Unternehmen Wir widmen uns der Cybersicherheit, sicheren Netzwerken und sicheren Cloud-Lösungen. Wir sind ein führender Distributor in der gesamten EMEA-Region, der…
NIS-2-Richtlinie Machen Sie sich und Ihre Kunden NIS-2-ready. Wir unterstützen Sie. Was Systemhäuser tun könnenHintergründe & GesetzeszweckPflichten & SanktionenWorkshops & WebinareKontakt Begriffserklärung und Historie Netzwerk- und Informationssicherheit (NIS) ist die Richtlinie der EU zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU. Am 27.12.2022 wurde die zweite Version der Richtlinie (NIS-2) auf europäischer Ebene verabschiedet, welche bis Oktober 2024 in nationales Recht umgewandelt werden sollte. In Deutschland liegt diese Aufgabe beim Bundesinnenministerium des Inneren und für Heimat (BMI). Seit April 2023, als der erste Referentenentwurf vorgelegt wurde, bis zum Oktober 2024, als die Regierungsversion in die Sitzung 20/13184 des Bundestages eingebracht wurde, gab es diverse Termine und Diskussionen und Abstimmungen mit Verbänden, Wirtschaft und dem BMI. Aktuell läuft hier das Gesetzgebungsverfahren, welches jedoch noch nicht abgeschlossen ist. Die NIS Richtlinie (aktuell in Version 2) ist hierbei jedoch nicht die erste Instanz. Schon im Jahr 2015 existierte mit dem IT-Sicherheitsgesetz (IT-Sig) ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Unternehmen und Staat – vor allem aber im Bereich der kritischen Infrastrukturen (KRITIS). Hier kommen Sie ins Spiel Im Umfeld von NIS-2 kommen vielfältige Aufgaben auf Systemhäuser zu. Zum einen müssen Sie sich selbst NIS-2-ready machen, zum anderen müssen Sie Ihre Kunden dabei unterstützen, dies auch zu tun. Dieser Prozess geht Hand in Hand, da Erfahrungen aus dem eigenen Haus in Dienstleistungsangebote umgewandelt werden können. Da NIS-2 ein lebendiger Standard ist, besteht Handlungsbedarf in vielfacher Hinsicht: Dienste wie Beratungen und Analysen (NIS-2 Assessment) zur Risikobewertung, das Erstellen von entsprechender Dokumentation und die daraus resultierende Berichterstattung sowie Mitarbeiterschulungen seien hier beispielhaft genannt. Weitere Möglichkeiten erstrecken sich über Penetration Tests (External Risk Management), Compliance Beratungen und die häufig auch jetzt schon angebotenen Implementierungen von Cyber Security Lösungen sowie weitere MSSP Dienste, sie enden hierbei jedoch nicht. Die weiteren Fokusthemen von Infinigate bekommen im Zusammenhang mit NIS-2 zusätzlich Gewichtung. Infinigate unterstützt Sie gerne in der Beratung, wenn Sie Probleme bei einem Kunden identifiziert haben und Sie diese lösen möchten. Ferner bieten wir Ihnen in Zusammenarbeit mit den Herstellern aus unserem Cyber Security Portfolio Workshops und Webinare an, um Sie über den aktuellen Stand zu informieren und über Lösungen zu unterrichten. Unsere Business Development Manager nehmen Sie gerne an die Hand und beraten Sie bei aufkommenden Fragen zu Herstellerlösungen. Zu guter Letzt haben wir mit der Technical Services Abteilung und dem von Infinigate entwickelten modularen Security Awareness Training auch Schulungsmöglichkeiten für Sie im Angebot. Bitte beachten Sie, dass Infinigate Sie lediglich in technischer und vertrieblicher Sicht unterstützen kann. Wir weisen ausdrücklich darauf hin, dass eine rechtliche Beratung nur durch entsprechende ausgebildete Juristen erfolgen kann. Unterschied NIS zu NIS-2 Der wesentliche Unterschied der 2. Version der NIS Richtlinie ist die erhöhte Anzahl betroffener Unternehmen und die damit einhergehenden flächendeckenderen Pflichten in Bezug auf die Netzwerk- und Informationssicherheit von Unternehmen. Waren es im ersten Entwurf aus dem Jahr 2016 noch zwischen 500 und 1500 betroffene Unternehmen, so sind von der 2ten Version der Richtlinie zwischen 25000 und 40000 Unternehmen in Deutschland betroffen. Viele der betroffenen Unternehmen sind sich dessen jedoch noch nicht bewusst. Als Kernmerkmale (nicht ausschließlich), gelten jedoch ein Umsatz größer 10 Million Euro und 50 Mitarbeiter und in einem der definierten Sektoren tätig zu sein. Zulieferer & Dienstleister Steht ein Unternehmen in einer Geschäftsbeziehung mit einem durch die NIS-2 Richtlinie definierten Unternehmen, so gelten durch die Lieferkettenbeziehung bzw. die Dienstleistungsbeziehung dieselben erhöhten Anforderungen an die Cybersecurity. Hintergründe zum Gesetzgebungsverfahren Die 3 bekanntesten Cyber-Sicherheits-Richtlinien/Gesetze in der EU lauten DSGVO, NIS-2 und DORA. Bei DSGVO und DORA handelt es sich um Verordnungen, die von der EU verabschiedet wurden und unmittelbar in den Mitgliedsstaaten gelten. Anders verhält es sich bei NIS-2. Hier müssen die lokalen Regierungen eigenen Gesetze verabschieden, um die entsprechenden Vorgaben der EU umzusetzen. Wieso man sich hier für ein Gesetzgebungsverfahren entschieden hat, haben wir beim BSI (Verweis auf die EU) und der EU angefragt. Eine Antwort blieb bisher aus. Nationales Recht – das ist wichtig, wenn Unternehmen über Landesgrenzen hinaus agieren Für Unternehmen, die über Landesgrenzen hinaus agieren bedeutet dies, sich nicht nur mit einem Gesetz, sondern mit den Gesetzen aller beteiligter Mitgliedsstaaten auseinandersetzen zu müssen. Neben unterschiedlichen Sprachen bedeutet dies auch unterschiedliche Schwerpunkte und einen unterschiedlichen Stand im Verfahren. Dies alles muss beachtet werden, um die NIS-2 Richtlinie der EU zu meistern. Zusammenhang mit KRITIS / Gesetzeszweck NIS-2 KRITIS ist das Kurzwort für „KRITische InfraStrukturen“. Während das Gesetz zu NIS-2 vom „Bundesinnenministerium“ (Volksmund) getrieben wird, definiert das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe den Bereich der Sektoren und Branchen. Dies ist im Jahr 2011 durch Bund und Länder geschehen. Hierbei hat man sich auf 9 Sektoren verständigt. Diese sind in zufälliger Reihenfolge Wasser, Energie, Ernährung, Finanz- & Versicherungswesen, Gesundheit, Informationstechnik & Telekommunikation, Medien & Kultur, Staat & Verwaltung, Transport & Verkehr (alle definiert im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik [BSIG]). Eine Ergänzung zum Thema Siedlungsabfallentsorgung, wie von der Bund-Länder-Ag beschlossen, steht noch aus. weitere Infos zu KRITIS Bei NIS-2 geht man über diese Definition hinaus und hat sich auf 18 kritische Sektoren geeinigt. Diese sind unterteilt in „Sektoren mit hoher Kriminalität“ und „Sonstige kritische Sektoren“. Sektoren mit hoher Kriminalität: Transport Banken Energie Finanzmarktinfrastrukturen Gesundheitswesen Digitale Infrastruktur Raumfahrt Öffentliche Verwaltung Trinkwasserversorgung und -verteilung Sonstige kritische Sektoren Textilindustrie Kultur und Freizeit Lebensmittelproduktion Maschinenbau Post- und Kurierdienste Abfallwirtschaft Maschinenbau Chemische Industrie Automobilindustrie In Zeiten steigender Vorfälle im Bereich der Nutzung von Netzwerk- und Informationstechnologie soll die NIS-2 Richtlinie dazu beitragen, das Sicherheitsniveau generell zu erhöhen. Betroffen sind alle Unternehmen, die wichtig für den „Erhalt der Gesellschaft“ sind. Aus dieser Definition leiten sich die unterschiedlichen Sektoren ab, die von der Richtlinie betroffen sind. Diese Sektoren leiden besonders unter den rasant gestiegenen Bedrohungen wie Ransomware und Diebstahl geistigen Eigentums sowie personenbezogener Daten (Infostealer). Resultierend daraus ergeben sich Probleme für die Wirtschaft. Durch den Verlust der Daten bzw. der Reputation eines Unternehmens entstehen weitere Probleme, welche den Wohlstand und somit dem „Erhalt der Gesellschaft“ schaden. Die Kurzform des aktuell zur Debatte stehenden Gesetzes lautet NIS2UmsuCG, welches ausgeschrieben für NIS–2–Umsetzungs- und Cybersicherheitsstärkungs-Gesetz steht. Pflichten der betroffenen Betriebe Neben der Umsetzung und Sicherung der relevanten IT-Prozesse haben die betroffenen Betriebe vor allem Pflichten zu erfüllen: Dies umfasst die Registrierungs- und Meldepflichten, in manchen Fällen auch eine Nachweispflicht. Informationen zur Registrierung beim BSI werden nach dem Abschluss des Gesetzgebungsverfahrens zum NIS2UmsuGG erfolgen. Die bereits bestehende Meldepflicht bei Sicherheitsvorfällen wird entsprechend der neuen Richtlinie angepasst werden. Die Pflicht zum Nachweis der IT-Sicherheit wird voraussichtlich abgestuft auf jeweilige Bereiche zukommen. Ein Kernelement dürfte hierbei sein, dass besonders wichtige Einrichtungen (KRITIS) hier eventuell höhere Auflagen beim Nachweis zu erfüllen haben. In manchen Sektoren gelten darüber hinaus weitere Regelungen, wie DORA im Sektor der Finanzmarktinfrastrukturen. Sanktionen und Bußgelder Regelmäßige Schulungen sollen Geschäftsleitern ausreichende Kenntnisse vermitteln, um entsprechende Risiken und Maßnahmen zu bewerten und sicherzustellen. Hierdurch ergibt sich auch die Pflicht, die entsprechenden Umsetzungen im Bereich der Cyber Security vorzunehmen und dies auch auf Korrektheit hin zu überwachen. Die Bußgelder, die bei Verstößen drohen, wurden hierbei erweitert und zum Teil erhöht: So kann ein Bußgeld von 100 000 Euro bereits bei der Nichterreichbarkeit einer Kontaktstelle entstehen und bis auf 10 Million ansteigen, wenn Meldungen nicht rechtzeitig oder richtig übermittelt wurden. Größeren Unternehmen, deren Umsatz über 500 Mio. Euro liegt, entstehen in diesem Fall sogar Bußgelder in Höhe von 2% des weltweiten Umsatzes. Die verschiedenen Abstufungen sind im NIS-2 Umsetzungsgesetz (NIsUmsuCG) genau beschrieben. Bundeseinrichtungen Bundeseinrichtungen sind als wichtige Einrichtung definiert und erhalten darüber hinaus zusätzliche Pflichten. Die Meldepflichten und Umsetzungs- und Überwachungspflichten teilen Sie sich mit den wichtigen Einrichtungen. Zusätzlich müssen Sie noch ein Informationssicherheitsmanagement nach bestimmten Regeln einhalten. Maßnahmen § 30 Abs.1 NIsUmsuCG: „Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei sind das Ausmaß der Risikoexposition die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Die Einhaltung der Verpflichtung nach Satz 1 ist durch die Einrichtungen zu dokumentieren.“ In § 30 Abs.2 NIsUmsuCG werden konkret die Maßnahmen erläutert, die zur Umsetzung einer resilienten Sicherheitsarchitektur beitragen sollen. Diese umfassen folgende Themen: Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs (z.B. SOC), wie Backup-Management und Wiederherstellung nach einem Notfall und Krisenmanagement, Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten (OT) und Prozessen, einschließlich Management und Offenlegung von Schwachstellen, Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik, grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik, Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung, Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen, Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung. Fazit Die Formulierung der in § 30 Abs.2 NIsUmsuCG aufgezeigten Maßnahmen können bei einem Beratungsgespräch mit an die Hand genommen werden, um einen vollumfänglichen Blick auf das Unternehmen zu erhalten und einen Denkanstoß zu liefern. Dies geht über die vom Gesetz betroffenen Unternehmen hinaus und kann zu mehr Struktur im Umgang mit Cyber-Security in jedem Betrieb führen. Workshops & Webinare Sehen Sie hier die Aufzeichnungen der Workshops & Webinare, die wir zusammen mit unseren Herstellern zum Thema NIS-2 erstellt haben. Übersicht über NIS-2 / NIS-2 Timeline Zur Aufzeichnung Check Point und NIS-2 / NIS-2 Enablement / Check Point IGS Zur Aufzeichnung Threat Exposure Management / External Threat Prevention Zur Aufzeichnung NIS-2 und das Check Point Portfolio / Cyber Security Platform Zur Aufzeichnung SOC / MDR / MPR / XDR / XPR Zur Aufzeichnung Webinar mit macmon Zur Aufzeichnung Webinar mit Extreme Networks Zur Aufzeichnung Webinar mit Illumio Zur Aufzeichnung Webinar mit Yubico Zur Aufzeichnung Kontakt Ihr Ansprechpartner für alle Anliegen rund um das Thema NIS-2 ist unser Business Development Manager Tobias Landgraf. Sprechen Sie ihn gerne an. tobias.landgraf@infinigate.de+49 89 89048309 Kontakt aufnehmen