NIS2-Umsetzungsgesetz: Lieferketten und IT-Sicherheit

Die Leitungsorgane überwachen Maßnahmen und haften für Verstöße (Art. 20 Abs.1). Schulungen sind verpflichtend und müssen den Beschäftigten angeboten werden (Abs. 2).

Die wesentlichen und wichtigen Einrichtungen müssen gemäß Art. 21 NIS2 Cybersecurity-Maßnahmen zur Risikobeherrschung und Prävention von Sicherheitsvorfällen umsetzen. Die Maßnahmen müssen nach Art. 21 Abs. 2 lit. a-j auf einem gefahrenübergreifenden Ansatz beruhen und den Schutz von IT-Systemen, Vorfallsbewältigung, Business Continuity, Sicherheit in der Lieferkette, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, Wirksamkeitsbewertung von Risikomanagementmaßnahmen, Cyberhygiene und Schulungen, Kryptografie, Personalsicherheit, Zugriffskontrolle, Asset Management, Authentifizierung sowie sichere Kommunikation umfassen. Insbesondere in Bezug auf die Sicherheit in Lieferketten ist es erforderlich, dass bei der Prüfung geeigneter Maßnahmen die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter berücksichtigt werden sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter (vgl. Abs. 3).

Definieren Sie adäquate Maßnahmen auf der Grundlage eines risikobasierten Ansatzes. Durch eine gründliche Auseinandersetzung mit den bestehenden Risiken und einer entsprechenden Analyse sind Sie in der Lage, gezielte und effektive Maßnahmen zu treffen, um Ihr Unternehmen vor potenziellen Bedrohungen zu schützen. Dadurch wird die Sicherheit und Stabilität Ihres Unternehmens langfristig gewährleistet.

Die Meldepflichten für Unternehmen verschärfen sich zunehmend: Sie sind verpflichtet, relevante Störungen und Vorfälle unverzüglich der nationalen Cyber-Sicherheitsbehörde zu melden. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Ein Sicherheitsvorfall gilt nach Art. 23 Abs. 3 NIS2 als erheblich, wenn

a) er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann;

b) er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Dies erfolgt in einem dreistufigen Prozess gem. Art. 23 Abs. 4: Innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls wird ein vorläufiger Bericht übermittelt. Innerhalb von 72 Stunden folgt ein vollständiger Bericht mit einer ersten Bewertung des Vorfalls. Abschließend muss innerhalb eines Monats ein detaillierter Abschlussbericht eingereicht werden. Dieser enthält ausführliche Beschreibungen des Vorfalls, der Bedrohung, Abhilfemaßnahmen und seiner grenzüberschreitenden Auswirkungen.

Zusätzlich zur gesetzlich vorgeschriebenen Meldepflicht besteht die Möglichkeit, CSIRTs oder zuständigen Behörden freiwillig Meldungen zu übermitteln, insbesondere hinsichtlich Beinahe-Vorfällen (vgl. Art. 30 Abs. 1 lit. a NIS2). Dies gilt sowohl für wesentliche und wichtige Einrichtungen als auch für andere, unabhängig von ihrem Anwendungsbereich in Bezug auf erhebliche Vorfälle (vgl. Art. 20 Abs. 1 lit. b NIS2).

Für Unternehmen, die unter den Anwendungsbereich der Richtlinie fallen, ist eine Registrierung bei der nationalen Behörde erforderlich. Bei der Registrierung sind nach Art. 27 Abs. 2 lit. a-f folgende Informationen bereitzustellen: Name der Einrichtung, Anschrift und Kontaktdaten (E-Mail, IP-Adressbereiche, Telefonnummer), eventuell relevanter Sektor und Teilsektor gemäß Anhang I oder II sowie eine Liste der EU-Mitgliedstaaten, in denen Dienste angeboten werden.

Die Terminologie unterscheidet sich im Vergleich zur europäischen Richtlinie. In Deutschland wird folgende Gruppierung vorgenommen:

Besonders wichtige Einrichtungen § 28 Abs. 1 (Anlage 1)

Zu den besonders wichtigen Einrichtungen zählen gem. § 28 Abs. 1 Nr. 1-4:

1. Betreiber kritischer Anlagen,
2. qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter,
3. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen aufweisen,
4. Sonstige relevante Unternehmen nach Anlage 1.

Letztere werden nach Sektor und Größe kategorisiert, so fallen Unternehmen mit mehr als 250 Mitarbeitern oder einem Umsatz von über 50 Millionen EUR und einer Bilanzsumme von über 43 Millionen EUR in diese Kategorie.

Die verschiedenen Sektoren umfassen Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser/Abwasser, Digitale Infrastruktur und Weltraum.

Wichtige Einrichtungen § 28 Abs. 2 (Anlage 1 und 2)

Zu den wichtigen Einrichtungen zählen gemäß § 28 Abs. 2 Nr. 1-3 Vertrauensdiensteanbieter, Anbieter öffentlich zugänglicher Telekommunikationsdienste sowie Betreiber öffentlicher Telekommunikationsnetze, sowie die in Anlagen 1 und 2 genannten Unternehmen.

Die relevanten Unternehmen müssen mindestens 50 Mitarbeiter oder Umsätze von über 10 Millionen Euro sowie eine Bilanzsumme von über 10 Millionen Euro vorweisen.

In Mittleren Unternehmen gelten die Sektoren gemäß Anlage 1 sowie zusätzlich die in Anlage 2 aufgeführten. Zu den wichtigen Branchen zählen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittelindustrie, Verarbeitendes Gewerbe, Digitale Dienstleistungen und Forschung.

Betreiber kritischer Anlagen (KRITIS-Betreiber)

KRITIS-Betreiber werden anhand der KRITIS-Methodik identifiziert. Die KRITIS-Methodik, auch als Methode für kritische Infrastrukturen bekannt, beinhaltet ein systematisches Verfahren zur Erkennung, Bewertung und Gewährleistung der Sicherheit kritischer Infrastrukturen. Diese Methodik spielt eine entscheidende Rolle bei der Risikobewertung und dem Schutz lebenswichtiger Dienste und Einrichtungen in Deutschland.

In Deutschland stehen kritische Infrastrukturen (KRITIS) im Fokus der Sicherheit, da sie für das Funktionieren der Gesellschaft unerlässlich sind. Eine KRITIS-Anlage gilt als solche, wenn sie eine bestimmte Schwellenwert überschreitet, normalerweise bei einer Versorgung von mindestens 500.000 Personen. Diese Anlagen umfassen wichtige Sektoren wie Energieversorgung, Wasserversorgung, Ernährung, Informationstechnologie und Telekommunikation. Die Sicherheit und Stabilität dieser Einrichtungen sind von entscheidender Bedeutung für das Wohlergehen und die Funktionsfähigkeit der Gesellschaft. Daher werden strenge Sicherheitsmaßnahmen und Vorschriften festgelegt, um den Schutz und die Resilienz dieser kritischen Infrastrukturen sicherzustellen.

Bei der Umsetzung der Richtlinie werden zwei Arten von Sektoren unterschieden: Einrichtungssektoren gemäß Anlage 1 und 2 sowie KRITIS-Sektoren für kritische Infrastrukturen gemäß § 28 Abs. 7, die durch eine Rechtsverordnung nach § 58 Abs. 4 festgelegt werden, sofern die festgelegten Schwellenwerte überschritten werden. Die Einrichtungssektoren umfassen sowohl Sektoren von hoher Kritikalität als auch andere kritische Bereiche, die wiederum in Teilsektoren unterteilt werden.

Sektoren hoher Kritikalität: Energie, Transport und Verkehr, Finanzwesen, Gesundheitsweisen, Trinkwasser/Abwasser, Digitale Infrastruktur, Weltraum

Sonstige kritische Sektoren: Transport und Verkehr, Chemie, Forschung, Verarbeitendes Gewerbe, Digitale Dienstleistungen, Lebensmittel und Entsorgung

Betreiber von kritischen Anlagen sind nach § 31 mit erhöhten Anforderungen konfrontiert, um die Sicherheit und Integrität Ihrer Anlagen zu gewährleisten. So sind Systeme zur Angriffserkennung verpflichtend (§ 31 Abs. 2).

Bundeseinrichtungen (§ 29)

Im Rahmen des Umsetzungsgesetzes trifft die Bundesregierung besondere Regelungen für den Schutz von Einrichtungen der Bundesverwaltung. Betroffen sind daher Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Hierbei sind spezifische Maßnahmen vorgesehen, um die Cybersicherheit dieser Einrichtungen zu gewährleisten und Cyberangriffen effektiv entgegenzuwirken. Die relevanten Institutionen sind gemäß § 29 Abs. 2 verpflichtet, einige der Vorschriften, die für besonders wichtige Einrichtungen gelten, anzuwenden und darüber hinaus ihre eigenen Verpflichtungen gemäß Kapitel 3 zu erfüllen.

Die gesetzlichen Bestimmungen legen fest, welche Sicherheitsstandards eingehalten werden müssen und welche Maßnahmen zur Prävention und Reaktion auf Sicherheitsvorfälle ergriffen werden sollen. Durch diese gezielten Vorgaben sollen Bundeseinrichtungen in die Lage versetzt werden, ihre IT-Systeme und Daten vor potenziellen Bedrohungen zu schützen und die digitale Souveränität Deutschlands zu stärken.

Mit der Umsetzung ändern sich die Anforderungen an Betreiber und Einrichtungen signifikant. Die bisherigen KRITIS-Pflichten bleiben im Wesentlichen bestehen, erfahren jedoch eine Konkretisierung, Verschärfung und Neustrukturierung.

Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu vermeiden und Auswirkungen von Sicherheits­vorfällen gering zu halten, so § 30 Abs. 1.

In Übereinstimmung mit § 30 Abs. 1 sind Betreiber angehalten, bei der Bewertung des Risikos die Größe ihrer Einrichtung, die Kosten für die Umsetzung, die Wahrscheinlichkeit des Eintritts von Sicherheitsvorfällen sowie deren Schwere und die gesellschaftlichen sowie wirtschaftlichen Folgen zu berücksichtigen.

Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
§ 30 unterstreicht die Wichtigkeit eines ganzheitlichen Ansatzes für die von Betreibern und Einrichtungen durchzuführenden Maßnahmen. Diese Maßnahmen sollten auf einem “gefahrenübergreifenden” Ansatz basieren und europäische sowie internationale Normen berücksichtigen. Die Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und bestimmte Themen gemäß § 30 Abs. 2 abdecken:

• Risikoanalyse und Sicherheit in der Informationstechnik
• Bewältigung von Sicherheitsvorfällen
• Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisenmanagement
• Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen und ihren Anbietern
• Sicherheit in der Entwicklung, Beschaffung und Wartung, einschließlich Management von Schwachstellen
• Verfahren zur Bewertung der Effektivität von Cyber Security und Risikomanagement
• Schulungen zur Cybersicherheit und Cyberhygiene
• Kryptografie und Verschlüsselung
• Personalsicherheit, Zugriffskontrolle und Management von Anlagen
• Verwendung von Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
• Sichere Kommunikation (Sprach, Video- und Text) sowie sichere Notfallkommunikationssysteme

Zu beachten ist, dass die Umsetzung der Maßnahmen gemäß § 30 Abs. 1 auch dokumentiert werden muss.

Bestimmte Sektoren sind teilweise von den Risikomanagement-Vorgaben in den §§ 30 und 31 ausgenommen (Abs. 3). Stattdessen werden sektorspezifische Regelungen genutzt, um entsprechende Maßnahmen umzusetzen oder zu konkretisieren. Ein Durchführungsrechtsakt (Implementing Act) soll beispielsweise Vorgaben gemäß § 30 Abs. 3, 4 für Bereiche wie DNS, TLD, Cloud, Rechenzentren, CDNs, Managed Services, Security Services, Online-Marktplätze sowie soziale Netzwerke und Vertrauensdienste festlegen. Gemäß Art. 21 Abs. 5 NIS2 hat die Kommission bis zum 17. Oktober 2024 die Befugnis, Durchführungsrechtsakte zu erlassen. Diese Rechtsakte dienen der Festlegung technischer und methodischer Anforderungen für verschiedene Dienstleister, wie zum Beispiel DNS-Anbieter, TLD-Register, Cloud-Computing-Dienste, Rechenzentrum-Betreiber und weitere. Diese Anforderungen sind dann verbindlich und haben Vorrang.

Meldepflichten (§ 32) sowie Unterrichtungspflicht (§ 35)

Die Umsetzung der Meldepflicht weist keine wesentlichen Unterschiede auf, zeigt jedoch spezifische Besonderheiten für KRITIS-Betreiber. Besonders wichtige und wichtige Einrichtungen müssen Sicherheitsvorfälle an eine gemeinsame Meldestelle des BSI und BBK melden. Dies erfolgt in kurzen Fristen (24 Stunden) mit stufenweisen Folgemeldungen. Erstmeldungen bei schwerwiegenden Vorfällen sind unverzüglich oder innerhalb von 24 Stunden erforderlich. Folgemeldungen mit Bewertung erfolgen innerhalb von 72 Stunden. Zwischenmeldungen auf Anfrage des BSI sind ebenfalls vorgesehen. Abschlussmeldungen oder Fortschrittsmeldungen müssen binnen eines Monats eingereicht werden und alle relevanten Details enthalten. Zusätzlich müssen Betreiber kritischer Anlagen auch Informationen zu den betroffenen Anlagen, kritischen Dienstleistungen und Auswirkungen liefern.

Bei erheblichen Sicherheitsvorfällen müssen bestimmte Einrichtungen ihre Kunden informieren (§ 35 Abs. 1). Sektoren wie Finanz- und Versicherungswesen, IT und Telekommunikation sind davon betroffen (§ 35 Abs. 2). Das BSI reagiert soweit möglich innerhalb von 24 Stunden auf Meldungen und kann im Bedarfsfall die Öffentlichkeit informieren (§ 36 Abs. 1, 2).

Registrierungspflicht und -fristen (§§ 33, 34)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Anlaufstelle für die Registrierung. Es obliegt jedem selbst, zu identifizieren, ob man unter die NIS2-Richtlinie fällt. Einrichtungen und Betreiber mit besonderer Bedeutung, das heißt besonders wichtige und wichtige Einrichtungen, müssen sich innerhalb von drei Monaten beim BSI registrieren, so § 33 Abs. 1. Betreiber kritischer Anlagen sind zusätzlich verpflichtet, weitere Informationen zu übermitteln (Abs. 2). Sollte der Registrierungspflicht nicht nachgekommen werden, behält sich das BSI vor, die Registrierung selbst durchzuführen (Abs. 3).

Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen (§ 38)

Geschäftsleitungen von Unternehmen müssen die Maßnahmen im Risikomanagement für Cybersecurity umsetzen und die Implementierung in der Organisation überwachen (§ 38 Abs. 1).

Ebenfalls müssen Geschäftsführer regelmäßig an Schulungen teilnehmen, wie es in § 38 Abs. 3 vorgeschrieben ist. Verweigerungen könnten zu behördlichen Untersagungen führen, wenn Schulungsfristen nicht eingehalten werden (§ 61 Abs. 9 Nr. 2). Bußgelder sind zwar nicht vorgesehen, jedoch können externe Prüfungen angeordnet werden, um die Teilnahme an Schulungen zu überprüfen (§ 65).

Die Haftung von Geschäftsleitungen bei Pflichtverletzungen wurde überarbeitet: Sie haften nun schuldhaft gegenüber der Gesellschaft gemäß geltenden Regeln des Gesellschaftsrechts (§ 38 Abs. 2). Falls gesellschaftsrechtliche Bestimmungen keine Regelungen vorsehen, greift das Umsetzungsgesetz.

Erbringung von Nachweisen (§ 39) und Prüfungen (§§ 63, 64)

Die Betreiber kritischer Anlagen müssen alle drei Jahre Nachweise für ihre Sicherheitsmaßnahmen beim BSI vorlegen (§ 39), wie es bereits bei KRITIS-Prüfungen üblich war.

Einrichtungen müssen Maßnahmen dokumentieren, können aber auf Aufforderung des BSI zu Prüfungen verpflichtet werden (§§ 30 Abs. 1, 61 Abs. 1, 3, 5). Das BSI wählt die Einrichtungen basierend auf Risikofaktoren aus (§ 61 Abs. 4).

Aufsichts- und Durchsetzungsmaßnahmen (§§ 61, 62)

Die zuständige Aufsichtsbehörde ist das BSI gem. § 59. Bestimmte Einrichtungen in der Europäischen Union mit Sitz in Deutschland unterliegen dem Territorialitätsprinzip des BSI (§ 60). Dazu zählen DNS-Dienstleister, Cloud Computing-Anbieter, Online-Marktplätze und soziale Netzwerke. Entscheidungen zum Cybersicherheitsrisikomanagement sowie die Umsetzung von Maßnahmen müssen hauptsächlich im Mitgliedstaat getroffen werden, in dem die Hauptniederlassung ansässig ist (§ 60 Abs. 2). Unternehmen ohne Niederlassung in der EU müssen einen Vertreter benennen, der in der EU niedergelassen ist (§ 60 Abs.3).

Die weitreichenden Befugnisse des BSI in Bezug auf Aufsichts- und Durchsetzungsmaßnahmen sind in den §§ 61 und 62 festgehalten und können unter anderem Audits, Prüfungen oder Zertifizierungen von unabhängigen Stellen umfassen.

Sanktionen (§ 65)

Die Bußgeldvorschriften des vorläufigen Entwurfs sind in § 65 umfassend geregelt und beinhalten einen präzisen Katalog von Ordnungswidrigkeiten (siehe Abs. 1-4). Bei Verstößen gegen das Gesetz können Geldstrafen verhängt werden, die je nach Schwere des Verstoßes unterschiedlich hoch ausfallen (Abs. 5-7).

Besonders wichtige Einrichtungen müssen mit einer Geldbuße von bis zu zehn Millionen Euro rechnen, während wichtige Einrichtungen mit bis zu sieben Millionen Euro belangt werden können. Bei anderen Verstößen können Strafen zwischen zwei Millionen und hunderttausend Euro verhängt werden. Große Unternehmen bzw. besonders wichtige Einrichtungen mit einem Jahresumsatz über 500 Millionen Euro riskieren bei schwerwiegenden Verstößen Geldbußen in Höhe von bis zu 2 Prozent ihres Umsatzes. Wichtige Einrichtungen mit einem Jahresumsatz von über 500 Millionen können Bußgelder von bis zu 1,4 Prozent ihres Umsatzes erhalten.

Diese strengen Sanktionen dienen dazu, die Einhaltung der Vorschriften zu gewährleisten und Verstöße angemessen zu ahnden. Unternehmen und Organisationen sollten daher in vollem Umfang mit den gesetzlichen Bestimmungen vertraut sein, um möglichen Bußgeldern und rechtlichen Konsequenzen vorzubeugen.

NIS2 steht für die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union. Diese Richtlinie zielt darauf ab, die Widerstandsfähigkeit von Informationssystemen in der EU zu stärken und die Zusammenarbeit zwischen den Mitgliedstaaten in Bezug auf Cybersicherheit zu verbessern. Die Richtlinie verlangt von Betreibern wesentlicher und wichtiger Einrichtungen die Umsetzung von Sicherheitsmaßnahmen, um die Auswirkungen von Cyberangriffen zu minimieren.

Die Richtlinie legt auch Anforderungen an die Meldung von Sicherheitsvorfällen fest und schafft einen Rahmen für die Zusammenarbeit zwischen den Mitgliedstaaten und der Europäischen Agentur für Cybersicherheit (ENISA). Das Reeglwerk ist Teil der Bemühungen der EU, die Cybersicherheit zu stärken und ein hohes Maß an Schutz für kritische Infrastrukturen und digitale Dienste zu gewährleisten.

Unternehmen, die der EU-Umsetzungsverordnung unterliegen, sind vor allem Betreiber von wesentlichen Dienstleistungen wie Energieversorgung, Verkehr, Banken, Finanzdienstleistungen, Gesundheitswesen, digitale Infrastrukturen und digitale Dienstleister. Diese Unternehmen sind von der Richtlinie betroffen, da sie als kritische Infrastrukturen eingestuft werden und somit besondere Anforderungen an die IT-Sicherheit erfüllen müssen. Zudem sind Unternehmen im Bereich der digitalen Dienstleistungen wie Online-Marktplätze, Cloud-Computing-Dienste und Suchmaschinen betroffen. Es ist wichtig, dass diese Unternehmen angemessene Maßnahmen zur Gewährleistung der Cybersicherheit umsetzen, um die Integrität, Verfügbarkeit und Vertraulichkeit ihrer Dienste zu schützen.

Operational Technology (OT) im Sinne der Richtlinie bezieht sich auf die Systeme, Anwendungen und Geräte, die in Industrie- und Infrastrukturanlagen eingesetzt werden, um den Betrieb und Prozesse zu steuern. Diese Technologien sind essenziell für die Funktionalität kritischer Infrastrukturen wie Energieversorgung, Transportwesen und Gesundheitswesen. Im Rahmen der IT-Sicherheitsrichtlinie werden spezifische Anforderungen an die Sicherheit von OT-Systemen gestellt, um mögliche Cyberangriffe und Störungen zu verhindern und damit die Stabilität und Zuverlässigkeit dieser Systeme zu gewährleisten. OT umfasst somit alle technologischen Komponenten, die maßgeblich zur kontinuierlichen Betriebsfähigkeit von wichtigen Infrastrukturen beitragen.

Die Standards für die Netzwerk- und Informationssicherheit spielen eine entscheidende Rolle beim Schutz sensibler Daten und digitaler Infrastrukturen. In diesem Zusammenhang wird immer häufiger die Frage aufgeworfen, wie das EU-Cybersicherheitsgesetz mit dem Vendor Privileged Access Management (VPAM) in Verbindung steht. VPAM ist ein wichtiger Bestandteil der IT-Sicherheitsstrategie vieler Unternehmen, da es den Zugriff von Drittanbietern auf sensible Systeme und Daten kontrolliert und überwacht.

Die Implementierung von VPAM kann dazu beitragen, potenzielle Sicherheitsrisiken zu minimieren und den Schutz vor unautorisierten Zugriffen zu stärken. Durch die effektive Verwaltung privilegierter Zugriffe von externen Anbietern können Unternehmen sicherstellen, dass nur autorisierte Personen und Prozesse auf kritische Ressourcen zugreifen können. Auf diese Weise wird die Einhaltung von Sicherheitsrichtlinien und -vorschriften erleichtert, was wiederum zur Erfüllung der Anforderungen beiträgt.

Die Verbindung liegt somit in der ganzheitlichen Sicherheitsstrategie eines Unternehmens, die darauf abzielt, die digitale Infrastruktur vor Bedrohungen zu schützen und die Integrität sowie Vertraulichkeit sensibler Informationen zu gewährleisten. Indem Unternehmen sowohl Cybersicherheits-Richtlinien als auch VPAM-Lösungen implementieren, können sie ihre Sicherheitsmaßnahmen optimieren und sich erfolgreich gegen Cyberangriffe verteidigen.

Ein prominentes Beispiel für einen Cyberangriff im Zusammenhang mit Vendor Privileged Access Management (VPAM) ereignete sich bei der Datenpanne bei SolarWinds im Jahr 2020. Dabei wurden Angreifer über ein Software-Update des Unternehmens Zugriff auf die Systeme mehrerer Organisationen, darunter Regierungsbehörden und große Unternehmen, verschafft. Diese Cyberkriminellen konnten sensible Daten stehlen, Netzwerke infiltrieren und weitreichende Schäden anrichten. Der Vorfall verdeutlicht die Bedeutung einer robusten Sicherheitsstrategie, insbesondere in Bezug auf die Verwaltung privilegierter Zugriffe von Drittanbietern.

Die Richtlinie verlangt von Unternehmen, angemessene Maßnahmen zu ergreifen, um ihre Netz- und Informationssysteme zu schützen und Cyber-Angriffe zu verhindern. Doch was hat das Regelwerk nun mit Lieferanten zu tun?

Die Antwort darauf liegt in der Tatsache, dass Lieferanten oft einen wichtigen Teil der Lieferkette eines Unternehmens darstellen. Wenn ein Lieferant beispielsweise Opfer eines Cyber-Angriffs wird, kann dies ernsthafte Auswirkungen auf die gesamte Lieferkette haben. Durch die Einbeziehung von Lieferanten in die Sicherheitsmaßnahmen können Unternehmen sicherstellen, dass ihre Netz- und Informationssysteme umfassend geschützt sind und keine Schwachstellen in der Lieferkette vorhanden sind.

Darüber hinaus kann die Zusammenarbeit mit Lieferanten im Bereich der Informationssicherheit dazu beitragen, das Risiko von Cyber-Angriffen für alle beteiligten Parteien zu minimieren. Indem Unternehmen klare Richtlinien und Standards für die Sicherheit ihrer Lieferanten festlegen und regelmäßige Audits durchführen, können sie sicherstellen, dass ihre Lieferkette robust und widerstandsfähig gegenüber Bedrohungen aus dem Cyberraum ist.

Unternehmen müssen die EU-Umsetzungsverordnung nicht nur intern umsetzen, sondern auch eng mit ihren Lieferanten zusammenarbeiten, um die Sicherheit der gesamten Lieferkette zu gewährleisten. Nur so können sie sich effektiv vor Cyber-Bedrohungen schützen und ihre Geschäftstätigkeiten ungestört fortsetzen.

Die Kritische-Infrastruktur-Betreiber (KRITIS-Betreiber) umfassen Unternehmen und Organisationen, deren Tätigkeiten entscheidend für das Funktionieren der Gesellschaft und Wirtschaft sind. Konkret handelt es sich hierbei um Betreiber von lebenswichtigen Dienstleistungen wie Energieversorger, Wasserversorgungsbetriebe, Krankenhäuser, Telekommunikationsunternehmen und Finanzinstitute. Diese Betreiber spielen eine zentrale Rolle in der Aufrechterhaltung der öffentlichen Ordnung und Sicherheit sowie im Schutz der grundlegenden Bedürfnisse der Bürgerinnen und Bürger. Daher unterliegen sie besonderen Sicherheitsanforderungen, um Cyberangriffe effektiv vorzubeugen und zu bekämpfen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) leistet einen entscheidenden Beitrag zur Unterstützung von Betreibern Kritischer Infrastrukturen (KRITIS). Durch seine Expertise und langjährige Erfahrung im Bereich der IT-Sicherheit bietet das BSI den KRITIS-Betreibern umfassende Unterstützung an. Dies erfolgt beispielsweise durch die Bereitstellung von Leitlinien, Empfehlungen und Best Practices zur Stärkung der Cybersicherheit in kritischen Infrastrukturen.

Das BSI fungiert als zentraler Ansprechpartner für Betreiber von KRITIS und unterstützt sie bei der Umsetzung von Maßnahmen zur Risikominimierung und Krisenprävention im Bereich der Informationssicherheit. Darüber hinaus bietet das BSI Schulungen, Seminare und Informationsveranstaltungen an, um die Sensibilisierung für IT-Sicherheitsthemen zu erhöhen und die Kompetenzen im Umgang mit Cyberbedrohungen zu stärken.

Außerdem hat das BSI Mobile Incident Response Teams (MIRT) ins Leben gerufen, um Betreibern Kritischer Infrastrukturen bei schwerwiegenden Cyberattacken vor Ort zu helfen. Die Spezial-Task-Forces bestehen aus Cybersicherheitsexperten des BSI.

Computer-Sicherheitsvorfälle können schwere Auswirkungen auf Unternehmen haben, von finanziellen Verlusten bis hin zur Beeinträchtigung des Rufes. Um solchen Bedrohungen effektiv zu begegnen, hat die Richtlinie die Einrichtung oder Benennung von sogenannten Computer-Notfallteams (CSIRTs) durch die Mitgliedsstaaten vorgesehen (Art. 10 NIS2). CSIRTs sind spezialisierte Teams, die darauf ausgerichtet sind, auf Sicherheitsvorfälle zu reagieren, diese zu analysieren und Gegenmaßnahmen zu ergreifen, um die Auswirkungen zu minimieren. Die genauen Anforderungen sind in Art.11 NIS2 geregelt.

Des Weiteren soll ein CSIRTs-Netzwerk zum Aufbau von Vertrauen zwischen den Mitgliedstaaten beizutragen und eine rasche und wirksame operative Zusammenarbeit zwischen ihnen zu fördern (Art. 15 Abs.1 NIS2).

Die Europäische Agentur für Cybersicherheit, bekannt als ENISA (European Union Agency for Cybersecurity), spielt eine wichtige Rolle im Rahmen der Vorschrift. Die ENISA ist eine unabhängige Agentur der Europäischen Union, die gegründet wurde, um die EU-Mitgliedstaaten in Fragen der IT-Sicherheit zu unterstützen und zu stärken. Die ENISA arbeitet daran, die Resilienz der EU-weiten kritischen Infrastrukturen zu verbessern und die Cybersicherheit in der gesamten Union zu fördern. Ihre Tätigkeiten reichen von der Erstellung von Richtlinien und Leitlinien bis zur Unterstützung bei der Koordinierung und Zusammenarbeit zwischen den Mitgliedstaaten. Durch ihr Engagement trägt die ENISA maßgeblich dazu bei, die EU besser gegen Cyberattacken zu schützen und ihre digitale Souveränität zu stärken.

Das KRITIS-Dachgesetz und die NIS2-Richtlinie sind eng miteinander verbunden und spielen eine wichtige Rolle bei der Sicherstellung der kritischen Infrastrukturen.

Das KRITIS-Dachgesetz legt den Fokus auf die Resilienz in den Sektoren Energie, Wasser, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, sowie digitale Infrastrukturen. Diese Sektoren sind von zentraler Bedeutung für das öffentliche Leben und die Wirtschaft und müssen daher besonders geschützt werden.

NIS2 (Network and Information Security) dagegen ist eine europäische Richtlinie, die die Cybersicherheit für Betreiber wesentlicher Dienste und digitaler Diensteanbieter in der gesamten EU regelt. Die Richtlinie zielt darauf ab, die EU-weite Zusammenarbeit im Bereich der IT-Sicherheit zu stärken und ein hohes Maß an Sicherheit für kritische Infrastrukturen zu gewährleisten. Durch die Implementierung des Gesetzes werden Betreiber von kritischen Infrastrukturen verpflichtet, angemessene Sicherheitsvorkehrungen zu treffen, um Störungen und Angriffe auf ihre Systeme zu verhindern.

Die Bundesanstalt für Sicherheit in der Informationstechnik (BSI) ist gemäß der EU-Verordnung die zuständige Behörde, während das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) für das KRITIS-Dachgesetz verantwortlich ist.

Insgesamt ergänzen sich die Vorschriften in ihren Zielen und Maßnahmen zur Erhöhung der Sicherheit in kritischen Infrastrukturen. Indem sie den Schutz sensibler Daten und Systeme vor Cyberbedrohungen gewährleisten, tragen sie maßgeblich zur Aufrechterhaltung der öffentlichen Sicherheit und des wirtschaftlichen Wohlstands bei.

Die Bedeutung von sektorspezifischen Regulierungen wie dem Digital Operational Resilience Act (DORA), dem Energiewirtschaftsgesetz (EnWG) und dem Telekommunikationsgesetz (TKG) nimmt eine entscheidende Rolle in Zusammenhang mit dem IT-Sicherheitsgesetz der EU ein. Diese spezifischen Gesetze regeln wichtige Aspekte in den jeweiligen Branchen, von der Finanzbranche bis hin zur Energieversorgung und Telekommunikation. Ihre Vorgaben beeinflussen maßgeblich die Sicherheit und Zuverlässigkeit der kritischen Infrastrukturen und Dienste, sowohl auf nationaler als auch auf EU-Ebene. Durch die Verknüpfung mit NIS2 wird somit gewährleistet, dass alle relevanten Akteure in diesen Schlüsselsektoren die erforderlichen Sicherheitsstandards erfüllen und damit einen effektiven Schutz vor Cyberbedrohungen gewährleisten. Die harmonisierte Umsetzung von sektorspezifischen Regelungen wie DORA, EnWG und TKG im Kontext der Richtlinie bildet somit eine überaus wichtige Säule für die digitale Resilienz und Sicherheit in Europa.

Durch die Implementierung international anerkannter Informationssicherheitsstandards wie ISO 27001 und C5 können Unternehmen ein hohes Maß an Schutz für ihre digitalen Systeme gewährleisten. ISO 27001 legt die Anforderungen für ein Informationssicherheits-Managementsystem fest, das darauf abzielt, Risiken zu identifizieren, zu bewerten und entsprechende Sicherheitsmaßnahmen zu ergreifen. Auf der anderen Seite zielt der C5-Standard speziell auf die Cloud-Sicherheit ab und bietet Unternehmen Leitlinien zur Bewertung und Zertifizierung von Cloud-Dienstleistern. Durch die Kombination dieser Standards können Organisationen ihre Sicherheitsstrategie stärken, sich vor Cyberbedrohungen schützen und idealerweise die Einhaltung des Regelwerks gewährleisten.

Hinter der NIS2-Durchführungsverordnung (NIS2-DVO) verbirgt sich eine umfassende Regelung, die verschiedene Anbieter betrifft, darunter DNS-Dienste, TLD-Namensregistrierungsstellen, Cloud-Computing-Diensteanbieter und weitere. Derzeit liegt ein Entwurf für eine Verordnung vor, der von der EU-Kommission erarbeitet wurde. Dieser Rechtsakt bietet insbesondere in Ländern ohne klare Gesetze wertvolle Orientierung und legt spezifische Schwellenwerte fest, ab wann Sicherheitsvorfälle als „bedeutend“ gelten. Die letzten Rückmeldungen der EU-Staaten zum Durchführungsrechtsakt, der die nationale Umsetzung der Richtlinie regelt, wurden Anfang Oktober 2024 erwartet.

Die NIS2-DVO legt konkrete Spezifikationen fest, die Anbietern von Diensten definieren, ab wann ein bedeutender Sicherheitsvorfall meldepflichtig ist. Des Weiteren enthält sie klare Vorschriften zu den erforderlichen Maßnahmen im Bereich IT-Risikomanagement, die von diesen Anbietern umgesetzt werden müssen.

In der Durchführungsverordnung werden konkrete Kriterien für die Bedeutung eines Sicherheitsvorfalls festgelegt. Ein Vorfall gilt als erheblich, wenn er einen finanziellen Schaden von mindestens 100.000 EUR oder 5 % des Jahresumsatzes der betroffenen Einrichtung verursacht hat oder verursachen kann.

Für Cloud Computing Anbieter gelten spezifische Erheblichkeitsschwellen, z.B. kompletter Serviceausfall über 10 Minuten oder Nichterfüllung der Service Levels für mehr als 5 % der Nutzer über eine Stunde. Ähnlich strenge Anforderungen gelten für Rechenzentrumsdienste und Managed Services Provider.

Die NIS2-DVO enthält detaillierte IT-Risikomanagementmaßnahmen, die internationalen Standards wie der ISO 27001 folgen, aber auch eigene Schwerpunkte setzen wie zum Beispiel Business Continuity.

Das Ziel dieser Verordnung ist es, die Cybersicherheit in wichtigen Bereichen zu stärken und angemessen auf Sicherheitsvorfälle zu reagieren. Unternehmen in diesen Bereichen sollten sich daher intensiv mit den Bestimmungen auseinandersetzen, um sicherzustellen, dass sie den vorgeschriebenen Sicherheitsstandards entsprechen und angemessen auf potenzielle Bedrohungen reagieren können.