Kraftwerke, Stromnetze, Gasanlagen, Rechenzentren und Krankenhäuser: Seit der Jahrtausendwende wurden kritische Infrastrukturen verstärkt zum Ziel von Cyberangriffen. Andere wichtige Systeme wie Banken- und Telefon-Netzwerke oder die Wasserversorgung blieben bisher größtenteils verschont, könnten aber ebenfalls zum Ziel von Cyber-Attacken werden.

Länder auf der ganzen Welt begegnen diesen Bedrohungen mit Regulationen. Als erster Verbund führten die Staaten Nordamerikas 2006 eine Richtlinie ein, um Stromnetze und Elektrizitätswerke zu schützen. 

In der Europäischen Union hatten die Mitgliedstaaten lange Zeit sehr unterschiedliche Herangehensweisen, nicht wenige Länder hatten gar keine Cyber-Security-Vorschriften.

Die EU will die Regulationen nun vereinheitlichen – und hat dazu 2016 die „Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit“ – kurz: NIS-Richtlinie – verabschiedet, die bis November 2018 von den Mitgliedsstaate umgesetzt werden musste. 

Unsere Untersuchung zur Umsetzung zeigt: Die NIS-Richtlinie ist ein Schritt in die richtige Richtung. Die Umsetzung stößt aber immer noch auf viele Hindernisse. „Die Vorschriften zum Schutz vor Cyberangriffen divergieren in den EU-Ländern weiterhin“, sagt Cyber-Security-Experte Wilhelm Dolle. „Eine Vereinheitlichung ist noch in weiter Ferne. Oft müssen industriespezifische und nationale Regulationen gleichzeitig beachtet werden.“ 

Das macht es schwer für multinationale Konzerne, die kritische Infrastrukturen in mehreren Ländern betreiben. Wie sie diese regulatorische Komplexität bewältigen können, zeigt unser Whitepaper.

Vier Schritte, um die regulatorische Komplexität zu meistern.

Mithilfe einer Vier-Schritt-Methode von KPMG können multinationale Betreiber kritischer Infrastrukturen Prozesse entwickeln, die mit den Regulationen aller EU-Mitgliedsstaaten übereinstimmen:

1. Kritische digitale Anlagegüter identifizieren: Dazu sollten Betreiber unter anderem kritische von nicht-kritischen Anlagegütern unterscheiden – und elektrische Kommunikation, die die Grenze zwischen beiden überschreitet, ausführlich untersuchen.
2.  Angestrebtes Sicherheitslevel definieren: Dabei ist es wichtig, beim Ausarbeiten der Strategie einen integrierten Ansatz zu wählen. So lässt sich die Fülle an industriespezifischen und nationalen Regulationen gleichzeitig beachten und Dopplungen vermeiden. 
3. Compliance erreichen: Bei der Umsetzung der Vorschriften hilft ein schrittweises Verfahren, das sich mit einer Road Map planen lässt. Die Umsetzung der nationalen Vorschriften der NIS-Richtlinie erfolgt meist über ein Sicherheitsaudit.
   
4. Compliance erhalten: Um das Sicherheitslevel auf Dauer einzuhalten, sind regelmäßige Monitorings und Überprüfungen der Risikoanalyse notwendig.
   

Mehr über die NIS-Richtlinie und darüber, wie kritische Infrastrukturen vor Cyberangriffen geschützt werden können, erfahren Sie in unserem englischsprachigen Whitepaper „Complying with the European NIS Directive“