles ohne Abstriche bei Innovation, Geschwindigkeit oder Effizienz.
Unser vollständig integrierter Plattformansatz bietet zentralisierte Sicherheit mit gemeinsamen Tools, die dasselbe Betriebssystem für alle Anwendungen verwenden, unabhängig davon, ob sie auf herkömmlicher Hardware, bare metal oder in der Cloud gehostet werden. Dies bietet Einblicke und Kontext für jedes Projekt, um die Entwicklung und Berichterstattung zu optimieren.
Da Finanzdienstleistungsunternehmen sich mit der wachsenden Herausforderung der Einhaltung von Vorschriften auseinandersetzen müssen und die Einhaltung dieser neuen Vorschriften nun unmittelbar bevorsteht, müssen sie sich an Anbieter wenden, die ihnen helfen können, sichere und konforme Anwendungen bereitzustellen. Wenn Sie wissen möchten, wie A10 Networks Ihnen dabei helfen kann, laden Sie unser aktuelles eBook über die Bereitstellung von zentraler Anwendungssicherheit, Ausfallsicherheit und Einblicken herunter.