Entwicklung von NIS zu NIS2 –Herausforderungen für KRITIS-Unternehmen
Das erste EU-weite Gesetz zur Cyber Security innerhalb der Europäischen Union (EU), die sogenannte “NIS Directive”, wurde im Jahr 2016 in Kraft gesetzt und sollte für ein höheres und ausgeweitetes Niveau von Sicherheit in Netzwerken und Informationssystemen sorgen. Die NIS-Direktive sollte zunächst für die Bereiche Gesundheitssystem, Transport, Banken und Finanzmarkt, digitale Infrastruktur, Wasserversorgung, Energie sowie Anbieter von digitalen Dienstleistungen gelten. Doch die Entwicklung ging weiter.
Die NIS-Direktive zielte insbesondere darauf ab, ein hohes gemeinsames Niveau der Cyber Security in allen Mitgliedstaaten der EU zu erreichen. Während sie zunächst die Fähigkeiten der Mitgliedsstaaten in Sachen Cyber Security verbessern konnte, erwies sich ihre Umsetzung doch insgesamt als schwierig. Anstatt zu der angestrebten Vereinheitlichung kam es in der Praxis zu einer Fragmentierung auf verschiedenen Ebenen des Binnenmarktes.
Holprige Realisierung und Entwicklung der NIS2-Vorgaben
Im Dezember 2020 reagierte die EU-Kommission auf diese Situation mit einem neuen Vorschlag, der dann zur Entwicklung der NIS2-Richtlinie führte. Um auf die wachsenden Bedrohungen durch die Digitalisierung und die Zunahme von Cyber-Angriffen entschiedener reagieren zu können, wurde dann ein Entwurf vorgelegt, der die alte NIS-Richtlinie ersetzen und damit die Sicherheitsanforderungen verstärken sollte.
NIS2 zielte insbesondere darauf ab, die Sicherheit der Lieferketten zu verbessern, die Meldepflichten zu vereinfachen und strengere Aufsichtsmaßnahmen und Anforderungen zur Durchsetzung in der EU einzuführen, einschließlich EU-weit harmonisierter Sanktionen. Die Erweiterung des Geltungsbereichs von NIS2, durch die mehr Unternehmen und Sektoren effektiv verpflichtet werden, entsprechende Maßnahmen zu ergreifen, sollte dazu beitragen, das Niveau der Cyber Security im europäischen Geltungsbereich effektiv zu erhöhen.
Mit der Entwicklung von NIS2 kamen folgende Geltungsbereiche hinzu: Provider von Netzwerken und Rechenzentren, Abfallkontrolle und -vernichtung, Raumfahrt, Produktion von Medikamenten und chemischen Stoffen, Dienstleistungen im Post- und Kurierbereich, Ernährungssysteme sowie öffentliche Verwaltung.
Die Umsetzung der NIS2-Richtlinie in der Praxis
Mit ihren ausgeweiteten und strengeren Anforderungen verfolgt NIS2 einen besonderen Ansatz zum Risikomanagement. Unternehmen müssen nun kritische Systeme identifizieren, bei denen Cyber-Attacken einen besonderen Schaden anrichten können. Sie sollen sich insbesondere darauf konzentrieren, in solchen Bereichen zusätzliche Sicherheitsmaßnahmen zu ergreifen, um Risiken zu reduzieren und die Möglichkeiten für angemessene Reaktionen zu erhöhen.
- Die NIS2-Richtlinie betont die Bedeutung von Maßnahmen zum Schutz der Sicherheit in der Lieferkette von Unternehmen. Sie sollen zum Beispiel solche Sicherheitskontrollen in Betracht ziehen, die den externen Zugriff auf sensible Systeme und Informationen durch Dritte einschränken beziehungsweise verhindern. Außerdem soll sichergestellt werden, dass alle Sicherheitsstandards erfüllt werden, bevor man digitale Verbindungen mit anderen Unternehmen und Personen einrichtet.
- Zu den Maßnahmen, auf die größeres Gewicht gelegt werden soll, gehören strengere Zugriffskontrollen, Multi-Faktor-Authentifizierung und Richtlinien für Passwörter. Organisationen müssen außerdem über strenge Patch-Prozesse verfügen, um sicherzustellen, dass regelmäßige Scans auf Schwachstellen durchgeführt und neue Patches umgehend angewendet werden.
- Betreiber von Infrastrukturen für OT (Operational Technology), wie zum Beispiel Hersteller, Energieerzeuger und -verteiler, sollen sicherstellen, dass intelligente Fertigungs- und Steuergeräte angemessen segmentiert und vor unbefugtem Zugriff geschützt sind. Darüber hinaus müssen sie sich vor dem Risiko schützen, dass eingebetteter Code in diesen Geräten durch gezielte Malware kompromittiert wird, die zum Beispiel über kompromittierte Firmware-Updates in ihre OT-Netzwerke eindringen kann.
- Sobald der Zugang, die Systeme und die Infrastruktur abgesichert sind, sollte die Aufmerksamkeit auf die Sicherung der Daten ausgerichtet werden, die in die Organisation ein- und aus ihr herausfließen.
Viele Organisationen übersehen diesen Sicherheitsschritt oder setzen ihn nicht effektiv um. Das Scannen von Dateien, die zwischen Mitgliedern der digitalen Lieferkette und Kunden übertragen werden, kann dann versteckte bösartige Nutzlasten aufdecken. Techniken wie Content Disarm and Reconstruction (CDR) sind in der Lage, besondere Bedrohungen zu erkennen und sie zu entfernen. Dateien müssen untersucht und bereinigt werden, bevor sie verarbeitet und gespeichert werden.
Insgesamt verfolgt die Entwicklung der NIS2 drei allgemeine Ziele
- Erstens: Erhöhung der Cyber-Resilienz einer umfassenden Gruppe von Unternehmen, die in der Europäischen Union in allen relevanten Sektoren tätig sind. Dazu werden neue Regeln eingeführt, die sicherstellen sollen, dass alle öffentlichen und privaten Einrichtungen im gesamten Binnenmarkt, die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen, angemessene Maßnahmen zur Cyber Security ergreifen. Dies geschieht auch dadurch, dass der Anwendungsbereich der Richtlinie auf weitere Sektoren wie zum Beispiel Telekommunikation, Social-Media-Plattformen und die öffentliche Verwaltung erweitert wird. Es wird festgelegt, dass alle mittleren und großen Unternehmen, die in den von NIS2 abgedeckten Sektoren tätig sind, die Sicherheitsvorschriften einhalten müssen. Die Möglichkeit für die Mitgliedsstaaten der EU, Anforderungen in bestimmten Fällen an staatliche Besonderheiten anzupassen, wird abgeschafft. Dies hatte bei der Umsetzung von NIS1 zu einer starken Fragmentierung zwischen den verschiedenen Mitgliedsstaaten geführt.
- Zweitens: Die Verringerung der Inkonsistenzen zwischen den Staaten im gesamten Binnenmarkt wird stärker betont. Dazu werden der De-facto-Geltungsbereich, die Anforderungen an die Sicherheits- und Schadensberichterstattung sowie die Bestimmungen über die nationale Aufsicht und Durchsetzung der Regeln aneinander angeglichen. Außerdem wurden die grundsätzlichen Fähigkeiten der zuständigen Behörden der Mitgliedsstaaten weiter vereinheitlicht. Die Entwicklung der NIS2 enthält eine Liste von sieben Schlüsselelementen, die alle Unternehmen im Rahmen der von ihnen ergriffenen Maßnahmen berücksichtigen und umsetzen müssen: Dazu gehören zum Beispiel die Reaktion auf Vorfälle, die Sicherheit von Lieferketten sowie die Offenlegung von Schwachstellen. Darüber hinaus ist eine Mindestliste von Verwaltungssanktionen festgelegt worden, die immer dann verhängt werden sollen, wenn Unternehmen gegen die Vorschriften zum Risikomanagement im Bereich der Cyber Security oder gegen ihre in der NIS2-Richtlinie festgelegten Meldepflichten verstoßen.
- Drittens: Die Fähigkeiten zur Vorbereitung und Reaktion der zuständigen Behörden sollen durch Maßnahmen zur Stärkung des Vertrauens zwischen den verschiedenen Instanzen erhöht werden. Außerdem soll der Austausch von Informationen und die Festlegung von Regeln und Verfahren für den Fall von besonderen Ereignissen verbessert werden. Die neuen Regelungen sollen die Art und Weise, wie die EU groß angelegte Sicherheitsvorfälle und -krisen verhindert, bewältigt und darauf reagiert, verbessern. Dazu sollen klare Verantwortlichkeiten, eine angemessene Planung und eine verstärkte Zusammenarbeit in der EU eingeführt werden.