Die ENISA hat einen Bericht veröffentlicht, der einen Überblick über die aktuellen Cybersicherheitspraktiken in der Lieferkette gibt, die von großen Organisationen in der EU angewandt werden. Er basiert auf den Ergebnissen einer Studie der ENISA aus dem Jahr 2022, die sich auf die Investitionen der Cybersicherheitsbudgets von Organisationen in der EU konzentrierte.
Die NIS2-Richtlinie verpflichtet die Mitgliedstaaten, dafür zu sorgen, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen, die diese Einrichtungen zur Erbringung ihrer Dienste nutzen. Die Cyber-Sicherheit der Lieferkette wird als integraler Bestandteil der Maßnahmen zum Management von Cyber-Sicherheitsrisiken gemäß Artikel 21 Absatz 2 der NIS2-Richtlinie betrachtet.
Der Kurzbericht gibt einen Überblick über die aktuellen Cybersicherheitspraktiken in der Lieferkette, die von großen und wichtigen Organisationen in der EU angewandt werden, basierend auf den Ergebnissen einer Studie der ENISA aus dem Jahr 2022, die sich auf Investitionen in Cybersicherheitsbudgets von Organisationen in der EU konzentriert. Die Ergebnisse umfassen Folgendes
- 86 Prozent der befragten Organisationen implementieren Cybersicherheitsstrategien in der Lieferkette im Bereich Informations- und Kommunikationstechnologie/Operations-Technologie (IKT/OT).
- 47 % stellen ein Budget für die Cybersicherheit der IKT/OT-Lieferkette zur Verfügung.
- 76 % haben keine spezifischen Aufgaben und Verantwortlichkeiten für die Cybersicherheit in der IKT/OT-Lieferkette.
- 61 % verlangen von ihren Lieferanten eine Sicherheitszertifizierung, 43 % nutzen Sicherheitsbewertungsdienste und 37 % führen Due-Diligence-Prüfungen oder Risikobewertungen durch.
oder Risikobewertungen durch. Nur 9 % der befragten Unternehmen geben an, dass sie die Sicherheitsrisiken in ihrer Lieferkette selbst bewerten.
Sicherheitsrisiken in der Lieferkette überhaupt nicht bewerten. - 52% haben eine strikte Patching-Politik, bei der nur 0-20% ihrer Assets nicht gepatcht werden. Andererseits
13,5 % haben keinen Überblick über das Patchen von 50 % oder mehr ihrer IT-Ressourcen. - 46% patchen kritische Schwachstellen in weniger als 1 Monat, weitere 46% patchen kritische Schwachstellen in 6 Monaten oder weniger.
Der Bericht stellt auch bewährte Verfahren für die Cyber-Sicherheit in der Lieferkette zusammen, die aus europäischen und internationalen Standards abgeleitet wurden.
Der Bericht konzentriert sich in erster Linie auf IKT- oder OT-Lieferketten. Es werden Best Practices vorgestellt, die von Kunden (z.B. Organisationen, die gemäß der NIS2-Richtlinie als kritisch eingestuft sind) oder ihren jeweiligen Lieferanten und Dienstleistern umgesetzt werden können. Die Best Practices umfassen fünf Bereiche
- Strategischer Geschäftsansatz
- Risikomanagement entlang der Lieferkette
- Management von Lieferantenbeziehungen
- Umgang mit Schwachstellen
- Produktqualität und Praktiken für Lieferanten und Dienstleister.
Der Bericht kommt zu folgenden Schlussfolgerungen.
- Es herrscht Verwirrung über die Terminologie der IKT/OT-Lieferkette.
- Organisationen sollten ein unternehmensweites Lieferkettenmanagementsystem einführen, das auf dem Third Party Risk Management (TRM) basiert und Risikobewertung, Lieferantenbeziehungsmanagement, Schwachstellenmanagement und Produktqualität umfasst.
- Bewährte Praktiken sollten alle verschiedenen Akteure in der Lieferkette von IKT/OT-Produkten und -Dienstleistungen von der Produktion bis zum Verbrauch einbeziehen.
- Nicht alle Sektoren verfügen über die gleichen Fähigkeiten im Bereich des IKT/OT-Lieferkettenmanagements.
- Die Wechselwirkung zwischen der NIS2-Richtlinie und dem Vorschlag für ein Gesetz über die Widerstandsfähigkeit gegen Cyberangriffe oder andere sektorspezifische oder nicht sektorspezifische Rechtsvorschriften, die Anforderungen an die Cybersicherheit von Produkten und Diensten enthalten, sollte weiter untersucht werden.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024