Forcierung der Cybersicherheit durch die NIS 2.0

Die NIS-Richtlinie verpflichtet Betreiber wesentlicher Dienste (OES) und Anbieter digitaler Dienste (DSP), geeignete und angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netzwerk- und Informationssystemen zu verwalten und zu mindern.

Die Richtlinie gibt vor, welche Bereiche zu einem Betreiber wesentlicher Dienste gehören.
Zu diesen zählen:

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasserlieferung und -versorgung
• Digitale Infrastruktur

Da es von Seiten der EU keine Anforderungen an die Bestimmung der Größe und Wichtigkeit der Unternehmen gab, oblag diese Aufgabe der Regierung eines jeden Mitgliedstaates selbst. Die Anforderung, die Richtlinie in nationales Recht einzugliedern und umzusetzen, hatte zahlreiche neue Gesetzte zur Folge. So wurde beispielsweise in Deutschland das vorhandene BSI-Gesetz (BSIG) bzw. die KRITIS-Verordnung umgeschrieben.

Deutschland war in dem Bereich „Informationsschutz“ zur Einführung der NIS-Richtlinie weiter als andere europäische Länder: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) existiert bereits seit 1991, sodass Deutschland die geforderten Ziele der NIS-Richtlinie schnell umsetzten konnte. Die neue KRITIS-Verordnung, die auf Grundlage der NIS-Richtlinie geschrieben wurde, war fortan der Maßstab für Betriebe, die als „kritische Infrastruktur“ klassifiziert wurden. Im Gegensatz zu den Anforderungen der NIS-Richtlinie hat das BSI die Eingrenzung, ab wann ein Betrieb unter einen Betreiber wesentlicher Dienste (Kritische Infrastruktur) fällt, veröffentlicht. So können Betriebe nun selbst kontrollieren, ob sie höhere Sicherheitsstandards aufbringen müssen. Über das IT-Sicherheitsgesetz finden insbesondere für den Sektor Energie immer wieder Neuerungen statt, die auch das BSIG betreffen. Letztlich fordert die NIS-Richtlinie einen Nachweis über den Stand der Technik und Umsetzung der Richtlinie der Betreiber wesentlicher Dienste.

Hierzu zählen Angaben zu Anzahl und Art der Sicherheitsvorfälle, die den Behörden gemeldet werden sollen. Das EU-Parlament wertet diese Informationen alle 2 Jahre aus. Die Sammlung der genannten Informationen erfolgt über das BSI und wird dem Innenausschuss des Deutschen Bundestages einmal jährlich vorgelegt.

Andere Länder waren in der Umsetzung nicht so schnell und detailliert wie Deutschland. Beispielsweise in Österreich ist die NIS-Richtlinie deutlich kleiner umgesetzt worden. Es wurden, wie in der Richtlinie gefordert, die CSIRTs (Computer Security Incident Response Teams) aufgebaut und Meldeketten etabliert. Die NIS-Richtlinie ist die Grundlage für das gleichnamige NIS-Gesetz, welches die wenig spezifischen Anforderungen der NIS-Richtlinie umsetzt (vgl. §2 NISG, 2018). In dieser sind die entsprechenden Anlaufstellen ausgeschrieben und die Handlungsweisen aufgeführt. Ein Unternehmen fällt erst dann unter die Betreiber wesentlicher Dienste, wenn ein Bescheid des Bundesministeriums für Inneres vorliegt.

Eben genau wegen dieses uneinheitlichen Stands der Umsetzung der ersten NIS-Richtlinie hat es bereits im Jahr 2020 den Vorschlag über eine Änderung der NIS-Richtlinie, bzw. sogar über dessen Außerkraftsetzten für eine neuere Richtlinie gegeben. Mit der Version vom 14.12.2022 ist am 27.12.2022 die sogenannte NIS 2.0 von dem Europäischen Parlament und dem Rat verabschiedet worden. Durch diese Richtlinie wird die erste NIS-Richtlinie außer Kraft gesetzt.

In der neuen NIS-Richtlinie sind die Grenzen deutlich drastischer gezogen, sodass es nicht mehr einzig um die Betreiber wesentlicher Dienste geht, sondern nun die Betreiber wesentlicher Einrichtungen und Betreiber wichtiger Einrichtungen miteinschließt. Auch die Sektoren, in welcher sich eben solche Einrichtungen befinden können, haben sich vergrößert.

So zählen nun zusätzlich zu den wesentlichen Einrichtungen die Sektoren:

• Abwasser
• Öffentliche Verwaltung
• Weltraum

Als weitere wichtige Sektoren sind genannt worden:

• Post und Kurier
• Abfallwirtschaft
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe / Herstellung von Waren
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Bildung und Forschung

Der Betroffenenkreis der Firmen eines Landes ist nun deutlich größer geworden, da nicht nur lediglich große Unternehmen, sondern nun auch mittlere Unternehmen unter die NIS-Richtlinie fallen.

Weiterhin ist in der NIS 2.0 Richtlinie ein festdefiniertes Bußgeld festgesetzt worden, welches in der ersten NIS-Richtlinie nicht vorhanden war. So ist es nun beschlossen, dass Unternehmen, die der Klassifikation nach als Betreiber wesentlicher Einrichtungen gelten, Bußgelder von bis zu 10Mio. Euro oder 2% ihres gesamten weltweiten Vorjahresumsatzes auferlegt werden können, wenn die Regelungen nicht eingehalten werden. Genauso wie in der EU-DSGVO ist es den Behörden nun auch möglich, verstärkte und auch vor Ort-Kontrollen von Betreibern wichtiger und wesentlicher Einrichtungen durchzuführen. Diese müssen nicht angekündigt werden!

Die jüngsten Änderungen des BSIG und der KRITIS-Verordnung durch das BSI vom April 2022 werden der NIS 2.0 Expertenmeinungen nach aber nicht genug sein, und somit wird eine weitere Änderung dieser notwendig werden. Wie weitreichend diese sein wird, bleibt abzuwarten.

Die Mitgliedstaaten der EU haben bis zum 17. Oktober 2024 Zeit, die NIS 2.0 Richtlinie in nationale Gesetze bzw. Vorschriften umzusetzen. Ab dem 18. Oktober 2024 greift die Richtlinie.

In Bezug auf das Informationssicherheitsmanagement haben die NIS-Richtlinie und die ISO 27001 einige Gemeinsamkeiten. Während die NIS-Richtlinie einige spezifische Anforderungen festlegt, bietet die ISO 27001 einen umfassenderen Rahmen für das Informationssicherheitsmanagement.

Was die Abdeckung der NIS-Richtlinie durch die ISO 27001 anbelangt, so deckt die Norm eine Reihe von Sicherheitskontrollen ab, die implementiert werden können, um den spezifischen Sicherheitsrisiken im Zusammenhang mit Netzwerk- und Informationssystemen zu begegnen, darunter:

1. Sicherheitsrichtlinien und -verfahren für die Verwaltung von Netz- und Informationssystemen.
2. Prozesse zur Risikobewertung und zum Risikomanagement, um Sicherheitsrisiken zu identifizieren, zu bewerten und zu verwalten.
3. Maßnahmen zur Zugangskontrolle, um den unbefugten Zugang zu Systemen und Daten zu verhindern.
4. Netzwerk- und Systemsicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff, Eindringen und Malware.
5. Incident Management und Business Continuity Planning, um die rechtzeitige Erkennung, Reaktion und Wiederherstellung nach Sicherheitsvorfällen zu gewährleisten.
6. Überwachung und Prüfung der Einhaltung von Vorschriften, um sicherzustellen, dass die Sicherheitskontrollen wirksam sind und die Organisation die einschlägigen Gesetze und Vorschriften einhält.

Zusammenfassend lässt sich sagen, dass die ISO 27001 einen umfassenden Rahmen für die Implementierung und Aufrechterhaltung eines ISMS bietet, der Unternehmen und Organisationen dabei helfen kann, die NIS-Richtlinie einzuhalten und Sicherheitsrisiken im Zusammenhang mit Netzwerk- und Informationssystemen zu verwalten.

Weitere Infos hier.

Autor: Luca Jasinski, DSB der CONTECHNET Deutschland GmbH

Quellen: bsi.bund.de, heise.de, openkritis.de, link11.com, security-insider.de