Die NIS-Richtlinie

Was ist der Zweck der NIS-Richtlinie?
Die NIS-Richtlinie [1] zielt darauf ab, Sicherheitsmaßnahmen zu fördern und das Schutzniveau der EU-Mitgliedstaaten für kritische Infrastrukturen zu erhöhen. Mit anderen Worten: Sie verbessert die Informationssicherheit von Betreibern in Sektoren, die wesentliche Dienste für unsere Gesellschaft und Wirtschaft erbringen.

Was ist die Geschichte hinter der NIS-Richtlinie?
Die Digitalisierung schafft nicht nur neue Geschäftsmöglichkeiten, sondern eröffnet auch mehr Angriffsvektoren auf die Systeme. Die Zahl der Cyberangriffe hat in den letzten Jahren stark zugenommen, und zwar nicht nur von Kriminellen und sogenannten Script-Kiddies, sondern auch von staatlich finanzierten Kräften mit großer Ausdauer und enormen Ressourcen. Die Erhöhung der Informationssicherheit innerhalb der kritischen Infrastrukturen steigert die Bereitschaft der Gesellschaft für Störungen von außen.

Welche praktischen Auswirkungen hat die NIS-Richtlinie?
Die NIS-Richtlinie verschärft die Anforderungen an die Informationssicherheit in Bezug auf Integrität und Verfügbarkeit. Es ist wichtig, Menschen, Prozesse und Technologie zu berücksichtigen, um die Informationssicherheit in den betroffenen Organisationen zu gewährleisten. Ein besseres allgemeines Verständnis der Klassifizierung von Informations- und Systemrisiken sowie Notfall- und Aktionspläne sind notwendig, um die Abwehr von Angriffen zu verbessern. Vorfälle sind zu melden, um das Wissen zu erweitern und die Bereitschaft zu erhöhen. Grundsätzlich liegt der Schwerpunkt auf den genutzten Netz- und Informationssystemen.

Was müssen die Betreiber tun?
Um eine angemessene NIS-Sicherheit für Ihre IT und OT zu gewährleisten, müssen Sie die volle Kontrolle über Ihre Informationssicherheitsbereiche haben.
Cybersicherheit umfasst mehr als reine Technologie. Um einen nachhaltigen Schutz zu schaffen, ist eine systematische Analyse von Vermögenswerten, Bedrohungen und Risiken erforderlich, die auch Prozesse und menschliche Aspekte einschließt.
Es ist weder praktisch noch wirtschaftlich vertretbar, alle Informationen auf die gleiche Weise zu schützen. Der erste Schritt besteht daher darin, die für den Betrieb wesentlichen Informationen zu identifizieren. Mit diesem grundlegenden Verständnis können die notwendigen Maßnahmen ermittelt und priorisiert werden.

Um die Cybersicherheit kritischer Infrastrukturen im Allgemeinen zu erhöhen, muss eine strikte Segmentierung industrieller Kontrollsysteme (Distributed Control System (DCS)
/Supervisory Control and Data Acquisition (SCADA)) vorgenommen werden, die eine logische Trennung mit einer physischen Trennung kombiniert. Dies bedeutet, dass getrennte Bereiche in der Architektur isoliert bleiben und nur sehr spezifische Informationen dazwischen fließen dürfen. Ein effektiver Weg, dies zu erreichen, ist der Einsatz von Produkten, die die manuelle Verwaltung von Informationen ersetzen (Air Gap) und OT mit IT-Systemen auf höchstem Sicherheitsniveau verbinden.
Um eine angemessene NIS-Sicherheit für Ihre IT und OT zu gewährleisten, müssen Sie die volle Kontrolle über Ihre Informationssicherheitsbereiche haben.

In der heutigen, immer stärker vernetzten und von der Digitalisierung geprägten Realität sind vollständig abgeschottete Lösungen selten eine praktikable Alternative mehr. Sie müssen es ermöglichen, dass Informationen zwischen den Domänen ausgetauscht werden können und Sie müssen die Kontrolle darüber behalten. Sie brauchen bereichsübergreifende Lösungen.

Wie kann man die NIS-Richtlinie einhalten?
Wenn Sie mit der Umsetzung der NIS-Richtlinie beginnen, sollten Sie sich fragen, welche Teile Ihres Unternehmens zentral sind. Dies hängt natürlich von dem jeweiligen Unternehmen ab. Die harte Realität ist, dass niemand alle Teile schützen kann. Vermögenswerte, Bedrohungen, Risiken und Risikobereitschaft müssen daher sorgfältig gegeneinander abgewogen werden, um ein vernünftiges Gleichgewicht und wirksame Maßnahmen zu finden. Es kann auch eine gute Idee sein zu überlegen, welche Teile am anfälligsten für Cyberangriffe sind. Im Allgemeinen ist die Datenübertragung zwischen Netzen sowie die Kommunikation zwischen Sicherheitsbereichen am anfälligsten. Segmentierung und sichere Datenübertragung sind daher oft entscheidend für einen zuverlässigen Betrieb. Sie sollten sich auch fragen, welche Informationen am schutzbedürftigsten sind – und ob Sie sie gut genug schützen. Die Antwort liegt in der Analyse Ihrer Vermögenswerte, Bedrohungen, Risiken und Ihrer Risikobereitschaft. Wenn Sie die Fähigkeiten und Ressourcen eines potenziellen Angreifers kennen, erhalten Sie eine Vorstellung davon, wie effektiv der Schutz gestaltet werden muss. Welches Risikoniveau ist angemessen? Gehen Sie von den Konsequenzen aus. Welche Verluste kann sich das Unternehmen nicht leisten? Was darf auf keinen Fall schief gehen?
In Schweden gilt das Gesetz zur Informationssicherheit für Anbieter von gesellschaftlich wichtigen und digitalen Diensten. Mit diesem Gesetz setzt Schweden die NIS-Richtlinie um. Diese Vorschriften enthalten eine Reihe von Punkten, die klären, wie Sie Ihr Unternehmen anpassen müssen:

Systematische und risikobasierte Informationssicherheitsarbeit
Die Informationssicherheitsarbeit in Bezug auf das Informationsmanagement in Netzen und Informationssystemen, die für gesellschaftlich wichtige Dienste genutzt werden, soll nicht nur an die Organisation angepasst werden, sondern mit Hilfe der Normen SS-EN ISO/IEC 27001:2017 und SS-EN ISO/IEC 27002:2017 durchgeführt werden. Nachdem die bestehenden Risiken identifiziert wurden, muss die Verantwortung der Organisation für die Arbeit mit der Informationssicherheit geklärt werden, alle Ressourcen, die für die Durchführung der Arbeit benötigt werden, müssen sichergestellt werden, und es muss gewährleistet sein, dass die Arbeit angepasst und bewertet wird.

Anforderungen an die Informationssicherheitsarbeit
Das Ziel der Arbeit der Organisation im Bereich der Informationssicherheit muss in einem Regelwerk festgelegt werden. Außerdem muss ein dokumentierter Ansatz vorhanden sein, um beispielsweise Informationen zu klassifizieren, Risiken zu analysieren und angemessene Sicherheitsmaßnahmen zu ergreifen. Außerdem ist es wichtig, die Mitarbeiter zu schulen und sicherzustellen, dass sie verstehen, wie die Arbeit auszuführen ist und was ihre Rolle ist.

Besonderheiten bei Netz- und Informationssystemen
Es ist natürlich von großer Bedeutung, dass die für gesellschaftlich wichtige Dienste genutzten Netze und Informationssysteme den Anforderungen an die Informationssicherheit entsprechen. Sie müssen auch über ein solides Vorfallsmanagement für die Informationen in diesen Systemen verfügen und einen Plan haben, wie Vorfälle zu behandeln sind und wie das Unternehmen nach einem Vorfall vorgehen soll.

Was unterscheidet die NIS-Richtlinie vom Schutzgesetz?
Das Gesetz zum Schutz der Sicherheit gilt für den Schutz von Aktivitäten oder Informationen, die für die Sicherheit Schwedens wichtig sein können. Die NIS-Richtlinie legt Anforderungen an die Netze und Informationssysteme fest, auf die ein Unternehmen angewiesen ist, um gesellschaftlich wichtige oder digitale Dienste zu erbringen. Dasselbe Netz und Informationssystem kann unter das Gesetz über die Schutzmaßnahmen fallen, das auch andere Arten von Aktivitäten abdecken kann. Viele Organisationen können daher von beiden Regelungen betroffen sein, aber die Teile, die unter den Sicherheitsschutz fallen, sind von der NIS-Richtlinie ausgenommen.

Um unter das Sicherheitsschutzgesetz zu fallen, müssen Sie Tätigkeiten ausüben oder Informationen verarbeiten, die in den Rahmen des Sicherheitsschutzes fallen (siehe die Beschreibung oben). Dies kann sich auf Netze, Informationssysteme und andere Teile des Unternehmens beziehen.

Wenn Sie gesellschaftlich wichtige oder digitale Dienste anbieten, fallen Sie unter die NIS-Richtlinie. Die Anforderungen der NIS-Richtlinie gelten nur für die Netze und Informationssysteme, von denen die Erbringung des gesellschaftlich wichtigen oder digitalen Dienstes abhängt.

Mögliche neue Richtlinie – NIS 2
Die ursprüngliche NIS-Richtlinie enthielt einen Prozess zur regelmäßigen Überprüfung ihrer selbst. Dies hat zu einem Vorschlag für eine Richtlinie für Mitgliedsstaaten der EU über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau geführt – diese wird als NIS 2 bezeichnet. Sobald der neue Vorschlag angenommen ist, haben die Mitgliedsstaaten der EU 18 Monate Zeit, die neue NIS 2-Richtlinie anzuwenden.


Unzulänglichkeiten in der NIS-Richtlinie
Die NIS 2 enthält Aspekte, die mit der ursprünglichen NIS-Richtlinie nicht übereinstimmen. Diese Unzulänglichkeiten wurden festgestellt:

• Die Unternehmen in der EU verfügen nicht über ein ausreichendes Maß an Cyber-Resilienz (Cyber-Resilienz ist die Widerstandsfähigkeit gegenüber einem möglichen Cyber-Angriff, aber auch die Fähigkeit die Kapazität während eines Angriffs aufrechtzuerhalten und die Fähigkeit nach einem Angriff wieder die ursprüngliche Kapazität zu erreichen).
• Es gibt Unstimmigkeiten zwischen den Mitgliedsstaaten und Sektoren in Bezug auf die Cyber-Resilienz.
• Die Mitgliedstaaten sind sich nicht ausreichend über die aktuellen Bedrohungen und Herausforderungen im Klaren und verfügen nicht über eine gemeinsame Krisenreaktion.

Neue Ergänzungen in der NIS 2
Aufgrund neuer Anforderungen wurden neue Ergänzungen vorgenommen, die den neuen Vorschlag NIS 2 bilden. Dies sind die wichtigsten neuen Ergänzungen:

• Neue Sektoren (Liste weiter unten).
• Höhere Anforderungen an die Sicherheit und Berichterstattung, wobei eine Liste von Mindestanforderungen befolgt werden muss.
• Sicherheit von Lieferketten und Lieferanten.
• Strengere Aufsichtsmaßnahmen für nationale Behörden.
• Aufhebung der Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste.
• Strengere Aufsichtsmaßnahmen für nationale Behörden, strengere Durchsetzungsanforderungen.
• Harmonisierung der Sanktionsregelungen in den Mitgliedsstaaten, um die Verhängung von Bußgeldern zu ermöglichen.
• Stärkung der Rolle der Kooperationsgruppe und Intensivierung des Informationsaustauschs und der Zusammenarbeit zwischen den Behörden der Mitgliedstaaten.

Wer ist von der NIS 2 betroffen?
In dem neuen Vorschlag wurden neue Sektoren, basierend auf ihrer entscheidenden Bedeutung für die Gesellschaft und Wirtschaft, aufgenommen. Außerdem wird eine breitere Palette von Unternehmen innerhalb jedes Sektors einbezogen.

In der aktuellen NIS-Richtlinie sind sieben Sektoren betroffen:

• Energie,
• Verkehr,
• Banken,
• Finanzmarktinfrastruktur,
• Gesundheitswesen,
• Wasserversorgung und
• digitale Infrastruktur.

Zu diesen Sektoren kommen:

• die Herstellung von pharmazeutischen Produkten, einschließlich Impfstoffen sowie
• kritischen medizinischen Geräten,
• die öffentliche Verwaltung und
• die Raumfahrt

hinzu.

Weitere wichtige Bereiche, die ebenfalls betroffen sein werden, sind

• Post- und Kurierdienste,
• Abfallwirtschaft,
• Chemikalien,
• Lebensmittel,
• die Herstellung anderer medizinischer Geräte, Computer und Elektronik,
• Maschinenausrüstung,
• Kraftfahrzeuge und
• digitale Anbieter.
  

Innerhalb jedes betroffenen Sektors müssen alle großen und mittleren Unternehmen in der EU die Vorschriften einhalten. Kleinere Unternehmen können ebenfalls betroffen sein, wenn dies aufgrund ihres Profils als notwendig erachtet wird.

Referenz