Zurück
Zurück zur
Blog-Übersicht
July 30, 2024

NIS-2-Richtlinie: Was ist technisch umzusetzen?

NIS-2-Richtlinie: Was ist technisch umzusetzen?

Die technische Umsetzung der NIS-2-Richtlinie

Die zentrale Norm für die operative Umsetzung der NIS-2-Richtlnie ist der Artikel 21. Demnach müssen die Einrichtungen geeignete und verhältnismäßige technisch, operativ und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten. Dabei sind:

 

-         der Standder Technik

-         einschlägige europäische und internationale Normen (wie etwa eine ISO-Norm 27001)

-         die Kosten

-         das bestehende Risiko

-         das Ausmaß der Risikoexposition

-         die Größe der Einrichtung

-         die Wahrscheinlichkeit des Eintretens eines Sicherheitsvorfalles

-         deren Schwere

-         gesellschaftliche und wirtschaftliche Auswirkungen

 

zu berücksichtigen. Sohin verfolgt die NIS-2-Richtlinie einen risikobasierten Ansatz, sodass die Schutzmaßnahmen unterschiedlich ausgestaltet sein können.

TOMs und NIS-2:

 

Konkret müssen Maßnahmen in folgenden Bereichen ergriffen werden:

 

-         Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

-         Bewältigung von Sicherheitsvorfällen

-         Aufrechterhaltung des Betriebs, wie Backup-Management und Widerherstellung nach einem Notfall, und Krisenmanagement

-         Sicherheit der Lieferkette einschließlich sicherheitsbezogene Aspekte der Beziehung zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern

Fokus auf Lieferanten:

 

Die Bewältigung von Risiken, die durch Lieferanten erzeugt werden, wird als „besonders wichtig“ (ErwGr 85) beschrieben. Daraus ergibt sich die konkrete Handlungsanweisung, die Risikomanagementmaßnahmen im Bereich der Cybersicherheit in die vertraglichen Vereinbarungen mit ihren direkten Lieferanten und Diensteanbietern einzubeziehen. Wie weit die Lieferkette von der Einrichtungselbst, insbesondere bei mehrstufigen Lieferketten, zu betrachten sein wird, wird noch Gegenstand juristischer Debatten sein. Maßnahmen auch für die indirekte Lieferanten wurden in der Überarbeitung des Entwurfs ausgenommen, was sinnvoll erscheint, da diese praktisch kaum durchführbar wäre.

 Das bedeutet auch, dass im Hinblick aufden Einsatz von Open-Source-Software entsprechende Überprüfungsmaßnahmen durch den Nutzer selbst durchzuführen sind.

 

-         Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen

-         Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit

-         Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit

Die NIS-2-Richtlinie: Konkrete Umsetzungsmaßnahmen

 

Erwägungsgrund 89 erwähnt als konkrete Praktiken der Cyberhygiene:

§  Zero-Trust-Ansatz

§  Software-Updates

§  Gerätekonfigurationen

§  Netzwerksegmentierung

§  Identitäts- und Zugriffsmanagement

§  Sensibilisierung der Nutzer

§  Schulungen und Sensibilisierung auf Pishing oder Social-Engineering-Techniken

§  dezidiert wird auch der Einsatz von künstlicher Intelligenz genannt, um die IT-Sicherheit zu erhöhen

 

-         Konzepteund Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

-         Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen

-         Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

 

Gemäß Erwägungsgrund 79 sollte auch die physische Sicherheit und die Sicherheit des Umfelds von Netz- und Informationssystemen berücksichtigt werden. Die Maßnahmen sollten im Einklang mit europäischen und internationalen Normen, wie – der dezidiert erwähnten – ISO 27000-Norm sein.

 

Für diverse Diente wie Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Anbieter von verwalteten Diensten, Anbieter vonOnline-Marktplätzen und Plattformen für soziale Netzwerke wird die Kommission Durchführungsakte zur Festlegung der Anforderungen erlassen.

Fazit

Die NIS-2-Richtlinie stellt hohe Anforderungen an die Cybersicherheit in Europa. Einrichtungen sind gefordert, umfassende Maßnahmen zu ergreifen, um ihre Netz- und Informationssysteme zu schützen. Dabei ist ein risikobasierter Ansatz entscheidend, der die spezifischen Gegebenheiten und Risiken der jeweiligen Einrichtung berücksichtigt. Durch die Umsetzung der NIS-2-Richtlinie wird ein wichtiger Beitrag zur Erhöhung der IT-Sicherheit und zur Resilienz gegenüber Cyberangriffen geleistet.

Zurück
Zurück zur
Blog-Übersicht