RECHNUNGEN UND FINANZEN
SICHERHEIT
DOKUMENTENUMLAUF UND ARCHIVIERUNG
E-COMMERCE
ANALYTIK
VERMARKTUNG
INHALT DIGITALISIERUNG
Von der Verordnung zum Handeln - NIS2 im ERP-Ökosystem
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist ein EU-Rechtsakt, der gemeinsame Cybersicherheitsstandards für die EU-Mitgliedstaaten festlegt. Sie ersetzt die frühere NIS-Richtlinie aus dem Jahr 2016, erweitert den Anwendungsbereich der beaufsichtigten Unternehmen und führt strengere Anforderungen an das Risikomanagement, die Berichterstattung über Vorfälle und die Verantwortung der Unternehmensleitung ein.
NIS2 legt die Messlatte hoch für Cybersicherheitsmanagement, Risikomanagement und Berichterstattung in der gesamten Europäischen Union.
Finden Sie heraus, wie Lukardi und die Pathlock-Plattform - die auch Application Access Governance (AAG), kontinuierliche Überwachung der Kontrollen (CCM) und Cybersecurity Application Controls (CAC) für SAP - kann Ihnen helfen, die Anforderungen zu erfüllen NIS2-Richtlinien durch die Implementierung präventiver, aufdeckender und reaktiver Kontrollen direkt in geschäftskritischen Anwendungen.
.
Warum sind ERP-Systeme im Kontext von NIS2 wichtig?
Sie unterstützen wichtige Geschäftsprozesse.
Sie speichern sensible geschäftliche, betriebliche und persönliche Daten.
Privilegierter Zugang birgt ein hohes Risiko von Betrug, Datenverlust und Ausfallzeiten.
Änderungen an Anwendungen können Schwachstellen aufweisen, die die Einhaltung von Vorschriften untergraben.
Die Erfassung und Analyse von ERP-technischen Daten (Telemetrie) ist entscheidend für die schnelle Erkennung von Risiken und die Erfüllung von Meldepflichten.
Hauptverantwortlichkeiten und Anforderungen an das Risikomanagement (NIS2)
- Genehmigung von Cybersicherheitsmaßnahmen durch den Verwaltungsrat.
- Regelmäßige Schulungen für Entscheidungsträger.
- Beaufsichtigung und Verantwortung für die Umsetzung in den Geschäfts- und IT-Bereichen.
- Identitäts- und Zugangsmanagement.
- Sichere Konfiguration, Netzsegmentierung, Zero-Trust-Praktiken.
- Lücken- und Patch-Management, sichere Softwareentwicklung und Änderungsmanagement.
- Erkennung von und Reaktion auf Bedrohungen sowie Planung der Geschäftskontinuität (Runbooks, Backups).
- Risikomanagement in der Lieferkette und Beteiligung an der koordinierten Offenlegung von Schwachstellen.
- Frühzeitige Meldung innerhalb von 24 Stunden nach Feststellung eines bedeutenden Vorfalls.
- Meldung von Vorfällen innerhalb von 72 Stunden mit einer ersten Bewertung und Indikatoren für eine Gefährdung (falls verfügbar).
- Abschlussbericht innerhalb eines Monats; Fortschrittsberichte für laufende Vorfälle.
- Gezielte Audits, Sicherheitsscans, Beweisanfragen, verbindliche Anweisungen von Aufsichtsbehörden.
- Verwaltungsrechtliche Sanktionen: bis zu 10 Mio. € oder 2% des weltweiten Umsatzes für wesentliche Unternehmen bzw. bis zu 7 Mio. € oder 1,4% des weltweiten Umsatzes für wichtige Unternehmen - bei Verstößen gegen Artikel 21 und 23.
Tools - wie Pathlock und Lukardi die NIS2-Implementierung unterstützen
Cybersecurity Application Controls (CAC) für SAP
Dieser Bereich befasst sich mit der Implementierung von Präventions- und Erkennungskontrollen in der SAP-Umgebung zur Unterstützung der NIS2-Konformität.
Schlüsselmodule:
- Risikoerkennung und Reaktion: Mehr als 1.500 Erkennungssignaturen (definierte potenziell betrügerische Ereignisse) auf der Grundlage von mehr als 70 SAP-Protokollquellen; kontinuierliche Überwachung und automatische Warnmeldungen.
- Management von Schwachstellen: Über 4.000 Konfigurationsprüfungen, automatisches Scannen und Priorisierung von Patches zur Stärkung des Systems.
- Code-ScannenKontinuierliche Analyse von ABAP-Code mit über 150 Prüfungen in Entwicklungs- und Produktionsumgebungen.
- TransportkontrolleKontinuierliche Prüfung und automatische Sperrung riskanter Transporte, um die Durchführung anfälliger Änderungen in der Produktion zu verhindern.
- Dynamische Zugriffskontrolle (ABAC für SAP)Datenmaskierung, Anonymisierung von Testdaten und richtlinienbasierte Kontrollen, die einen unbefugten Datenexport verhindern und Transaktionen kontextbezogen einschränken.
Automatische Reaktionsmechanismen (SOAR) in CACs
In diesem Bereich können wir die Reaktion auf kritische Ereignisse im System automatisieren.
- Aktivierung automatischer Gegenmaßnahmen (z. B. Blockierung riskanter Transporte), wenn risikoreiche Muster erkannt werden.
- Übermittlung von angereicherten Bedrohungsereignissen an das SIEM-System zur Erleichterung der Priorisierung von Ereignissen und des Eskalationsprozesses.
- Wenden Sie mithilfe von ABAC richtlinienbasierte Einschränkungen in Echtzeit an, um das Ausmaß der Bedrohung während eines aktiven Vorfalls zu verringern.
- Generieren Sie revisionssichere Berichte, die Erkennungen, ergriffene Maßnahmen und den Status dokumentieren und die NIS2-konforme Berichterstattung unterstützen: 24h / 72h / 1 Monat.
Verwaltung des Anwendungszugriffs (AAG)
Zugriffsverwaltung - dieses Modul hilft dem Unternehmen zu kontrollieren, wer auf was in ERP-Systemen (z.B. SAP, Oracle) Zugriff hat.
Seine Hauptfunktionalitäten:
- Es wird überprüft, ob jemand nicht zu viele Befugnisse hat - z. B. die Möglichkeit, Rechnungen zu genehmigen und gleichzeitig Lieferanten anzulegen (dies kann zu Missbrauch führen).
- Abbildung von Berechtigungskonflikten zwischen Systemen (systemübergreifende SoD) - z.B. in S/4 ERP beim Anlegen eines Lieferanten und in Ariba beim Anlegen einer Bestellung und Auslösen eines Einkaufs.
- Sie simuliert "Was-wäre-wenn"-Szenarien - z. B. was passiert, wenn ein bestimmter Mitarbeiter neue Rechte erhält.
- Löscht automatisch überflüssige Konten - z. B. wenn ein Mitarbeiter ausscheidet.
- Verwaltet den vorübergehenden Zugang (Feuerwehrmann) - z. B. gewährt er den Zugang nur für die Dauer eines Notfalls und nimmt ihn dann wieder zurück.
Kontinuierliche Überwachung der Kontrollen (CCM)
Kontinuierliche Audit-Überwachung. Dieses Modul überwacht, ob alle Sicherheitsregeln eingehalten werden und hilft bei der Vorbereitung auf Audits.
Was macht der CCM?
- Er sammelt Beweise dafür, dass das Unternehmen angemessene Sicherheitsvorkehrungen trifft.
- Sie zeigt, welche Probleme finanziell am gefährlichsten sind - zum Beispiel, welche Fehler am meisten kosten können.
- Es erstellt Berichte und Diagramme, die die Vorbereitung von Audits und die Einhaltung verschiedener Vorschriften (z. B. NIS2, ISO, SOX) erleichtern.
Beispiele für Anwendungsszenarien für Pathlock-Tools gegen NIS2
Plattform | NIS2-Anwendungsbereich | Beispiel für die Anwendung von Pathlock |
SAP S/4HANA / ECC | Artikel 21 (Härtung), Artikel 23 (Berichterstattung) | CAC blockiert automatisch risikobehaftete Transporte und generiert angereicherte Warnmeldungen an das SIEM. ABAC schränkt den Zugriff auf sensible Transaktionen während eines Vorfalls ein, |
Oracle ERP (Wolke/EBS) | Artikel 21 (Zugangskontrolle) | Die AAG verhindert SoD-Konflikte zwischen den Modulen „Verpflichtungen” und „Beschaffung”; der JIT-Zugang ermöglicht Notoperationen, ohne dass permanente Verwaltungsrechte verlassen werden. |
Microsoft Dynamics 365 (F&SCM) | Artikel 21 (Konfigurationsüberwachung), Artikel 32 (Überwachungsnachweise) | CCM überwacht kritische Konfigurationsänderungen und schätzt potenzielle finanzielle Verluste; Berichte mit nur einem Mausklick liefern vollständige Nachweise für Audits. |
Arbeitstag | Artikel 20 (Verwaltung) | Regelmäßige Zertifizierung des Zugriffs auf HR- und Gehaltsabrechnungsrollen; automatische Entfernung verwaister Konten als Beweis für die Aufsicht durch das Management. |
Salesforce | Artikel 21 (Zugang zu Daten) | Regulierungskonforme Bereitstellung für Integrationsbenutzer; SoD-Regeln zwischen Anwendungen verhindern Kombinationen, die einen Massenexport und Missbrauch von regulierten Daten ermöglichen. |
Empfehlungen und nächste Schritte - wie NIS2 mit Pathlock und Lukardi umgesetzt werden kann
Stufe 1
Das Management sollte von Anfang an in die Sicherstellung der NIS2-Konformität eingebunden werden. Zu Beginn sind die Verantwortlichen für die Sicherheit im ERP-Bereich (z.B. SAP, Ariba, Oracle) zu benennen.
Stufe 2
Danach folgt die Einführung einer Reihe von Kontrollen gemäß den Artikeln 21-23 der NIS2. Hierfür wird das CCM-Modul nützlich sein, das die Sammlung von Nachweisen für die Einhaltung der Vorschriften in allen Systemen unter Berücksichtigung der Risikoanalyse erleichtert.
Stufe 3
Zur Sicherstellung des Least-Privilege-Access-Prinzips (d.h. Mindestzugang als Standard) kann ein AAG-Tool eingesetzt werden, dessen Hauptmerkmale die Kontrolle über SoD-Regeln (Separation of Duties), den temporären Zugang (JIT) oder die Durchführung von vierteljährlichen Zugangsüberprüfungen sind.
Stufe 4
Die technische Ebene zur Gewährleistung eines angemessenen Niveaus der SAP-Sicherheit umfasst die Anpassung der Konfiguration und der Implementierung der Überwachung. Dieses Thema wird durch das CAC-Modul in SAP umgesetzt. Es bietet eine kontinuierliche Erkennung von Bedrohungen, automatische Transportsperren, ABAC-Richtlinien, Schwachstellenmanagement in Verbindung mit Änderungsfenstern.
Stufe 5
Der nächste Schritt besteht darin, Szenarien für die Berichterstattung über Vorfälle vorzubereiten, z. B. durch die Integration mit SIEM. Dies unterstützt die automatische Erfassung von Daten für Berichte. Denken Sie daran, dass Sie 72 Stunden Zeit haben, um einen Vorfall zu melden und die grundlegenden Analyseelemente zu übermitteln.
Stufe 6
Nutzen Sie bewährte Verfahren, um die Umgebungen auf die NIS2-Anforderungen vorzubereiten. Die Praktiken von ISACA (COBIT, CISM, CRISC) oder ISC2 (CISSP) helfen Ihnen beim Risikomanagement, bei der Gewährleistung der Kontrolle und bei der Reaktion auf Vorfälle.
Warum ist die Umsetzung der NIS2-Richtlinie für Unternehmen wichtig?
Minimierung des Risikos von Cyberangriffen
NIS2 setzt die Implementierung von Sicherheitsstandards durch, die die Anfälligkeit für Ransomware-Angriffe, Phishing oder Datenlecks verringern und so die Geschäftskontinuität schützen.
Einhaltung der Gesetze und Vermeidung von Strafen
Die Richtlinie erlegt rechtliche Verpflichtungen auf. Die Nichtumsetzung kann zu hohen finanziellen und reputationsbezogenen Sanktionen führen.
Vertrauen der Partner aufbauen
Die Erfüllung der NIS2-Anforderungen zeigt, dass die Organisation die Sicherheit ernst nimmt, was die Glaubwürdigkeit in den Augen der Auftragnehmer und des Marktes erhöht.
Stärkung der Widerstandsfähigkeit von Unternehmen
Bei der Einführung von NIS2 geht es nicht nur um die Einhaltung von Vorschriften, sondern auch um eine Investition in die Prozessstabilität und -kontinuität, die vor kostspieligen Ausfallzeiten und Verlusten schützt.
Fragen und Antworten
1 Warum ist die NIS2-Richtlinie für Unternehmen in Polen wichtig?
NIS2 zielt darauf ab, das Niveau der Cybersicherheit in der gesamten EU zu erhöhen. In Polen bedeutet dies die Verpflichtung, Verfahren und Technologien zum Schutz vor Cyberangriffen einzuführen, was angesichts der zunehmenden Zahl von Vorfällen und Bedrohungen für kritische Infrastrukturen von entscheidender Bedeutung ist.
2. Seit wann ist die NIS2 in Polen in Kraft?
Die Richtlinie trat in der EU im Januar 2023 in Kraft, und die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 umsetzen. In Polen werden die Bestimmungen im Rahmen der Änderung des Gesetzes über das nationale Cybersicherheitssystem umgesetzt, das ab 2025 in Kraft treten soll.
3 Wer ist von der NIS2 erfasst?
NIS2 umfasst vor allem Unternehmen in Schlüsselsektoren (Energie, Verkehr, Gesundheit, Banken, digitale Infrastruktur) und wichtigen Branchen (Postdienste, Abfallwirtschaft, Lebensmittelproduktion, IKT-Anbieter). Kriterium: mehr als 50 Beschäftigte oder Umsatz >10 Mio. €.
4 Was sind die wichtigsten Verpflichtungen im Rahmen der NIS2?
Zu den wichtigsten Verpflichtungen im Rahmen der NIS2-Richtlinie gehören:
- IT-Risikomanagement
- Verfahren zur Reaktion auf Vorfälle
- Sicherstellung der Geschäftskontinuität
- Risikobewertung in der Lieferkette
- MFA, Verschlüsselung, Zugriffskontrolle
- Sicherheitsaudits und -tests
- Schulungen für Mitarbeiter
5. Wie läuft das Verfahren zur Meldung von Zwischenfällen ab?
- 24h - Erstantrag
- 72h - Hauptbericht
- 30 Tage - Abschlussbericht mit Analyse und Abhilfemaßnahmen
6) Welche Strafen werden bei Nichteinhaltung der NIS2 verhängt?
- Hauptakteure: bis zu 10 Millionen Euro oder 2% Gesamtumsatz
- Relevante Einrichtungen: bis zu 7 Millionen
In Polen zusätzlich bis zu 100 Mio. PLN im Falle schwerer Verstöße.
7 Gilt die NIS2 für kleine Unternehmen?
Nein, es sei denn, sie sind in kritischen Bereichen tätig (z. B. DNS-Dienstleister, Cloud). Deckt in der Regel mittlere und große Unternehmen ab.
8 Wie bereitet man ein Unternehmen auf die NIS2 vor?
- Sicherheitsaudit
- Richtlinien und Verfahren zur Cybersicherheit
- Ausbildung der Mitarbeiter
- Mechanismen zur Meldung von Vorfällen
- Risikobewertung in der Lieferkette
9. Wie interagiert NIS2 mit RODO und DORA?
Die NIS2-Anforderungen müssen mit RODO (Datenschutz) und DORA (Operational Resilience im Finanzwesen) vereinbar sein. Die Unternehmen müssen Konflikte zwischen den Vorschriften vermeiden.
10 Warum NIS2 jetzt einführen?
Eine frühzeitige Einführung verringert das Risiko von Cyberangriffen, vermeidet Strafen und verschafft Wettbewerbsvorteile durch bessere Sicherheit.
Ihre Bedürfnisse,
unsere Unterstützung.
Für weitere Informationen stehen wir Ihnen gerne zur Verfügung.
Ihre Bedürfnisse, unsere Unterstützung.
Für weitere Informationen stehen wir Ihnen gerne zur Verfügung.
Ihre Bedürfnisse, unsere Unterstützung. Lassen Sie uns reden