CR informiert: NIS-2

Aktuelles

Mit der EU NIS-2 werden innerhalb der EU-Mindestanforderungen für Cyber Security definiert. Die Zielgruppe KRITIS soll ab 2024 widerstandsfähig in den definierten Sektoren sein. Ein Überblick.

Rahmen

EU NIS-2 wird analog zu früheren Vorgaben für die kritische Infrastruktur in nationale Gesetzgebungen überführt werden. Die nachfolgenden Informationen sind deshalb Stand Januar 2023 und werden in der jeweiligen nationalen Gesetzgebung, beispielsweise einem IT-Sicherheitsgesetz 3.0, festgelegt.

Bis wann?

Bis zum Oktober 2024 sollen die adressierten Betreiber und Sektoren in der Lage sein, die Anforderungen umzusetzen.

Wer (Betreiber und Sektoren)?

Die Adressaten werden nach kritischen und wichtigen Sektoren unterschieden. Ebenfalls gibt es Sonderregelungen für bestimmte Infrastrukturen. So sind

  • digitale Infrastrukturen
    • elektronische Kommunikation
    • Trust Service Provider
    • TLD Registries
    • Domain Registrare
  • Spezialfälle
    • Monopole mit besonderer Wichtigkeit bzw. grenzüberschreitender Abhängigkeit
  • öffentliche Verwaltung, Zentralregierung
    • … und risikoorientierte Regionalregierungen

unabhängig ihrer Größe Adressat für EU NIS-2.

Abhängig von der Größe (Kleinst-, Klein-, Mittel- und Groß-Unternehmen) werden folgende Sektoren adressiert.

  • Energie
    • Elektrizität
    • Fernwärme
    • Erdöl
    • Erdgas
    • Wasserstoff
  • Transport
    • Luftverkehr
    • Schienenverkehr
    • Schifffahrt
    • Straßenverkehr
  • Bankwesen
    • Kreditinstitute
  • Finanzmärkte
    • Handelsplätze
    • Zentrale Gegenparteien
  • Gesundheit
    • Gesundheitsdienstleister
    • EU Labore
    • Medizinforschung
    • Pharmazeutik
    • Medizingeräte
  • Trinkwasser
    • Wasserversorgung
  • Abwasser
    • Abwasserentsorgung
  • Digitale Infrastruktur
    • Internet-Knoten (IXP)
    • DNS (ohne Root)
    • TLD Registries
    • Cloud Provider
    • Rechenzentren
    • CDNs
    • Vertrauensdienste (TSP)
    • Elektronische Kommunikation
  • Digitale Infrastruktur unabhängig der Größe
    • Vertrauensdienste (TSP)
    • TLD Registries
    • DNS
    • Elektronische Kommunikation
  • ICT Service Management im B2B
    • Managed Service Providers
    • Managed Security Service Providers
  • Öffentliche Verwaltung
    • Zentralregierung
    • regionale Regierung
  • Öffentliche Verwaltung unabhängig der Größe
    • Zentralregierung
    • regionale Regierung (kritisch)
  • Weltraum
    • Bodeninfrastruktur

wichtige Sektoren:

  • Post und Kurier
    • Postdienste
  • Abfall
    • Abfallbewirtschaftung
  • Chemikalien
    • Produktion, Herstellung, Handel
  • Lebensmittel
    • Produktion, Verarbeitung und Vertrieb
  • Industrie (Herstellung)
    • Medizinproduktion und In-vitro
    • DV (Computer), Elektronik, Optik
    • Elektrische Ausrüstung
    • Maschinenbau
    • Kraftwagen und Teile
    • Fahrzeugbau
  • Digitale Dienste
    • Marktplätze
    • Suchmaschinen
    • Soziale Netzwerke
  • Forschung
    • Forschungsinstitute

Was (Maßnahmen)?

  • Regelwerk: Richtlinien für Risiken und Informationssicherheit
  • Notfall-Management: Prävention, Detektion, Bewältigung von Cyber Incidents.
  • Business Continuity: BCM mit Backup-Management, Data Recovery und Krisen-Management
  • Supply Chain: Sicherheit in der Lieferkette – bis zur sicheren Entwicklung bei Zulieferern
  • Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
  • Effektivität: Vorgaben zur Messung von Cyber- und Risiko-Maßnahmen
  • Training: “Cyber Security Hygiene”
  • Kryptografie: Vorgaben für Kryptografie und Verschlüsselung
  • Personal: Human Resources Security
  • Zugangskontrolle
  • Asset Management
  • Authentifizierung: Einsatz von Mehr-Faktor-Authentifizierung und Single-Sign-On
  • Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
  • Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme

Wie (Governance)?

Jeder Mitgliedsstaat adressiert die Cyber Security Themen innerhalb des Landes. Dazu gehören:

  • Competent Authority
  • Krisen-Management
  • CSIRT: Computer Security Incident Response Team
  • Nationale Kooperation

Aus der Governance-Sicht werden folgende Faktoren unter dem Begriff “Enforcement Actions” möglich:

  • Nachweis und Tests
  • Random Checks durch Experten und regelmäßige bzw. ad-hoc Security-Audits durch unabhängige Dritte
  • Security Scans
  • Informationen: Behörden sollen Daten, Akten, Informationen, Nachweise der Umsetzung anfordern und einsehen dürfen.
  • Anweisungen: Behörden sollen Betreibern im Fall von Non-Compliance Anweisungen erteilen dürfen.
  • Betriebserlaubnis: Bei fortwährender Non-Compliance kann die Betriebserlaubnis entzogen werden.
  • Organhaftung: Leistungsorgane sollen persönlich haftbar gemacht werden.

Zum Nachweis der Einhaltung werden geeignete europäische Schemata für Cybersicherheitszertifizierung gemäß einschlägiger europäischer und internationaler Normen, mit dem Ziel der Einrichtung bzw. Verwendung von zertifizierten IKT-Produkten, -Diensten und -Verfahren, verpflichtend.

Vorheriger Beitrag
Ein Stück Firewall und IDS bitte. Und, haben Sie noch etwas vom SOC?
Nächster Beitrag
Was haben Corona und Cyber-Security gemeinsam?

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien