Patrick Upmann

Kategorie: NIS2 Richtlinie

Die NIS2-Richtlinie (Network and Information Systems 2) ist eine Überarbeitung der ersten NIS-Richtlinie (Network and Information Systems), die von der Europäischen Union verabschiedet wurde, um ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der EU zu gewährleisten. Die NIS2-Richtlinie zielt darauf ab, die Cybersicherheitsmaßnahmen innerhalb der EU-Mitgliedstaaten weiter zu stärken, insbesondere angesichts der zunehmenden Cyberbedrohungen und der wachsenden Abhängigkeit von IT-Infrastrukturen.

Die NIS2-Richtlinie baut auf der ursprünglichen NIS-Richtlinie auf und erweitert deren Geltungsbereich sowohl in Bezug auf die abgedeckten Sektoren als auch auf die Arten von Unternehmen, die darunter fallen. Sie führt strengere Sicherheitsanforderungen ein, verbessert die Meldung von Vorfällen und fördert die Zusammenarbeit zwischen den Mitgliedstaaten.

  • NIS2 – Anforderungen

    NIS2 – Anforderungen

    NIS2 – Die Zusammenfassung zu den Anforderungen an CSIRTs (Computer Security Incident Response Teams) sowie deren technische Kapazitäten und Aufgaben basierend auf dem bereitgestellten Text gliedert sich in mehrere Punkte:

    1. Anforderungen an CSIRTs:
      • Verfügbarkeit von Kommunikationskanälen: CSIRTs müssen mehrere, stets verfügbare Kommunikationswege bereitstellen und deren Ausfall verhindern.
      • Sichere Standorte: Räumlichkeiten und Informationssysteme der CSIRTs sollen an sicheren Orten eingerichtet werden.
      • Anfragenmanagement: Ein geeignetes System zur Verwaltung und Weiterleitung von Anfragen ist notwendig.
      • Vertraulichkeit und Vertrauenswürdigkeit: Die Tätigkeiten der CSIRTs müssen vertraulich und vertrauenswürdig sein.
      • Personelle Ausstattung: Ständige Bereitschaft und angemessene Schulung des Personals sind erforderlich.
      • Redundanz und Ausweicharbeitsräume: Zur Sicherstellung der Dienstkontinuität sind Redundanzsysteme und alternative Arbeitsplätze notwendig.
      • Internationale Kooperation: CSIRTs können sich an internationalen Netzwerken beteiligen.
    2. Technische Fähigkeiten und Ressourcenausstattung:
      • Mitgliedstaaten müssen sicherstellen, dass ihre CSIRTs über die notwendigen technischen Fähigkeiten und ausreichende Ressourcen verfügen.
    3. Aufgaben der CSIRTs:
      • Überwachung und Analyse: Erkennen und Analysieren von Cyberbedrohungen, Schwachstellen und Sicherheitsvorfällen.
      • Warnungen und Alarmmeldungen: Ausgabe von Frühwarnungen und Alarmmeldungen, sowie Informationsweitergabe.
      • Reaktion auf Sicherheitsvorfälle: Unterstützung bei der Reaktion auf Sicherheitsvorfälle.
      • Forensische Datenanalyse: Erhebung und Analyse forensischer Daten sowie Risikobewertung.
      • Schwachstellenscans: Proaktive Überprüfung von Netz- und Informationssystemen auf Schwachstellen.
      • Netzwerkbeteiligung: Mitwirkung im CSIRTs-Netzwerk und gegenseitige Unterstützung.
      • Koordinierung von Schwachstellenoffenlegung: Wahrnehmung von Koordinierungsaufgaben bei der Offenlegung von Schwachstellen.
      • Informationsaustausch: Beitrag zum Einsatz sicherer Austauschinstrumente.
    4. Zusätzliche Aspekte:
      • Kooperationsbeziehungen: Aufbau von Beziehungen zu relevanten Stakeholdern im Privatsektor.
      • Standardisierte Vorgehensweisen: Förderung der Annahme gemeinsamer Verfahren und Taxonomien für das Management von Sicherheitsvorfällen und Krisensituationen.
      • Koordinierte Schwachstellenoffenlegung: Benennung von CSIRTs als Koordinatoren für Schwachstellenoffenlegungen und Entwicklung einer europäischen Schwachstellendatenbank durch die ENISA.
      • Nationale Zusammenarbeit: Sicherstellung der Kooperation zwischen verschiedenen Behörden und CSIRTs auf nationaler Ebene.

    Diese Zusammenfassung bietet einen umfassenden Überblick über die wesentlichen Anforderungen, Kapazitäten und Aufgaben von CSIRTs, wie sie in dem bereitgestellten Text dargelegt sind.

    Beratungsleistung zu NIS2

  • NIS 2 Richtlinie

    NIS 2 Richtlinie

    Die NIS2-Richtlinie ist eine wichtige gesetzliche Maßnahme der Europäischen Union, die darauf abzielt, ein hohes gemeinsames Niveau an Cybersicherheit innerhalb der EU zu erreichen.

    Sie baut auf der ursprünglichen NIS-Richtlinie (Richtlinie über die Sicherheit von Netz- und Informationssystemen) auf und erweitert deren Anwendungsbereich und Anforderungen. Hier sind einige Schlüsselelemente der NIS2-Richtlinie:

    1. Erweiterter Anwendungsbereich: Während die ursprüngliche NIS-Richtlinie sich hauptsächlich auf kritische Infrastrukturen wie Energie, Verkehr, Bankwesen und Gesundheitswesen konzentrierte, erweitert NIS2 den Anwendungsbereich auf mehr Sektoren und Arten von Unternehmen, einschließlich wichtiger digitaler Plattformen wie Cloud-Dienste und soziale Netzwerke.
    2. Strenge Sicherheitsanforderungen: NIS2 stellt strengere Sicherheitsanforderungen für Unternehmen in kritischen Sektoren auf. Dazu gehören Maßnahmen zur Risikominderung, die Meldung von Vorfällen und die Umsetzung von Basissicherheitsstandards.
    3. Meldepflichten bei Sicherheitsvorfällen: Unternehmen sind verpflichtet, ernsthafte Cyber-Sicherheitsvorfälle an die zuständigen nationalen Behörden zu melden. Diese Meldepflichten sollen helfen, ein besseres Verständnis für die Art und das Ausmaß von Cyberbedrohungen zu entwickeln.
    4. Nationale Aufsichtsbehörden: Die Richtlinie stärkt die Rolle nationaler Aufsichtsbehörden, die für die Durchsetzung der Richtlinie verantwortlich sind. Sie erhalten mehr Befugnisse und Ressourcen, um Unternehmen zu überwachen und bei Nichteinhaltung Sanktionen zu verhängen.
    5. Förderung der Zusammenarbeit: NIS2 fördert die Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten, um die Reaktion auf grenzüberschreitende Cybersicherheitsvorfälle zu verbessern.
    6. Harmonisierung der Vorschriften: Ein wichtiges Ziel der NIS2-Richtlinie ist die Harmonisierung der Cybersicherheitsvorschriften in der gesamten EU, um sicherzustellen, dass alle Mitgliedstaaten ein vergleichbares Sicherheitsniveau bieten.

    Insgesamt zielt die NIS2-Richtlinie darauf ab, die Widerstandsfähigkeit und Sicherheit der EU gegenüber Cyberbedrohungen zu stärken und eine kohärente und effektive Reaktion auf Sicherheitsvorfälle über Grenzen hinweg zu gewährleisten. Sie ist ein wesentlicher Teil der EU-Strategie zur Verbesserung der Cybersicherheit.

    Zusammenfassung und Handlungsaufforderung zur NIS2-Richtlinie

    Hintergrund: Die NIS2-Richtlinie, eine erweiterte EU-Gesetzgebung zur Netzwerk- und Informationssicherheit, muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland sind bis zu 40.000 Unternehmen betroffen, viele davon sind sich der Anforderungen und Konsequenzen noch nicht bewusst.

    Betroffenheit: Unternehmen müssen selbst prüfen, ob sie unter die Richtlinie fallen. Dies betrifft vor allem Betreiber kritischer Infrastrukturen sowie Organisationen in der Lieferkette dieser Sektoren.

    Hauptvorgaben: Die NIS2-Richtlinie intensiviert Anforderungen in den Bereichen Aufsicht, Kooperation, Risikomanagement und Widerstandsfähigkeit. Unternehmen müssen Maßnahmen zur Schadensvermeidung und -minimierung, einschließlich Netzwerksicherheit und Krisenmanagement, implementieren. Eine fristgerechte Meldung von Sicherheitsvorfällen an die Behörden ist erforderlich.

    Konsequenzen der Nichteinhaltung: Unternehmen riskieren hohe Bußgelder und Geschäftsführer könnten persönlich haftbar gemacht werden. Zudem könnten Firmen von öffentlichen Ausschreibungen ausgeschlossen werden.

    Empfehlungen von now.digital.:

    1. Selbsteinschätzung: Unternehmen sollten umgehend den Ist-Zustand ihrer IT-Sicherheit bewerten.
    2. Implementierung eines ISMS: Ein Informationssicherheitsmanagementsystem nach ISO 27001 wird empfohlen.
    3. Einrichtung oder Auslagerung eines Security Operation Centers (SOC): Zur Überwachung und Reaktion auf Sicherheitsvorfälle.
    4. Strategische Compliance: IT-Compliance ist ein strategisches Schlüsselthema, das ernst genommen werden muss.
    5. Fristgerechte Umsetzung: Unternehmen sollten die Umsetzung von NIS2 als langfristiges, umfassendes Projekt verstehen und schnellstmöglich handeln, um Fristen einzuhalten.

    Beratungsleistung: now.digital bietet umfassende Beratung und Unterstützung bei der Umsetzung der NIS2-Richtlinie. Sie helfen bei der Selbsteinschätzung, empfehlen Maßnahmen und unterstützen bei der Implementierung erforderlicher Sicherheitsstrukturen und -prozesse.

    Handlungsaufforderung: Unternehmen sollten sofort mit der Bewertung und Anpassung ihrer Sicherheitsstrukturen beginnen, um der NIS2-Richtlinie zu entsprechen und mögliche Sanktionen zu vermeiden. now.digital. steht als erfahrener Partner für Beratung und Implementierung zur Verfügung.

  • Data Governance im Kontext von NIS2 : Eine strategische Route zur Compliance und Cybersicherheit

    Data Governance im Kontext von NIS2 : Eine strategische Route zur Compliance und Cybersicherheit

    Eine strategische Route zur Compliance und Cybersicherheit. Die Einführung der überarbeiteten NIS2 -Richtlinie markiert einen entscheidenden Wendepunkt in der europäischen Cybersicherheitslandschaft.

    NIS2 – Mit einem erweiterten Anwendungsbereich und strengeren Vorschriften für Unternehmen und Organisationen, spielt Data Governance eine zentrale Rolle in der Anpassung an diese neuen Anforderungen. Besonders hervorzuheben ist dabei die Bedeutung des Privileged Access Managements (PAM) als Schlüsselkomponente einer effektiven Data-Governance-Strategie.

    Hintergrund: NIS2 und Data Governance

    1. NIS2 im Überblick: Die NIS2-Richtlinie aktualisiert und erweitert die ursprüngliche NIS-Richtlinie, indem sie strengere Sicherheitsvorschriften für eine breitere Palette von Sektoren und digitale Dienste einführt. Dies umfasst kritische Infrastrukturen, wesentliche Dienste und wichtige digitale Plattformen.
    2. Bedeutung für die Data Governance: Im Kern zielt NIS2 darauf ab, die Resilienz gegenüber Cybersicherheitsrisiken zu stärken. Data Governance, das Management und die Sicherung von Daten, wird damit zu einem zentralen Anliegen für alle betroffenen Organisationen.

    Die Rolle von Privileged Access Management

    Privileged Access Management (PAM) ist von entscheidender Bedeutung, um den Anforderungen der NIS2-Richtlinie gerecht zu werden:

    1. Zugriffssteuerung: PAM stellt sicher, dass nur berechtigte Benutzer Zugriff auf sensible Daten und Systeme haben, was ein Kernaspekt der Data Governance ist.
    2. Überwachung und Protokollierung: PAM ermöglicht die Überwachung von Aktivitäten und Änderungen an kritischen Daten, was für die Einhaltung der Compliance und das frühzeitige Erkennen von Sicherheitsvorfällen wichtig ist.
    3. Risikominimierung: Durch die Verwaltung privilegierter Konten und deren Zugriffsrechte können Risiken, die mit Datenmissbrauch verbunden sind, minimiert werden.

    Handlungsempfehlungen für Unternehmen

    1. Bestandsaufnahme und Risikobewertung: Unternehmen sollten ihre aktuellen Data-Governance-Praktiken bewerten und Risiken im Hinblick auf NIS2 identifizieren. Dies beinhaltet die Überprüfung vorhandener PAM-Systeme.
    2. Entwicklung einer Data-Governance-Strategie: Erstellen Sie einen detaillierten Plan, der sowohl technische als auch organisatorische Maßnahmen umfasst, um den Anforderungen von NIS2 gerecht zu werden.
    3. Implementierung effektiver PAM-Lösungen: Wählen Sie geeignete PAM-Tools und -Prozesse aus, die eine robuste Zugriffssteuerung und Überwachung ermöglichen. Schulen Sie Mitarbeiter in der Nutzung dieser Systeme.
    4. Kontinuierliche Überwachung und Anpassung: Sicherheitslandschaften und Vorschriften ändern sich ständig. Regelmäßige Überprüfungen und Anpassungen Ihrer Data-Governance-Strategie und PAM-Systeme sind entscheidend.
    5. Schulung und Sensibilisierung der Mitarbeiter: Bilden Sie Ihre Mitarbeiter in den Bereichen Cyberhygiene und Data Governance weiter. Ein bewusstes Personal ist eine wichtige Verteidigungslinie gegen Cyberangriffe.
    6. Zusammenarbeit und Compliance-Überprüfung: Arbeiten Sie eng mit Behörden und Compliance-Experten zusammen, um sicherzustellen, dass Ihre Data-Governance-Strategie den Anforderungen von NIS2 entspricht.
  • IT-Security | NIS-Richtlinie 2.0

    IT-Security | NIS-Richtlinie 2.0

    Bitkom zum Trilog der NIS-Richtlinie 2.0 

    Anlässlich der laufenden Verhandlungen zur NIS-Richtlinie 2.0, dem europäischen Pendant zum deutschen IT-Sicherheitsgesetz 2.0, erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung:

    „In Brüssel laufen zurzeit die Verhandlungen für den neuen, harmonisierteren europäischen Regulierungsrahmen für Cybersicherheit. Das ist in Anbetracht der wachsenden Bedrohungslage im Cyberraum ausdrücklich zu begrüßen. Insbesondere der Schutz unserer kritischen Infrastrukturen macht zukunftssichere Regelungen essenziell für die europäische Wirtschaft und Gesellschaft.

    IT-Security | NIS-Richtlinie 2.0
    Photo by Pixabay on Pexels.com



    Der gefundene Kompromiss für die neue Richtlinie ist unterstützenswert und verspricht eine ganzheitliche Stärkung der Cyber-Resilienz in der EU. Die ambitionierten Ziele lassen zum Teil aber die tatsächliche Umsetzbarkeit in der Praxis aus dem Blickfeld. Bitkom sieht deswegen noch Nachbesserungsbedarf im derzeitigen Trilog-Verfahren – auch, damit die darauffolgende nationalen Umsetzung der Richtlinie in Form eines IT-Sicherheitsgesetzes 3.0 gelingen kann und die Ziele in der Praxis erfüllbar bleiben. 

    Die vorgesehene Ausweitung des Anwendungsbereichs auf kleinere Unternehmen der klassischen KRITIS-Sektoren (Energie, Wasser, Ernährung, Gesundheit, Verkehr, Finanzwesen, Digitale Infrastruktur) sowie auf zusätzliche Sektoren wie Abfallwirtschaft, Weltraum und Teile der Fertigungsindustrie ist nachvollziehbar und grundsätzlich zu begrüßen. Allerdings muss mit mehr Augenmaß vorgegangen werden. Die aktuell vorgesehene Size-Cap-Rule, nach der Unternehmen nach ihrer Größe und weniger nach der Kritikalität der von Ihnen erbrachten Versorgungsleistung in den Anwendungsbereich fallen, läuft dem bisherigen Verständnis kritischer Infrastrukturen in Deutschland zu wider und wird vor allem die mittelstandsgeprägte deutsche Wirtschaft vor Herausforderungen stellen. 

    Flaschenhals für Cybersicherheit bleibt der Fachkräftemangel. Es braucht fachkundiges Personal in den Unternehmen und Behörden, die die Zeit und das Wissen haben, sicherheitssteigernde Maßnahmen vor Ort umzusetzen. Ein zusätzlicher bürokratischer Überbau mit Meldepflichten von nur 24 Stunden ist hierfür kaum zuträglich.  

    Sorge bereitet im Kontext der Diskussionen um die NIS-Richtlinie 2.0 zudem der Rückstau in der Umsetzung des IT-Sicherheitsgesetzes 2.0 in Deutschland. Fast ein Jahr nach Verabschiedung des Gesetzesvorhaben fehlen weiterhin zentrale Regelungsbestandteile wie die Rechtsverordnung zu den ‚Unternehmen im besonderen öffentlichen Interesse‘. Noch gravierender ist die Tatsache, dass weiterhin kein rechtssicherer und praktikabler Mechanismus existiert, um den Einsatz von kritischen Komponenten in kritischen Infrastrukturen zu regeln, insbesondere im Hinblick auf den 5G-Netzausbau.“

    Die ausführliche Bitkom Stellungnahme zum Trilog-Verfahren der NIS-Richtlinie 2.0 kann hier eingesehen werden: 

    https://www.bitkom.org/sites/default/files/2022-01/03.01.22_bitkom_nis2_positionspapiertrilog.pdf

    Quelle:Bitkom