Erneuerung der Richtlinie zur Netz- und Informationssicherheit: Auswirkungen für öffentliche und private Einrichtungen

Die 2016 erlassene Richtlinie zur Cybersicherheit von Netz- und Informationssystemen (NIS, EU 2016/1148) definierte erstmals die sogenannten „kritischen gesellschaftlichen und wirtschaftlichen Tätigkeiten“. Die Richtlinie umfasst Sicherheitsanforderungen und Meldepflichten für Betreiber wesentlicher Dienste, wie Strom, Gas, Verkehr, und Anbieter digitaler Dienste.

Mit dem Ausbruch der COVID-Krise und der zeitgleich stark steigenden Zahl von Cyberangriffen wurden die Grenzen der NIS-Richtlinie deutlich. Das veranlasste die Europäische Union (EU) dazu, ihr Gesetzespaket zur Cybersicherheit anzupassen und die Richtlinie zu erneuern.

Die NIS-2-Richtlinie (NIS II) wurde am 27. Dezember 2022 (EU 2022/2555) veröffentlicht und muss von jedem Mitgliedstaat in den nächsten 21 Monaten (d.h. bis Herbst 2024) umgesetzt werden. Die NIS II bringt wichtige Änderungen mit sich: Sie harmonisiert die Vorschriften auf EU-Ebene und trägt der aktuellen und erwarteten Cybersicherheitslage Rechnung. Mit diesen Anpassungen soll sich das Niveau der Cybersicherheit und die Widerstandsfähigkeit gegen Angriffe verbessern. Angesichts der Ausweitung des Geltungsbereichs wird eine rasche Umsetzung jedoch eine Herausforderung, da es im Bereich der Cybersicherheit derzeit an qualifiziertem Personal mangelt. Viele Einrichtungen sind nicht in der Lage die geforderten Maßnahmen zeitnah umzusetzen, obwohl sie in den Anwendungsbereich der NIS II fallen.

NIS Richtlinie II

Die wichtigsten Änderungen

Erweiterter Anwendungsbereich:

• Große und mittlere Unternehmen sind nun betroffen (ab 50 Beschäftigten und 10 Millionen Euro Umsatz).
• Es werden mehr Sektoren abgedeckt. 16 Sektoren werden in den Anwendungsbereich fallen.
• Die gesamte Lieferkette wird berücksichtigt.

Neue Klassifizierung der Unternehmen:

• In der NIS II werden wesentliche (e) und wichtige (i) Einrichtungen auf Grundlage ihres Kritikalitätsgrades identifiziert, anstatt sie in Betreiber wesentlicher Dienste und Anbieter digitaler Dienste zu unterteilen.

Änderung der Vorschriften:

• Es muss eine Mindestliste geeigneter technischer und organisatorischer Maßnahmen zum Risikomanagement angewendet werden.
• Der Zeitrahmen für die Meldung von Vorfällen wird verkürzt.
• Ein einziges Kriterium zur Identifizierung von Unternehmen, wodurch die nationalen Unterschiede abgeschafft werden.
  

  ---

Was bedeuten diese Änderungen?

Die NIS II erweitert den Kreis der Einrichtungen, die in ihren Anwendungsbereich fallen. Durch eindeutige Auswahlkriterien, Hinzufügen neuer Sektoren und Teilsektoren sowie Einführen der Kategorie „wichtig“ werden die Grenzen neu definiert. Daher sind die nationalen Behörden nicht mehr für die Bestimmung der Auswahlkriterien zuständig, was in der Vergangenheit zu zahlreichen Unterschieden zwischen den Ländern geführt hat.

• Die Einrichtungen müssen nun nach den einheitlichen Kriterien selbst bewerten, ob sie der NIS II unterliegen.
• Alle Einrichtungen werden gleichbehandelt. Bisher wurden sie teilweise in verschiedenen Mitgliedstaaten (MS) unterschiedlich eingestuft.
• In folgenden Sektoren bzw. Einrichtungen gibt es wesentliche Änderungen: Weltraum, öffentliche Verwaltung, Abwasser, Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste, Lebensmittel, Hersteller bestimmter Produkte, wie medizinische Geräte und Chemikalien, Post- und Kurierdienste, digitale Dienstleistungen, wie Rechenzentrumsdienste und Abfallwirtschaft.

Darüber hinaus wird in der NIS II auch die Bedeutung der Risiken berücksichtigt, die von Lieferketten ausgehen. Alle erfassten Einrichtungen müssen nun ihre Lieferketten in ihr Risikomanagement einbeziehen.

Welche Maßnahmen sollten Einrichtungen ergreifen?

Einrichtungen, die als wesentlich oder wichtig eingestuft werden, müssen einen gefährdungsübergreifenden Ansatz mit einem vorgegebenen Mindestumfang zur Minimierung der Risiken wählen. Dies ist eine wichtige Änderung, denn in der NIS I wurden die Regeln von den nationalen Behörden festgelegt, was zu erheblichen Unterschieden zwischen den Ländern und zu Komplikationen für Einrichtungen führte, die in mehreren Mitgliedstaaten tätig sind.

Diese Mindestvorschriften sind in Artikel 21 aufgeführt. Die Wichtigsten davon sind:

•  Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme,
• Umgang mit Zwischenfällen und
• Sicherheit bei Erwerb, Entwicklung und Wartung von Netzwerken und Informationssystemen.

Darüber hinaus können einige wichtige und wesentliche Einrichtungen verpflichtet werden, IKT-Produkte, -Dienstleistungen und -Verfahren für bestimmte Tätigkeiten zu zertifizieren (oder bereits zertifizierte Produkte, Dienstleistungen und Verfahren zu verwenden, Artikel 24).

• Unternehmen, die unter diese Verpflichtung fallen, sollten den Produkten, Dienstleistungen oder Prozessen, die sie für ihre Informationssysteme auswählen, große Aufmerksamkeit widmen. Die Listen der zertifizierten Produkte sind in der Regel auf der Website der nationalen Informationssicherheitsbehörde zu finden.

Wie kann infodas Ihr Unternehmen bei der Umsetzung von NIS II unterstützen?

Wir sind ein führendes Beratungsunternehmen für Cybersicherheit, dessen Dienstleistungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert sind. Wir arbeiten eng mit der öffentlichen Verwaltung in Deutschland zusammen und verfügen über umfangreiche Erfahrungen mit kritischen Infrastrukturen (z.B. Sicherheitsberatung, Auditing, Penetrationstests). Wir haben bereits viele Unternehmen bei der Umsetzung des KRITIS-Gesetzes in Deutschland begleitet.

Wir unterstützen Unternehmen bei der Umsetzung der Richtlinie, insbesondere bei den in Artikel 21 beschriebenen Maßnahmen. Wesentliche Themenfelder können sein:

• Risikobewertung und -analyse von IT-Prozessen und -Infrastrukturen
• Festlegung und Umsetzung geeigneter Cybersicherheitsmaßnahmen
• Auditierung auf Basis des Gesetzes für kritische Infrastrukturen (BSI-Gesetz)
•  Penetrationstests zur Überprüfung der Wirksamkeit der implementierten Maßnahmen
• Planung der Reaktion auf (Sicherheits-)Vorfälle / Business Continuity Management

Für die Einrichtungen mit hoher Kritikalität (z.B. Energieversorger, Bahnunternehmen, öffentliche Verwaltung) entwickelt infodas zudem hoch vertrauenswürdige, zertifizierte Cybersicherheitsprodukte: Cross Domain Solutions (CDS). CDS tragen zur Verbesserung des Cybersicherheitsniveaus von Unternehmen bei.

Dort werden CDS in strategisch wichtigen Bereichen eingesetzt, um den Prozess der IT/OT-Integration zu sichern und um Datenverluste in der IT-Umgebung zu verhindern. Diese Geräte werden zwischen den beiden Domänen platziert, die bisher durch Air Gapping getrennt waren. Da die direkte Verbindung der OT-Umgebung mit dem IT-Netz der Einrichtung nicht sicher und die beste Lösung im Rahmen der Integration sind, kontrollieren und überprüfen CDS den gesamten Datenfluss (inkl. Inhalt) von und zum OT-System. Der Datenfluss wird auf der Grundlage des Datenregelsatzes zugelassen (oder blockiert). Zugelassene Datenflüsse sind vordefiniert und den Geräten als Regelwerk hinterlegt.

Selbst wenn sie mit der IT-Seite verbunden sind, sind die kritischen OT-Netzwerke nicht gefährdet und ihre Angriffsfläche wird reduziert.