Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur

Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

[datensicherheit.de, 30.09.2024] Ein erstes Gesetz zur CyberSecurity innerhalb der Europäischen Union (EU), die sogenannte NIS Directive, wurde im Jahr 2016 in Kraft gesetzt und sollte für ein höheres und ausgeweitetes Niveau von Cyber-Sicherheit in Netzwerken und Informationssystemen sorgen. „Die NIS-Direktive sollte zunächst für die Bereiche Gesundheitssystem, Transport, Banken und Finanzmarkt, digitale Infrastruktur, Wasserversorgung, Energie sowie Anbieter von digitalen Dienstleistungen gelten“, erläutert Holger Fischer, „Director EMEA Central“ bei OPSWAT, in seiner aktuellen Stellungnahme und beschreibt die oft noch „holprige Realisierung der NIS2-Vorgaben“ und die dahinterstehenden Ziele. Diese NIS-Direktive habe insbesondere darauf abgezielt, ein hohes gemeinsames Niveau an CyberSecurity in allen Mitgliedstaaten der EU zu erreichen. Während sie zunächst die Fähigkeiten der Mitgliedsstaaten in Fragen der Cyber-Sicherheit habe verbessern können, habe sich jedoch ihre Umsetzung „insgesamt als schwierig“ erwiesen. Anstatt zu der angestrebten Vereinheitlichung sei es in der Praxis zu einer Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes gekommen.

Foto: OPSWAT

Holger Fischer: NIS-2 soll Art und Weise, wie die EU groß angelegte Sicherheitsvorfälle und -krisen verhindert, bewältigt und darauf reagiert, verbessern

Ersatz der alten NIS-Richtlinie, um damit Cyber-Sicherheitsanforderungen zu verstärken

Fischer führt weiter aus: „Im Dezember 2020 reagierte die EU-Kommission auf diese Situation mit einem neuen Vorschlag, der dann zur NIS-2-Richtlinie führte. Um auf die wachsenden Bedrohungen durch die Digitalisierung und die Zunahme von Cyber-Angriffen entschiedener reagieren zu können, wurde dann ein Entwurf vorgelegt, der die alte NIS-Richtlinie ersetzen und damit die Sicherheitsanforderungen verstärken sollte.“

NIS-2 ziele insbesondere darauf ab, die Sicherheit der Lieferketten zu verbessern, die Meldepflichten zu vereinfachen und strengere Aufsichtsmaßnahmen und Anforderungen zur Durchsetzung in der EU einzuführen, einschließlich EU-weit harmonisierter Sanktionen. Der erweiterte Geltungsbereichs von NIS-2, durch welchen nun mehr Unternehmen und Sektoren effektiv verpflichtet würden, entsprechende Maßnahmen zu ergreifen, sollte dazu beitragen, das Niveau der CyberSecurity im europäischen Geltungsbereich effektiv zu erhöhen.

Mit NIS-2 seien folgende Geltungsbereiche hinzugekommen: Provider von Netzwerken und Rechenzentren, Abfallkontrolle und -vernichtung, Raumfahrt, Produktion von Medikamenten und chemischen Stoffen, Dienstleistungen im Post- und Kurierbereich, Ernährungssysteme sowie öffentliche Verwaltung.

NIS-2-Richtlinie: Aspekte der praktischen Umsetzung

Mit ihren ausgeweiteten und strengeren Anforderungen verfolge die NIS-2-Richtlinie einen besonderen Ansatz zum Risikomanagement. Unternehmen müssten nun Kritische Systeme identifizieren, bei denen Cyber-Attacken einen besonderen Schaden anrichten könnten. „Sie sollen sich insbesondere darauf konzentrieren, in solchen Bereichen zusätzliche Sicherheitsmaßnahmen zu ergreifen, um Risiken zu reduzieren und die Möglichkeiten für angemessene Reaktionen zu erhöhen“, so Fischer.

Die NIS-2-Richtlinie betone ferner die Bedeutung von Maßnahmen zum Schutz der Sicherheit in der gesamten Lieferkette von Unternehmen: „Sie sollen zum Beispiel solche Sicherheitskontrollen in Betracht ziehen, die den externen Zugriff auf sensible Systeme und Informationen durch Dritte einschränken beziehungsweise verhindern. Außerdem soll sichergestellt werden, dass alle erforderlichen Sicherheitsstandards erfüllt werden, bevor man digitale Verbindungen mit anderen Unternehmen und Personen einrichtet.“

Zu den Maßnahmen, auf die größeres Gewicht gelegt werden sollte, gehörten zum Beispiel strengere Zugriffskontrollen, Multi-Faktor-Authentifizierung (MFA) und ausgeweitete Richtlinien für Passwörter. Organisationen müssten außerdem über strenge Patch-Prozesse verfügen, um sicherzustellen, „dass regelmäßige Scans auf Schwachstellen durchgeführt und neue Patches umgehend angewendet werden“.

OT-Betreiber durch NIS-2 besonders herausgefordert

Betreiber von Infrastrukturen für sogenannte Operational Technology (OT), wie zum Beispiel Hersteller, Energieerzeuger und -verteiler, sollten sicherstellen, „dass intelligente Fertigungs- und Steuergeräte angemessen segmentiert und vor unbefugtem Zugriff geschützt sind“. Darüber hinaus müssten sie sich vor dem Risiko schützen, dass eingebetteter Code in diesen Geräten durch gezielte Malware kompromittiert wird, welche zum Beispiel über kompromittierte Firmware-Updates in ihre OT-Netzwerke eindringen könnte.

Fischer betont: „Sobald der Zugang, die Systeme und die Infrastruktur abgesichert sind, sollte die Aufmerksamkeit auf die Sicherung der Daten ausgerichtet werden, die in die Organisation ein- und aus ihr herausfließen. Viele Organisationen übersehen diesen Sicherheitsschritt oder setzen ihn nicht effektiv um.“

Das Scannen der zwischen Mitgliedern der digitalen Lieferkette und Kunden übertragenen Dateien könne dann versteckte bösartige Nutzlasten aufdecken. Techniken wie „Content Disarm and Reconstruction“ (CDR) seien in der Lage, besondere Bedrohungen zu erkennen und sie zu entfernen. Dateien müssten untersucht und bereinigt werden, „bevor sie verarbeitet und gespeichert werden“.

NIS-2 verfolgt drei prinzipielle Ziele:

• 1. NIS-2-Ziel: Erhöhung der Cyber-Resilienz einer umfassenden Gruppe von Unternehmen, welche in der EU in allen relevanten Sektoren tätig sind
  „Dazu werden neue Regeln eingeführt, die sicherstellen sollen, dass alle öffentlichen und privaten Einrichtungen im gesamten Binnenmarkt, die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen, angemessene Maßnahmen zur CyberSecurity ergreifen.“
  Dies geschiehe auch dadurch, dass der Anwendungsbereich der Richtlinie auf weitere Sektoren wie zum Beispiel Telekommunikation, Social-Media-Plattformen und die öffentliche Verwaltung erweitert werde. So werde festgelegt, dass alle mittleren und großen in den von NIS-2 abgedeckten Sektoren tätigen Unternehmen die Sicherheitsvorschriften einhalten müssten. Die Möglichkeit für die Mitgliedsstaaten der EU, Anforderungen in bestimmten Fällen an staatliche Besonderheiten anzupassen, werde abgeschafft. „Dies hatte bei der Umsetzung von NIS-1 zu einer starken Fragmentierung zwischen den verschiedenen Mitgliedsstaaten geführt.“

• 2. NIS-2-Ziel: Die Verringerung der Inkonsistenzen zwischen den Staaten im gesamten EU-Binnenmarkt wird stärker betont
  „Dazu werden der De-facto-Geltungsbereich, die Anforderungen an die Sicherheits- und Schadensberichterstattung sowie die Bestimmungen über die nationale Aufsicht und Durchsetzung der Regeln aneinander angeglichen.“ Außerdem seien die grundsätzlichen Fähigkeiten der zuständigen Behörden der Mitgliedsstaaten weiter vereinheitlicht worden. NIS-2 enthalte eine Liste von sieben Schlüsselelementen, welche alle Unternehmen im Rahmen der von ihnen ergriffenen Maßnahmen berücksichtigen und umsetzen müssten:
  Dazu gehörten zum Beispiel die Reaktion auf Vorfälle, die Sicherheit von Lieferketten sowie die Offenlegung von Schwachstellen. Darüber hinaus sei eine Mindestliste von Verwaltungssanktionen festgelegt worden, welche immer dann verhängt werden sollten, „wenn Unternehmen gegen die Vorschriften zum Risikomanagement im Bereich der CyberSecurity oder gegen ihre in der NIS-2-Richtlinie festgelegten Meldepflichten verstoßen“.

• 3. NIS-2-Ziel: Die Fähigkeiten zur Vorbereitung und Reaktion der zuständigen Behörden sollen durch Maßnahmen zur Stärkung des Vertrauens zwischen den verschiedenen Instanzen erhöht werden
  Außerdem solle der Austausch von Informationen und die Festlegung von Regeln und Verfahren für den Fall von besonderen Ereignissen verbessert werden. Die neuen Regelungen sollten die Art und Weise, „wie die EU groß angelegte Sicherheitsvorfälle und -krisen verhindert, bewältigt und darauf reagiert“, verbessern.
  Dazu sollten klare Verantwortlichkeiten, eine angemessene Planung und eine verstärkte Zusammenarbeit in der EU eingeführt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

datensicherheit.de, 12.09.2024
NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden / NIS-2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur