Historie – Der Blick zurück: Das Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) wurde am 29.06.2017 verkündet. Es diente im Wesentlichen der Umsetzung der NIS-Richtlinie, die im August 2016 in Kraft getreten ist, wie das BSI auf seiner Seite schreibt, Quelle: https://www.bsi.bund.de/dok/9195472
Eine Folge ist die Stärkung des BSI durch das BSI-Gesetz, die Definition der mittlerweile 10+1 Sektoren und die §8a Prüfungen (BSIG), die branschenspezifischen Sicherheitsheitststandards (B(3S)) für einige der Sektoren und die für den Energie-Sektor von der BNetzA den ins Leben gerufene IT-SiKat §11. abs.1 a/b. Der in Verbindung mit der ISO27001 und ISO27019 geprüft wird. Dieses Konstrukt mit dem BSI-G und IT-SiKat (BNetzA) weisen auch den zukünftigen Weg für die NIS-2 und RCE-Direktive.
Horizonte – Der Blick nach vorn: Im Kern wird der Kreis der Betroffenen erheblich erweitert. Dies geschieht durch die Abkehr von Schwellwerten zugunsten der Bemessung der Unternehmensgröße (Anzahl der Mitarbeiter) und Umsatz des Unternehmens. Weiterhin wird von den Betroffenen eine sogenannte Widerstandsfähigkeit (Resilenz) gefordert. Es geht um die physische Widerstandsfähigkeit der betroffenen Institute. Dies wird unter dem Schlagwort „KRITIS-Dachgesetz“ zusammengefasst. Methodisch handelt es sich um Anforderungen die in das Themengebiet des Business Continuity Management (BCM) fallen.
Die NIS-2-Richtlinie (NIS-2) wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Sie tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Damit ist seit Montag, dem 16. Januar 2023, die NIS-2 Richtlinie der Europäischen Union in Kraft getreten. Die Mitgliedstaaten müssen nun diese Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht überführen. Das bedeutet, bis zum 17. Oktober 2024 die Vorgaben der NIS-2-Direktive durch die EU-Mitgliedsstaaten in nationales Recht umgesetzt sein müssen. In Deutschland ist hierzu das NIS-2-Umsetzungs- und Cybersischerheitsstärkungsgesetz (NIS2UmsuGG) verabschiedet worden. Ein interessantes Detail ist, dass die NIS-2 keinen Unterschied zwischen einer Anlage und deren Betreiber macht.
Neben der Deutschen KRITIS-Gesetzgebung (KRITIS V) regulieren die NIS-2 und RCE-Direktiven Kritische Infrastrukturen auf EU-Ebene. Der Kern von NIS-2 ist Cyber Security und Informationssicherheit, RCE konzentriert sich auf Resilienz und Krisen. Beide gehen methodisch und inhaltlich über die deutsche KRITIS-Regulierung deutlich hinaus. Die NIS-2 Anforderungen könnten in einem IT-Sicherheitsgesetz 3.0 münden.
Es ist zu erwarten, das auch im Fall von NIS-2 /RCE das BSI die Verfahrenhoheit inne haben wird. Somit sind die Prüfungen und Methoden durch die ISO 27001 auf Basis von IT-Grundschutz (BSI 200-1/2/3 Standard) und dem aktuellen Kompendium sowie den frisch erstellten BSI 200-4 Standard gesetzt.
Die Püfungen werden dann analog zu den §8a-Prüfungen und SzA-Prüfungen gestaltet werden. Da es sich allerdings um EU-Vorgaben handelt, wird die ISO/IEC 27001:2022 gleichermaßen als ISMS verwendet werden dürfen.
Für mögliche betroffen Unternehmen, müssen sich Stand heute bereits diese sechs Fragen, bzw. to-do’s, zu stellen:
1. to do:) Ist mein Unternehmen betroffen? Analyse der Situation mit Entscheidungsfindung
Wesentliche Einrichtungen (Essential Entities) gemäß NIS-2
- Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
- Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
- Bankwesen (Kreditinstitute)
- Finanzmärkte (Handelsplätze, Zentrale Gegenpartien)
- Gesundheit (Gesundheitsdienstleister, Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
- Trinkwasser (Wasserversorgung)
- Abwasser (Abwasserentsorgung)
- Digitale Infrastruktur (Internet-Knoten, DNS, TLD Registrare, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste, Elektronische Kommunikation)
- IT-Service-Management (Managed Service Providers, Managed Security Providers [B2B])
- Öffentliche Verwaltung (zentrale und regionale Regierungen)
- Weltraum (Bodeninfrastruktur)
Wichtige Einrichtungen (Important Entities)
- Post- und Kurierdienste
- Abfall (Abfallbewirtschaftung)
- Chemikalien (Produktion, Herstellung und Handel)
- Lebensmittel (Produktion, Verarbeitung und Vertrieb)
- Industrie/Produktion (Medizinprodukte und In-vitro-Diagnostik, Computer, Elektronik, Optik, elektrische Ausrüstung, Maschinenbau, Kraftwagen und Teile, Fahrzeugbau)
- Digitale Dienste (Marktplätze, Suchmaschinen, Soziale Netzwerke)
- Forschungsinstitute
Kleinere Unternehmen mit bis maximal 49 Mitarbeitenden und einem Jahresumsatz unter 10 Millionen Euro fallen nicht unter die EU-Richtlinie. Allerdings gibt es ein paar Ausnahmen – Unternehmen aus einigen Sektoren und Bereichen sollen nämlich auf jeden Fall (also größenunabhängig) reguliert werden.
2. to do:) Falls ja, was ist zu tun? Erfassung der relevanten Daten und Information (Strukturanalyse, Schutzbedarfsfeststellung bzw. Risikoabschätzungen)
3. to do:) Wie gut (hinreichend) sind bereits die derzeitigen Maßnahmen? Sind alle Maßnahmen auf dem Unternehmensradar?
4. to do:) Wirksamkeitsanaylse durchführen? Sind die Abwehrmaßnahmen (z.B. SzA gemäß BSI) nicht nur vorhanden, sondern auch wirksam? Liegen hier bereits erste Erfahrungen und Nachweise vor?
5. to do:) Sind wir als Unternehmen bei einem Security Event mit einer geeigneten Reaktion vorbereitet und können wir die Meldepflichten einhalten? Eine erste Meldung muss bei besonders wichtigen Einrichtungen (siehe oben) innerhalb von maximal 24 Stunden nach Kenntniserlangung erfolgen. Ein zweites Zeitfenster läuft mit 72 Stunden nach Kenntniserlangung eines Sicherheitsvorfalls ab, bis dahin muss ein erster Bericht vorliegen, der eine Bewertung der Schwere des des Angrifs (Security Event) enthält. Spätestens einen Monat nach Meldung des Ereignisses muss ein ausführlicher Abschlussbericht vorliegen.
6. to do:) Handlungsfolgen und Aktivitäten, … , Make-or-Buy-Analyse? Es sind von den betroffnen Unternmehmen die folgenden Überlegungen anzustellen: Kosten, Qualität, Know-How, Ressourcen, konkrete Ziele, Liquidität und ggf. ein Imageverlust sind in die Make-or-Buy-Analyse einzubringen und gewichtet zu bewerten.
„Treten Sie mit uns in Kontakt, wir werden mit attraktiven Konditionen ihr Unternehmen durch die Prüfung bringen“.