Ende 2022 wurde die neue Verordnung über Netzwerk- und Informationssicherheit (NIS2) im Amtsblatt der Europäischen Union veröffentlicht. NIS2 ist der Nachfolger von NIS1, das ursprünglich 2016 veröffentlicht wurde, und bringt erhebliche Verbesserungen der Gesetze und Vorschriften zur Cybersicherheit in der gesamten EU mit sich.
NIS2 erlässt strengere, der Datenschutz-Grundverordnung (DSGVO) ähnliche Vorschriften zur Cybersicherheit mit einem Schwerpunkt auf Berichterstattung und Benachrichtigungen und legt strengere Durchsetzungsmassnahmen und höhere Strafen für Verstösse gegen seine Bestimmungen fest.
Derzeit handelt es sich bei NIS2 um eine europäische Richtlinie, die am 16. Januar 2023 in Kraft getreten ist und bis zum 17. Oktober 2024 in nationales Recht aller Mitgliedstaaten umgesetzt werden muss. NIS1 wird offiziell am 18. Oktober 2024 aufgehoben.
Verständnis von NIS2
Die NIS-Richtlinie (Richtlinie 2016/1148/EG), auch bekannt als NIS1, konzentrierte sich auf den Schutz der kritischen Cybersicherheitsinfrastruktur der EU. NIS2 baut auf dem früheren rechtlichen Rahmen auf und verschiebt den Schwerpunkt hin zum gemeinsamen Cyber-Risikomanagement, zur Berichterstattung von Zwischenfällen und zu Informationsaustauschverpflichtungen innerhalb der EU.
Die Einführung der NIS2-Richtlinie zielt darauf ab, die Einschränkungen ihres Vorgängers zu beheben. Diese neue Richtlinie enthält verschiedene Massnahmen, die darauf abzielen, ein hohes Mass an Cybersicherheit in der gesamten EU zu erreichen, um die Funktionsweise des Binnenmarktes zu verbessern Zu diesen Massnahmen gehören Verpflichtungen für die Mitgliedstaaten, wie:
- Annahme nationaler Cybersicherheitsstrategien
- Einrichtung von Behörden für das Krisenmanagement im Cyberbereich
- Ernennung von Ansprechpartnern für Cybersicherheit
- Einrichtung von Computer-Sicherheitsvorfällen-Reaktionsteams (CSIRTs)
- Einhalten der neuen Vorschriften zum Austausch von Cybersicherheitsinformationen
NIS2 umreisst auch Massnahmen zum Risikomanagement der Cybersicherheit und Berichterstattungsverpflichtungen für wesentliche und wichtige Sektoren.
NIS1 vs. NIS2
NIS1 hatte zum Ziel, die Fähigkeiten zur Cybersicherheit in der gesamten Europäischen Union zu verbessern, indem Bedrohungen für Netzwerk- und Informationssysteme adressiert wurden, die für Schlüsselsektoren wesentlich sind, und die ununterbrochene Bereitstellung solcher Dienste im Falle von Zwischenfällen sichergestellt wurde. Die NIS1-Richtlinie wurde mit dem ultimativen Ziel entworfen, zur allgemeinen Sicherheit der EU beizutragen und das effektive Funktionieren ihrer Wirtschaft und Gesellschaft zu fördern.
Nach der Umsetzung von NIS1 im Mai 2018 führte die Europäische Kommission eine Evaluierung und Überarbeitung der Richtlinie aufgrund von Herausforderungen durch, mit denen mehrere Mitgliedstaaten während ihrer Umsetzung konfrontiert waren. Die Bewertung der Kommission umfasste die Relevanz, den europäischen Mehrwert, die Kohärenz, die Wirksamkeit und die Effizienz der NIS-Richtlinie. Dabei wurde festgestellt, dass der Geltungsbereich von NIS1 in Bezug auf die abgedeckten Sektoren, hauptsächlich aufgrund der zunehmenden Digitalisierung und Vernetzung in den letzten Jahren, zu stark begrenzt war. Die ursprüngliche Richtlinie umfasste nicht mehr alle digitalisierten Sektoren, die der Wirtschaft und Gesellschaft insgesamt Schlüsseldienste bereitstellten. Noch wichtiger war, dass das Fehlen eines gemeinsamen Verständnisses der Hauptbedrohungen zu einer inkonsistenten Widerstandsfähigkeit in der gesamten Europäischen Union führte.
Als Reaktion auf die inkonsistente und fragmentierte Umsetzung von NIS1 hat die Europäische Kommission die NIS2-Richtlinie eingeführt, die weitreichende Änderungen einführt und sich speziell auf Einrichtungen in kritischen Sektoren konzentriert.
Die wichtigsten Schwerpunktbereiche von NIS2
NIS2 zielt darauf ab, die Mängel seines Vorgängers zu beheben und bringt auf sechs Hauptebenen signifikante Veränderungen mit sich.
1. Erweiterung des Geltungsbereichs
Die NIS2-Richtlinie führt einen überarbeiteten Ansatz zur Bestimmung regulierter Einrichtungen ein, indem eine Grössenbegrenzung eingeführt wird. Diese Regel basiert auf der Empfehlung der Kommission vom 6. Mai 2003, die kleine und mittlere Unternehmen definiert. Gemäss der Grössenbegrenzung fallen alle mittelgrossen und grossen Unternehmen, die in den in NIS2 abgedeckten Sektoren tätig sind oder Dienstleistungen anbieten, in den Anwendungsbereich. Kleine Unternehmen und Kleinstunternehmen sind jedoch nur in Ausnahmefällen in NIS2 enthalten. Zum Beispiel können sie einbezogen werden, wenn sie der einzige Anbieter einer für die Aufrechterhaltung wesentlicher gesellschaftlicher oder wirtschaftlicher Aktivitäten innerhalb eines Mitgliedstaats unverzichtbaren Dienstleistung sind oder wenn sie Dienstleistungen zur Registrierung von Domainnamen anbieten.
Darüber hinaus erweitert NIS2 den Geltungsbereich von NIS1, um neue Sektoren und Einrichtungen einzubeziehen, die als wesentliche und wichtige Einrichtungen kategorisiert sind. Als Ergebnis beseitigt NIS2 die Unterscheidung zwischen Betreibern wesentlicher Dienste (OEDs) und Digitalen Diensteanbietern (DSPs), die in der vorherigen Richtlinie vorhanden war. Stattdessen stellt NIS2 separate Regeln für wesentliche Einrichtungen und wichtige Einrichtungen auf.
Hinweis: NIS2 schliesst Einrichtungen aus, die mit Verteidigung, nationaler Sicherheit, öffentlicher Sicherheit und Strafverfolgung sowie mit der Justiz, Parlamenten und Zentralbanken in Verbindung stehen.
2. Verantwortung der Führungsgremien
Gemäss den Bestimmungen von NIS2 sind die Mitgliedstaaten nun ausdrücklich verpflichtet, sicherzustellen, dass ihre Führungsgremien Cybersicherheitsrisikomanagement-Massnahmen billigen, ihre Umsetzung überwachen und möglicherweise für Verstösse haftbar gemacht werden. Die Mitgliedstaaten sind auch verpflichtet, an spezialisierten Schulungsprogrammen zur Cybersicherheit teilzunehmen.
Einrichtungen, die in den Geltungsbereich von NIS2 fallen, sind verpflichtet, Bewertungen der Sicherheit ihrer Lieferketten durchzuführen. Diese Einrichtungen müssen auch “geeignete und angemessene technische und organisatorische Massnahmen” ergreifen, um Sicherheitsrisiken im Zusammenhang mit den von ihnen genutzten Netzwerk- und Informationssystemen effektiv zu managen, während sie ihre Dienstleistungen erbringen.
3. Berichterstattung
NIS2 enthält detaillierte Bestimmungen, die das Verfahren und die Fristen für die Berichterstattung über Vorfälle, einschliesslich schwerwiegender Vorfälle, an CSIRTs (Computer Security Incident Response Teams), festlegen. Es führt auch verbesserte Aufsichtsmassnahmen für nationale Behörden ein und legt strengere Durchsetzungsanforderungen fest.
Konkret legt NIS2 einen gestaffelten Ansatz für die Berichterstattungsverpflichtungen fest. Die erste Meldung, bekannt als Frühwarnung, muss innerhalb von 24 Stunden nach Kenntnis eines schwerwiegenden Vorfalls abgegeben werden. Nach der Frühwarnung muss innerhalb von 72 Stunden eine Vorfallmeldung mit weiteren Einzelheiten zu dem Vorfall eingereicht werden. Schliesslich muss ein umfassender Abschlussbericht innerhalb eines Monats nach Einreichung der Vorfallmeldung eingereicht werden. Diese Massnahmen sollen eine zeitnahe und effektive Meldung von Vorfällen an die zuständigen Behörden sicherstellen.
4. Betonung der proaktiven Cybersicherheit
NIS2 betont, dass die Annahme eines proaktiven Ansatzes zur Cybersicherheit entscheidend ist und dass ein effizienter und nahtloser Austausch und das Verständnis von Bedrohungsinformationen, Warnungen über Cyberaktivitäten und Reaktionsmassnahmen von grösster Bedeutung sind, um einen einheitlichen Ansatz zur effektiven Verhinderung, Erkennung, Minderung und Vereitelung von Angriffen auf Netzwerk- und Informationssysteme zu fördern.
Wie es in Absatz 57 heisst: “anstatt reaktiv zu reagieren, besteht aktiver Cyberschutz darin, Netzwerksicherheitsverletzungen aktiv zu verhindern, zu erkennen, zu überwachen, zu analysieren und abzumildern […]”.
5. Die Bedeutung von Open Source
Da Open-Source-Code heute in 97% der weltweit verwendeten Anwendungen integriert ist, wäre es unmöglich für den Europäischen Rat, die Bedeutung von Open Source in der Cybersicherheit zu ignorieren. NIS2 hebt hervor, dass Open Source einen transparenteren Verifizierungsprozess für Cybersicherheitstools ermöglicht und einen Community-basierten Ansatz zur Identifizierung von Schwachstellen ermöglicht. Durch die Annahme offener Standards kann die Interoperabilität zwischen Sicherheitstools verbessert werden, wodurch die Gesamtsicherheit der industriellen Stakeholder gefördert wird.
Absatz 52 besagt, dass “Massnahmen zur Förderung der Einführung und nachhaltigen Nutzung von Open-Source-Cybersicherheitstools von besonderer Bedeutung für kleine und mittlere Unternehmen sind, die mit erheblichen Implementierungskosten konfrontiert sind, die durch die Reduzierung des Bedarfs an spezifischen Anwendungen oder Tools minimiert werden könnten.”
6. Sanktionen bei Nichterfüllung
Im Einklang mit der NIS2-Richtlinie sind die Mitgliedstaaten berechtigt, Sanktionen bei Nichterfüllung zu verhängen, ähnlich den Bussgeldern, die in der Datenschutz-Grundverordnung (DSGVO) festgelegt sind. Die Höhe dieser Bussgelder variiert je nachdem, ob eine Einrichtung als wesentlich oder wichtig eingestuft wird. Bei Nichterfüllung können die Strafen für wesentliche Einrichtungen maximal 10 Millionen Euro oder maximal 2% des weltweiten Gesamtjahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr betragen. Für wichtige Einrichtungen können die Strafen bei Nichterfüllung maximal 7 Millionen Euro oder maximal 1,4% des weltweiten Gesamtjahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr betragen.
Von NIS2 betroffene Sektoren
Der Geltungsbereich von NIS2 umfasst sowohl öffentliche als auch private Einrichtungen, die Kriterien für die Einstufung als kleine und mittlere Unternehmen erfüllen, d.h., weniger als 250 Mitarbeiter beschäftigen und einen Jahresumsatz von nicht mehr als 50 Millionen Euro erzielen. Es ist wichtig zu beachten, dass NIS2 für Einrichtungen gilt, die ihre Dienstleistungen erbringen oder ihre Tätigkeiten innerhalb der EU durchführen und die für kleine und mittlere Unternehmen definierten Schwellenwerte überschreiten.
Wie bereits erwähnt, kategorisiert NIS2 Sektoren als wesentlich und wichtig.
Eine vollständige Liste der wesentlichen und wichtigen Sektoren und Einrichtungen finden Sie im Anhang 1 der Richtlinie.
Wie bereitet man sich auf NIS2 vor?
Wir können nicht genug betonen, wie wichtig es ist, obligatorische Budgetanpassungen zur Einhaltung der NIS2-Richtlinie vorauszusehen. Die Aussage “Wir haben kein Budget für Investitionen in die Cybersicherheit” ist angesichts der strengen rechtlichen Konsequenzen nicht mehr gültig.
Der erste Schritt bei der Vorbereitung auf die NIS2-Richtlinie besteht darin, sich mit Ihren technischen Teams, die für Sicherheit und Betrieb zuständig sind, abzustimmen.
- Identifizieren Sie, welche Bestimmungen auf Ihre Organisation und in welchem Umfang zutreffen.
- Überprüfen Sie Ihren Sicherheitsstack und identifizieren Sie, welche Änderungen vorgenommen werden müssen.
- Passen Sie Ihr Cybersicherheitsbudget entsprechend an.
Investieren Sie in Tools die für handlungsorientierte Bedrohungsinformationen und proaktive Cybersicherheit entwickelt wurden
Die Anpassung des Cybersicherheitsbudgets ist eine Sache, aber die kluge und informierte Entscheidung darüber zu treffen, in welche Tools Sie investieren sollten, ist eine ganz andere Geschichte, insbesondere angesichts der Dringlichkeit, die NIS2 nicht nur auf die Cybersicherheit, sondern auf proaktive Cybersicherheit legt.
CrowdSec ist ein modernes, kollaboratives Cybersicherheitsunternehmen, das sich dem proaktiven Schutz Ihrer digitalen Vermögenswerte verschrieben hat. Es ist das ultimative Präventionswerkzeug, um Ihre exponierten Workloads zu schützen. Im Gegensatz zu Post-Intrusion-Tools wie SIEM bietet CrowdSec eine proaktive Reaktion, bevor ein Eindringen stattfindet.
- Verwalten Sie die Risiken für die Sicherheit von Netzwerk- und Informationssystemen.
CrowdSec hilft Ihnen, Ihre Sicherheitsposition im Laufe der Zeit aufrechtzuerhalten und sich kontinuierlich an aufkommende Bedrohungen anzupassen.
- Benachrichtigen Sie Ihre CSIRTs und Kunden rechtzeitig über bedeutende Vorfälle.
Erhalten Sie Echtzeitwarnungen über Sicherheitsvorfälle und Verstösse mit detaillierten Berichten, die Ihnen bei der Kommunikation über Vorfälle helfen.
- Verhindern Sie aktiv, erkennen Sie, überwachen Sie, analysieren Sie und mildern Sie Sicherheitsverletzungen im Netzwerk.
Die dynamischen und globalen Erkenntnisse des CrowdSec CTI ermöglichen die schnelle Erkennung und Neutralisierung von Bedrohungen. Mit seinem proaktiven Mechanismus zur Vorbeugung von Angriffen und der Anpassung in Echtzeit an aufkommende Bedrohungen haben Unternehmen einen Vorteil in der Cybersicherheit. Über die API-Schnittstelle haben Benutzer Zugriff auf eine Reihe detaillierter Informationen, einschliesslich autonomer Systeme, Herkunftsland, Aggressivität und Arten von Angriffen, die von einer IP durchgeführt werden.
- Nutzen Sie Open-Source-Technologien, um Ihre Kosten zu senken.
Die CrowdSec Security Engine ist und bleibt immer kostenlos und Open Source und bietet Ihnen eine einfache und sofortige Lösung zur Identifizierung und Blockierung von bösartigem Verhalten. Die CrowdSec Security Engine, die in Golang programmiert ist, verwendet nur geringe Ressourcen und kann in jeder Umgebung eingesetzt werden: Containern, On-Premise, Cloud oder Hybrid. Die CrowdSec Security Engine bietet eine Vielzahl von Analysen, Erkennungs- und Behebungskomponenten, die eine schnelle und einfache Integration der Lösung in die verschiedenen Elemente der Sicherheitsinfrastruktur ermöglichen. Und wenn Ihre Infrastruktur zu gross für die Open-Source-Lösung ist, können Sie mit CrowdSec immer im “Pay-as-you-Grow”-Modell arbeiten, um je nach Bedarf Zugang zu mehr Ressourcen zu erhalten.
NIS2-Zeitplan und warum Sie jetzt handeln sollten
Der wirksame Termin der NIS2-Richtlinie war der 16. Januar 2023, und alle Mitgliedstaaten sind verpflichtet, die erforderlichen Massnahmen zur Gewährleistung der Einhaltung dieser Richtlinie bis zum 17. Oktober 2024 zu verabschieden und öffentlich bekannt zu machen. Ab dem 18. Oktober 2024 müssen diese Massnahmen aktiv angewendet werden. Daher sollten Einrichtungen und Sektoren, die in den Geltungsbereich von NIS2 fallen, die Bestimmungen unverzüglich zur Kenntnis nehmen und versuchen, sie so bald wie möglich umzusetzen.
Die Nichteinhaltung von NIS2 ist keine Option, und die Cybersicherheitsbudgets betroffener Einrichtungen für 2024 müssen angepasst werden. Da die meisten Organisationen im dritten und vierten Quartal 2023 Budgetentscheidungen treffen müssen, ist jetzt der perfekte Zeitpunkt, um proaktiv einen Plan zur Anpassung bestehender Sicherheitssysteme, -methoden und -budgets an die NIS2-Richtlinie zu entwickeln.