Die EU Richtlinie Network and Information Systems (NIS) von 2016 wurde im Januar 2023 überarbeitet und unter dem Namen NIS2 veröffentlicht, gemeinsam mit Richtlinie über die Resilienz kritischer
Einrichtungen. Die Gesetzgeber der EU Mitglieder haben bis 17.10.2024 Zeit die Inhalte der Richtlinie in Gesetzen umzusetzen.
Hintergrund: Angriffe auf kritische Infrastruktur
Die NIS2 Richtlinie wurde vor dem Hintergrund veröffentlicht Kritische Infrastrukturen (KRITIS) Betreiber gegen mögliche Ausfälle durch externe Angriffe zu härten.
KRITIS: das sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Vor dem Hintergrund aktueller Kriegsgeschehnisse ist davon auszugehen, dass Cyberangriffe immer wahrscheinlicher als Waffe gegen die Infrastruktur eines Landes zum Einsatz kommen werden. Die Vernetzung von kritischen Infrastrukturen mit dem Internet bietet eine große Angriffsfläche, die durch geeignete technische und organisatorische Maßnahmen möglichst klein zu halten ist.
Pflichten aus NIS2
Aus Artikel 20 der NIS2-Richtline ergibt sich die Verantwortung der Geschäftsführung:
- Die Geschäftsführung ist verpflichtet an Schulungen teilzunehmen und diese Ihren Angestellten anzubieten
- Die Geschäftsführung muss Maßnahmen überwachen und haftet bei Verstößen persönlich, ähnlich wie beim Datenschutz wird es daher wahrscheinlich, dass sich Unternehmen durch Cyberversicherungen und Bestellung von Informationssicherheitsbeauftragten absichern wollen
Aus Artikel 21 der NIS2-Richtlinie ergeben sich folgende Pflichten:
- Policies für Risikoanalyse und Sicherheit: Organisationen müssen Richtlinien und Verfahren entwickeln, die eine kontinuierliche Bewertung und Behandlung von Sicherheitsrisiken für Informationssysteme ermöglichen. Dies beinhaltet die Identifikation potenzieller Bedrohungen und Schwachstellen sowie die Festlegung von Sicherheitszielen und -strategien. Regelmäßige Pentests und Sicherheitsaudits werden daher zur Regel gehören.
- Vorfallsbewältigung: Die Fähigkeit, Sicherheitsvorfälle effizient zu erkennen, zu analysieren, einzudämmen und darauf zu reagieren, ist entscheidend. Dies erfordert etablierte Prozesse und Teams, die für die Bewältigung von Vorfällen vorbereitet sind. Ein Incident Response Plan und Übungen für den Ernstfall werden daher von zentraler Bedeutung sein.
- Business Continuity: Organisationen müssen Strategien zur Datensicherung und Wiederherstellung von Systemen nach einem Vorfall implementieren. Dazu gehört auch die Planung für Krisensituationen, um die Fortführung kritischer Geschäftsprozesse zu gewährleisten.
- Supply Chain Sicherheit: Die Sicherheit in der Lieferkette ist ein entscheidender Teil eines funktionierenden Schwachstellenmanagements, da Schwachstellen in dieser Kette das gesamte Netzwerk gefährden können. Unternehmen müssen die Sicherheitspraktiken ihrer Lieferanten bewerten und sicherstellen, dass diese angemessene Sicherheitsmaßnahmen umsetzen.
- Einkauf von IT-Systemen: Die Sicherheit beim Erwerb, der Entwicklung und der Wartung von IT-Systemen muss gewährleistet sein. Dies schließt eine Überprüfung der Sicherheitsmerkmale von erworbenen Produkten und Dienstleistungen ein.
- Bewertung der Wirksamkeit: Die Überprüfung und Bewertung der Effektivität der implementierten Sicherheitsmaßnahmen ist entscheidend, um sicherzustellen, dass sie die gewünschte Schutzwirkung erzielen.
- Cyberhygiene und Schulung: Regelmäßige Updates, Patches und die Schulung von Mitarbeitern in Cyberhygiene und Cybersicherheitspraktiken sind essentiell, um das Bewusstsein zu schärfen und die Grundlinie der Sicherheit zu erhöhen.
- Kryptografie: Der Einsatz von Kryptografie und Verschlüsselung schützt Daten und Kommunikation vor unbefugtem Zugriff und sollte entsprechend der Sensibilität der Informationen angewendet werden.
- Personal, Zugriffe, Assets: Die Sicherheit von Personal, die Kontrolle über Zugriffe und das Management von Vermögenswerten sind kritische Aspekte, um sicherzustellen, dass nur autorisierte Personen Zugang zu sensiblen Informationen und Ressourcen haben.
- Authentifizierung: Starke Authentifizierungsverfahren wie Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung sind notwendig, um die Identität der Nutzer zu verifizieren und unautorisierten Zugriff zu verhindern.
- Kommunikation: Die Sicherstellung der Integrität und Vertraulichkeit von Sprach-, Video- und Textkommunikation, insbesondere in Notfällen, ist von großer Bedeutung.
Die Meldepflicht von Sicherheitsvorfällen gemäß Artikel 23 der EU NIS2-Richtlinie ist wie folgt geregelt:
- Frühwarnung innerhalb von 24 Stunden: Sobald ein Unternehmen Kenntnis von einem erheblichen Sicherheitsvorfall erhält, muss es innerhalb von 24 Stunden eine Frühwarnung an die zuständige nationale Behörde abgeben. Diese Warnung soll einen ersten Überblick geben und einschätzen, ob der Vorfall möglicherweise auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob es sich um einen Vorfall mit grenzüberschreitenden Auswirkungen handeln könnte.
- Ausführlicher Bericht innerhalb von 72 Stunden: Nach der Frühwarnung ist das Unternehmen verpflichtet, innerhalb von 72 Stunden einen detaillierteren Bericht zu erstellen und einzureichen. Dieser Bericht sollte eine erste Bewertung des Sicherheitsvorfalls beinhalten, einschließlich des Schweregrads und der Auswirkungen des Vorfalls. Zudem sollten, wenn möglich, Indikatoren für eine Kompromittierung (sogenannte Indicators of Compromise, IoCs) angegeben werden.
- Fortschritts- und Abschlussbericht ein Monat nach Meldung: Ein Monat nach der initialen Meldung muss das Unternehmen einen Fortschritts- oder Abschlussbericht vorlegen. Dieser Bericht sollte eine ausführliche Beschreibung des Vorfalls enthalten, einschließlich Informationen zur Art der Bedrohung, den Ursachen des Vorfalls, den ergriffenen Abhilfemaßnahmen und, falls zutreffend, Details zu den grenzüberschreitenden Auswirkungen des Vorfalls.
Die Registrierungspflicht nach Artikeln 3 und 27 der NIS2-Richtlinie verlangt von Unternehmen und Organisationen, die unter diese Regelung fallen, sich bei der zuständigen nationalen Behörde zu registrieren:
- Name der Einrichtung: Dies ist eine grundlegende Identifikationsinformation, die den Behörden ermöglicht, das Unternehmen oder die Organisation eindeutig zu identifizieren.
- Anschrift und Kontaktdaten: Die vollständige physische Adresse des Unternehmens muss angegeben werden. Zusätzlich sind Kontaktdetails erforderlich, die typischerweise E-Mail-Adressen, Telefonnummern und möglicherweise auch Faxnummern umfassen. Diese Informationen sind entscheidend, um eine direkte Kommunikation im Falle eines Sicherheitsvorfalls oder für reguläre Updates zu ermöglichen.
- IP-Adressbereiche: Unternehmen sollten auch die IP-Adressbereiche angeben, die sie nutzen. Dies ist besonders relevant für die Identifizierung und das Verständnis der Netzwerkinfrastruktur des Unternehmens und kann im Falle von Sicherheitsvorfällen zur schnellen Lokalisierung und Eingrenzung von Problemen beitragen.
- Sektor und Teilsektor gemäß Anhang I oder II: Die NIS2-Richtlinie kategorisiert Unternehmen basierend auf ihrem Sektor und Teilsektor. Die Zuordnung zu einem bestimmten Sektor oder Teilsektor hilft den Behörden, die potenziellen Risiken und die Bedeutung des Unternehmens für die kritische Infrastruktur zu verstehen.
- Liste der EU-Mitgliedstaaten, in denen Dienste erbracht werden: Unternehmen, die Dienste in mehreren EU-Mitgliedstaaten anbieten, müssen auflisten, in welchen Ländern sie aktiv sind. Diese Information ist wichtig für die grenzüberschreitende Koordination und Zusammenarbeit im Falle von sicherheitsrelevanten Vorfällen.
Ausweitung der betroffenen Sektoren
Bisher galt, dass nur KRITIS Betreiber besonders hohe Anforderungen an IT Sicherheit und Risikomanagement zu gewährleisten hatten. Zu den bisherig betroffenen Branchen gehörten folgende:
Branche | Detailbeschreibung |
---|---|
Energie | Stromversorgung, Fernwärme, Fernkälte, Kraftstoff, Heizöl, Gas |
Transport | Post und Kurierdienstleistungen, Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr |
Finanzen | Banken, Finanzmarkt-Infrastruktur, (bisher noch keine Versicherungen) |
Entsorgung | Abfalldienstleistungen |
Chemie | Herstellung, Handel, Verarbeitung |
Medizin | Dienstleistungen, Referenzlabore, Forschung, Entwicklung, Pharma, Medizinprodukte |
Wasser | Trinkwasserversorgung, Abwasser |
Verarbeitendes Gewerbe | Medizin und Diagnostika; DV, Elektro, Optik (NACE C Abt. 26/27); Maschinenbau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30) |
IT und Telekommunikation | IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation und Dienste, Managed Services und Security Services, Top Level Domain Betreiber, Cloud Service Provider |
Weltraum | Bodeninfrastrukturen |
Digitale Dienste von öffentlichem Interesse | Suchmaschinen, Marktplätze und soziale Medien |
Forschung | Forschungseinrichtungen |
Klärungsbedarf besteht hier bei Cloud Service Provider und Managed Services sowie Security Services. Vor allem Startups und innovative KMU bieten oft Dienstleistungen in Form digitaler Dienste mit Cloud Hosting oder Software as a Service an. Wer Anwendungen, Infrastruktur oder Rechenleistung im B2B Bereich as a Service für Kunden anbietet wird daher wahrscheinlich von NIS2 betroffen sein. Es ist jedoch immer im Einzelfall zu klären.
Wichtig: der Unternehmensschwerpunkt ist hier nicht entscheidend. Allein die Tatsache, das überhaupt etwas in einem betroffenen Bereich angeboten wird begründet die Betroffenheit. Bei Konzernen ist das ähnlich: die Schwellwerte für die Unternehmensgröße gelten so, dass der Konzern als gesamtes bewertet wird und nicht der betroffene Unternehmensteil, der evtl. unter der 10 Mio Euro Umsatz Grenze liegen würde.
Eine genaue Berechnung der Schwellwerte ab wann man als KRITIS Betreiber zählt kann man entweder in dieser Übersicht zu KRITIS Sektoren nachlesen oder alternativ über eine Registrierung auf dem Melde- und Informationsportal (MIP2) des Bundesamts für Sicherheit in der Informationstechnik bei Registrierung für die MIP Meldestelle herausfinden.
WICHTIG: KRITIS Betreiber haben selbst die Pflicht sich einzuschätzen, ob die Verordnung auf Sie zutrifft!
Neuerungen aus NIS2
In der Definition von kritischen Sektoren aus NIS2 wird zwischen Sektoren mit hoher Kritikalität
- Abwasser
- Bankwesen
- Digitale Infrastruktur
- Energie
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Öffentliche Verwaltung
- Trinkwasser
- Verkehr
- Verwaltung von IKT-Diensten
- Weltraum
und Sonstige kritische Sektoren
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren
- Herstellung von Medizinprodukten
- Herstellung von Datenverarbeitungsgeräten,
elektronischen und optischen Erzeugnissen - Herstellung von elektrischen Ausrüstungen
- Maschinenbau
- Herstellung von Kraftwagen und Kraftwagenteilen
- Sonstiger Fahrzeugbau
- Anbieter digitaler Dienste
- Forschung
unterschieden. Anders als in der deutschen Definition von KRITIS, kommt Medien und Kultur, Medizingroßhandel und öffentlicher Nahverkehr hier erstmal nicht vor. Es ist also abzuwarten, inwieweit dieser Sektor im nationalen Gesetz vorkommen wird.
Betroffen von NIS2 sind grundsätzlich nur Unternehmen mit mehr als 50 Beschäftigten oder 10 mio Euro Umsatz. D.h. kleine Unternehmen aus oben genannten Sektoren werden ausgeklammert. Es gibt jedoch Ausnahmen, die unabhängig der Größe als kritische Einrichtungen gelten:
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Domänennamen-Registrare oberster Stufe
- DNS-Diensteanbieter
- Öffentliche Verwaltung
- Unternehmen, auf die die Resilienz-Richtlinie der EU zutrifft
- Unternehmen, auf die die Resilienz-Richtlinie der EU zutrifft
- Unternehmen, deren Störung einen wesentlichen Effekt auf
die öffentliche Ordnung, Sicherheit oder Gesundheit haben - Unternehmen mit Monopolstellung, welche kritisch für das
öffentliche Leben ist - vorher schon bereits als kritisch eingestufte Unternehmen
- Vertrauensdiensteanbieter
Aufwand für die Umsetzung
Im Kern von NIS2 geht es generell darum Risiko-basiert abzuwägen, welchen Stand der Technik, die kritische Infrastruktur gewährleisten kann, ohne dabei finanziell durch den Aufwand ruiniert zu werden. Die Maßnahmen zur Risikominimierung sind dabei nicht allein auf IT Sicherheit beschränkt, sondern sind auch auf physische Angriffe und Sicherstellung von Lieferketten bezogen.
Die Bemessung des Risikos erfolgt dabei auf Basis
- Der Eintrittswahrscheinlichkeit
- des zu erwartenden Schadens
- und der Auswirkung auf die Gesellschaft und die Wirtschaft
Dies erfordert bereits eine Abschätzung von Risiken, wie man es aus der Umsetzung des BSI Grundschutz oder aus der Datenschutz Folgeabschätzung bereits kennt. Wie auch beim BSI Grundschutz wird hier von einer Gefährdungslage ausgegangen. Es scheint daher sinnvoll, die Risikoermittlung auch wie beim Grundschutz auf elementare Gefährdungen aufzubauen und diese mit Eintrittswahrscheinlichkeiten und Schadenspotential zu bewerten. Da heutzutage praktisch alles auf elektronischer Datenverarbeitung aufbaut, scheint eine Bewertung auf Basis der Bausteinauswahl des Grundschutz Katalogs mit individuellen Erweiterungen zu branchenspezifischen Lösungen ein probables Vorgehen zu sein. Dies könnte in folgenden Schritten umgesetzt werden:
- Ermittlung der betroffenen Komponenten, Betriebsmittel und Organisationseinheiten
- Ermittlung der Risiken auf Basis des elementaren Gefährdungskatalogs
- Abschätzung der Folgen und des Schadenspotential
- Wahl geeigneter Grundschutz Bausteine, um abzuschätzen, welche technisch-organisatorischen Maßnahmen (TOM) zwingend notwendig sind
- Kontrolle der bereits eingesetzten TOM und Dokumentation in einem IT Sicherheitskonzept
- Erweiterung auf Basis von NIS2 und BSI Grundschutz Anforderungen, um einen „erfüllbaren“ Stand der Technik herzuleiten
- Laufende Kontrolle und Sicherung des Betriebs
Allein auf Umsetzung der BSI Standards 200-1, 200-2, 200-3 und 200-4 kommen dabei ca. 800 Seiten an Anforderungen an IT Systeme auf KRITIS Betreiber zu, welche durch eigene Bausteine noch zu ergänzen ist.
Teilweise ist dies aus den Mindestanforderungen von NIS2 zu finden, jedoch werden die bereits im BSI Grundschutz behandelten Bausteine
- Policies: Richtlinien für Risiken und Informationssicherheit
- Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
- Business Continuity: BCM mit Backup Management, DR, Krisen Management
- Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
- Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
- Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
- Training:
Cyber Security Hygiene
- Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
- Zugangskontrolle
- Asset Management
- Authentication: Einsatz von Multi Factor Authentisierung und SSO
- Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
- IT Systembezogene Supply Chain: Sicherheit in der Lieferkette — Fernwartung, Vertraulichkeit und Notfallvorsorge
- Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme
- Personal: Human Resources Security
- Business Continuity: BCM mit Backup Management, DR, Krisen Management
- Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
erweitert durch Vorgaben zu
- Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
- Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
- Training:
Cyber Security Hygiene
Der Wortlaut der NIS2 ähnelt dabei mehr der Formulierung der DIN ISO 27001 und DIN ISO 27002, wie man in dieser Zuordnungstabelle zum BSI Grundschutzkatalog sehen kann. Wer also bereits DIN ISO 27001 und 27001 oder BSI Grundschutz konform arbeitet, wird wahrscheinlich nicht überrascht werden.
Ganz anders sieht es aber bei denen aus, die durch die deutlich niedrigeren Grenzwerte als beim IT Sicherheitsgesetz 2.0 noch durch das Raster fielen. Ihnen drohen empfindliche Bußgelder aus NIS2 zwischen 100 Tsd. und 20 Mio. Euro bei Zuwiderhandlung, sowie eine persönliche Haftung der Geschäftsführer. Dazu kommen ähnlich wie beim Datenschutz Meldepflichten auf nationaler Ebene.
Mehrbelastung von Kleinunternehmen
Die deutliche Ausweitung in der Definition von kritischen Einrichtungen durch NIS2 wird wahrscheinlich alle die in finanzielle Schwierigkeiten bringen, die bisher nicht vom IT Sicherheitsgesetz betroffen waren und nicht bereits ISO 27001 / BSI Grundschutz konform arbeiten. Zukünftig betroffene sollten sich daher schon jetzt mit der Einrichtung eines Information Security Management System (ISMS) beschäftigen, da die Umsetzung eines solchen in der Regel mehrere Monate Vorlaufzeit benötigt und einen massiven finanziellen und personellen Aufwand für die Umsetzung technisch-organisatorischer Maßnahmen zu bedeuten hat, gerade, wenn die betroffene Institution weniger als 100 Mitarbeiter hat oder gar weniger als 50 und von den Ausnahmeregelungen betroffen ist.
Die Rolle des Informationssicherheits-Beauftragten (ISB)
Gegeben der Komplexität der gestellten Anforderungen, macht es Sinn, sich rechtzeitig mit seinem Informationssicherheitsbeauftragten zur Materie Gedanken zu machen und die Umstellung und Einführung der geforderten Prozesse rechtzeitig anzugehen. Wir gehen davon aus, dass es ähnlich wie bei der DSGVO zu weitreichenden Folgen kommen wird, die vor allem Zulieferer betreffen, die auf Grund der Supply Chain Anforderungen aus NIS-2 ebenfalls indirekt von der Richtlinie betroffen sein werden und ggf. von Ihren Auftraggebern aufgefordert werden ein vorgeschriebenes ähnliches Sicherheitsniveau herzustellen. Die Verantwortung wird auch hier bei der Geschäftsführung liegen, aber wie schon beim Datenschutz ist davon auszugehen, dass es häufiger zu Bestellungen eines Informationssicherheits-Beauftragten kommen wird, um der Bürokratie und den technisch komplexen Anforderungen Herr zu werden.