Die EU Regelt - Regeln sie mit!

ÜBERBLICK

Was sich durch die NIS-2-Richtlinie Ändert

Bei manchen Themen sind wir Menschen arg ambivalent. Natürlich möchten wir, dass unschöne Zwischenfälle vermieden werden, und dass sich jemand drum kümmert. Das muss nicht notwendigerweise ein Comic-Held unserer Kindheit sein, da reicht es uns auch schon, die Verantwortung auf den Gesetzgeber abschieben zu dürfen.

Aber was, wenn das passiert? Dann sind wir schnell davon genervt, dass es eine neue Vorschrift gibt. Und das vielleicht sogar teilweise zu recht, denn allgemein formulierte Regeln sind zwar meist gut gemeint, aber passen dann auf den ein oder anderen Fall nicht ganz so schön, wie wir uns das wünschen würden.

Zuletzt haben wir das im Mai 2018 anschaulich erlebt, im Rahmen des Inkrafttretens der DSGVO. Natürlich möchten wir alle, dass unsere Daten geschützt werden. Vor Datenkraken, vor großen Konzernen, vor Werbetreibenden, und generell vor allen Menschen, die meine persönlichen Informationen nun mal nichts angehen. 

Also war die DSGVO eine tolle Idee? Auf jeden Fall. Und sind wir selbst genervt, wenn wir unseren eigenen Umgang mit Kundendaten in Verabreitungsverzeichnissen ausspezifiziern und ständig aktuell halten müssen? Ebenfalls ganz bestimmt!

Kurz erklärt: Was sind kritische Infrastrukturen (KRITIS)?

Laut des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind “Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.”

Zu den Sektoren gehören:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Medien und Kultur
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Siedlungsabfallentsorgung
  • Staat und Verwaltung

DIE SICHERHEIT KRITISCHER INFRASTRUKTUR

Ein weiteres Thema, bei dem wir uns “eigentlich” freuen, dass der Gesetzgeber die Verantwortung übernimmt und rechtliche Rahmenbedingungen schafft, ist die Sicherheit kritischer Infrastruktur. Natürlich wollen wir, dass essentielle Infrastruktur wie beispielsweise Stromversorger hinreichend gut vor Hackern geschützt wird – schließlich geht es um unser aller Sicherheit.

Auch hier hat die EU reagiert, bereits 2016, mit der “Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union(1). Damit leben wir alle sicherer, aber es hat sich herausgestellt, dass das Thema wichtig genug ist, um diese Richtlinie sowohl im Geltungsbereich als auch in den Anforderungen weiter zu verschärfen.

Netzwerk- und informationssicherheit 2 (NIS-2)

Bereits Ende 2022 wurde die Nachfolgerichtlinie 2022/2555 – bekannt als NIS-2 – veröffentlicht(2). Das Umsetzungsziel 18.10.2024 wurde in Deutschland nicht eingehalten, ist aber unmittelbar bevorstehend und für Ende des ersten Quartals 2025 angestrebt.

Dann wird sich einiges ändern. Einer der wichtigsten Aspekte ist wohl, dass deutlich mehr Unternehmen betroffen sind. Neben Energie und Transport wird beispielsweise auch die ganze Nahrungsmittelbranche als kritische Infrastruktur angesehen, und beispielsweise ein Kartoffelhändler muss sich an dieselben Vorgaben halten wie der Betreiber eines Atomkraftwerkes. Viele trifft das nach wie vor unvorbereitet. Geschätzt sind etwa 30.000 Unternehmen betroffen.

Gehören Sie dazu? Das können Sie leicht herausfinden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet einen schnellen Selbsttest an.

Website des BSI, auf dem der Fragebogen zur NIS-2-Betroffenheitsprüfung zu sehen ist.
NIS-2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Sie sind betroffen? Was jetzt tun?

Wenn Sie betroffen sind, gilt es zunächst, Ruhe zu bewahren. Ja, es sind eine ganze Menge Maßnahmen zu treffen und noch viel mehr Dinge zu dokumentieren. Und ein erster Blick auf die Liste, was alles zu tun ist, kann schon arg überwältigen. Aber es ist machbar.

Maßnahmen für KRITIS (auszug):

  • Risikoanalysen
  • Sicherheitskonzepte
  • Umsetzung von Maßnahmen zur Sicherung der betrieblichen Integrität
  • Disaster Recovery Plan (DR)
  • Business Continuity Plan (BCP)
  • Backup-Plan
  • Überprüfung von Lieferketten
  • Sicherheitsmaßnahmen bei Beschaffung, Entwicklung und Wartung
  • Risiko-Management
  • Cybersecurity-Schulungen (Management und Mitarbeiter)
  • Einsatz von Verschlüsselung
  • Zugriffskontrolle (Least-Privilege-User)
  • Multi-Faktor-Authentifizierung
  • Meldung von Vorfällen
  • (Security Operations Center für KRITIS-Kunden)

NIS-2-Richtlinie Umsetzen: Wir unterstützen sie!

Sollten Sie Hilfe benötigen, sprechen Sie uns gerne an. Wir können in drei Phasen der Umsetzung der Maßnahmen helfen:

  1. Phase: Bestandsaufnahme. Welche Dokumente und Maßnahmen existieren bereits? Was fehlt?
  2. Phase: Begleitung der Umsetzung. Wir begleiten und beraten Ihr Team in der Umsetzung in den Wochen nach der Bestandsaufnahme.
  3. Phase: Abschließende Abnahme. Wir schauen nochmal alles durch und prüfen auf Vollständigkeit.
cropped-christoph_endres.png

CHRISTOPH ENDRES
CEO
sequire technology

Das könnte Sie auch interessieren